06 Mag - 2020

Privacy e misurazione della temperatura

Per l’eventuale misurazione della temperatura, così come per eventuali altri test, occorre prevedere un luogo separato e discreto, così da evitare ogni rischio di stigma. Nella consapevolezza che misure di verifica di questo tipo dovrebbero trovare fondamento giuridico in una previsione normativa specifica, così come previsto dal Dlgs n. 81 del 2008 e normative correlate per la verifica relativa a condizioni di alcol dipendenza e di assunzione di sostanze psicotrope e stupefacenti, l’unico riferimento normativo attualmente rinvenibile è costituito dall’art. 1, n. 7, lett. d), del DPCM 11 marzo 2020.

Sulla scorta di tale decreto, l’interpretazione prevalente considera consentite le disposizioni previste dal punto 2 del Protocollo siglato dalle parti sociali il 14 marzo 2020 (riguardanti la raccolta di informazioni sul soggiorno in zone a rischio epidemiologico, sul contatto con persone risultate positive al Covid-19, nonché la misurazione in tempo reale della temperatura corporea), prescindendo dal consenso dell’interessato.

I trattamenti dei dati personali (anche nelle ipotesi menzionate) svolti in esecuzione dei protocolli di sicurezza anti-contagio devono ritenersi a loro volta legittimati sulla base dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020. Al datore di lavoro si impone tuttavia l’obbligo di fornire informazioni trasparenti sulle attività di trattamento dei dati svolte, e quindi su modalità e finalità del trattamento e di conservazione dei dati, evitando altresì la divulgazione a soggetti non autorizzati.

È importante richiamare l’incidenza della normativa europea a supporto di quanto precedentemente indicato, e in particolare il Regolamento generale sulla protezione dei dati dell’Unione europea (RGPD, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016). In una Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di Covid-19, adottata il 19 marzo 2020 (vedi Appendice 1), il Comitato europeo per la protezione dei dati (European Data Protection Board - EDPB) ha confermato la possibilità per il datore di lavoro di trattare dati dei dipendenti nel contesto di epidemie, senza dover acquisire il loro consenso, “qualora necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica […], o laddove vi sia la necessità di proteggere gli interessi vitali dell’interessato” (Dichiarazione EDPB del 19/2/2000, punto 2). Questo perché l’RGPD fa esplicito riferimento al controllo di un’epidemia 25. (Sugli articoli dell’RGPD rilevanti ai fini di questo documento vedi l’Appendice 2).

Al contempo, qualsiasi misura adottata in questo contesto deve rispettare la liceità del trattamento e i principi generali del diritto. L’emergenza è una condizione giuridica, afferma il Comitato, che può legittimare limitazioni della libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza, cioè immediatamente revocabili al termine di questo. I dati personali necessari per conseguire gli obiettivi perseguiti devono quindi essere trattati per finalità specifiche ed esplicite, e gli interessati devono ricevere informazioni trasparenti sulle attività di trattamento svolte e sulle loro caratteristiche principali, compreso il periodo di conservazione dei dati e le finalità del trattamento.


Il datore di lavoro è tenuto a:

  1. integrare l’informativa dettagliata e complessiva sul trattamento dei dati personali con un’informativa specifica connessa alle azioni di contrasto e contenimento del virus; sarebbe utile a tal fine seguire un modello generale, condiviso con le parti sociali, che tenga altresì in considerazione i dati relativi all’evoluzione dell’epidemia a livello nazionale e regionale, nonché gli strumenti utilizzati a livello regionale
  2. la rilevazione della temperatura all’ingresso è fatta in maniera anonima, non effettuando puntuale registrazione dei dati identificativi e dei dati della temperatura, salvo che vi sia superamento della soglia. Qualora vi sia superamento della soglia la registrazione avviene attraverso un numero identificativo (ad esempio il numero di tesserino aziendale);
  3. garantire la dignità e la riservatezza della persona con modalità di rilevazione rispettose, predisponendo un locale idoneo ad accogliere in vista di ulteriori approfondimenti da effettuarsi nel caso di superamento della soglia di temperatura corporea;
  4. nel caso si richieda il rilascio di una dichiarazione attestante l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19, o la non provenienza da zone a rischio epidemiologico, occorre nel primo caso astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva; nel secondo astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi;
  5. prevedere l’aggiornamento periodico e tempestivo della modulistica con cui sono raccolte le dichiarazioni, alla luce dell’evoluzione del contesto di rischio relativo all’epidemia a livello nazionale e regionale;
  6. individuare e formare i soggetti preposti al rilevamento e al trattamento dei dati e fornire loro le istruzioni necessarie per tale attività. I soggetti incaricati sono individuati tra: (i) il medico competente o personale sanitario da questi incaricato; oppure (ii) personale medico-sanitario esterno; oppure (iii) personale aziendale specificamente individuato e formato, e comunque anch’esso dotato di adeguati sistemi di protezione individuale. I professionisti della sanità restano comunque da preferirsi, alla luce dell’RGPD, sulla scorta del fatto che la base giuridica del trattamento dei dati da parte di tali soggetti è soggetta al segreto professionale (vedi Appendice 3);
  7. formalizzare all’interno di ogni azienda il ruolo dei delegati sindacali nella definizione degli strumenti di informazione ai lavoratori e protezione dei dati. 


Fonte “Rapporto del Politecnico di Torino del 16.04.2020