![Covid-19 e presidi di sicurezza. I rischi nascosti dei c.d. body temperature checks. di Antonello R. Cassano[1] e Flavia Salvatore[2]](/images/post/Coronavirus_smart_working.jpg)
di Antonello R. Cassano[1] e Flavia Salvatore[2]
Abstract
È innegabile che la pandemia causata dalla diffusione dell’ormai noto virus Covid-19 abbia impattato considerevolmente sulla vita quotidiana di milioni di persone. Infatti, indipendentemente dallo Stato di appartenenza o residenza, il cittadino è costantemente oggetto di misure di cautela e prevenzione – a tutela propria e della collettività – implementate in forme tanto diverse quanto disparate e, molto spesso, non percepite. Tuttavia, nel furore di preservare la salute mondiale, altre forme di rischio potrebbero passare inosservate, sicuramente meno gravi in termini di bene giuridico tutelato. Basti pensare al trattamento dei dati connessi allo spostamento dei cittadini, volto a verificare l’assenza di contatti con località o individui infetti, astrattamente in grado di delineare i movimenti di milioni di individui. Conseguenze non dissimili si avrebbero in tema di dati sanitari, raccolti da organizzazioni private e pubbliche a seguito di massicce campagne di prevenzione condotte tramite l’uso di test medicali, in grado di tracciare profili diagnostici di larghe sacche sociali.
Il Legislatore italiano, nell’ideare le linee guida da implementare durante la fase critica della pandemia, il c.d. Protocollo condiviso dalle Parti Sociali, mise in guardia sull’accorto uso dei dati che si sarebbero così generati. Nello specifico, il detto Protocollo alludeva alla misurazione della temperatura corporea, che – per sua stessa ammissione – assurgeva a “trattamento di dati personali”, da avvenire “ai sensi disciplina privacy vigente”.
In proposito, suggeriva altresì diversi escamotage per operare efficientemente su tale piano, bilanciando, da un lato, la tutela dei cittadini, e garantendo, dall’altro, presidi minimi di sicurezza, in un crescendo di difese via via più complesse e gravose.
In primo luogo, infatti, proponeva una soluzione alquanto agile ed elastica: non registrare il dato acquisito, o quantomeno farlo esclusivamente per “documentare le ragioni che hanno impedito l’accesso ai locali dei locali aziendali”; così facendo problematiche giuridiche connesse al trattamento e alla conservazione dei dati raccolti non sarebbero mai sorte, se non in casi limite, comunque sporadici. In alternativa, consigliava di “fornire l’informativa sul trattamento dei dati” o, altrimenti, di “definire le modalità di sicurezza e organizzative adeguate a proteggere i dati”. Va da sé che un simile intervento presuppone una documentazione del dato, seguita da una conservazione a lungo termine; insomma, entrambe circostanze che presuppongono un trattamento rilevante ai sensi della disciplina vigente.
Solo successivamente l’attenzione dedicata dal Legislatore italiano alla privacy ha ottenuto un avvallo, peraltro autorevole, a livello europeo, grazie alle guidelines recentemente diffuse dall’European Data Protection Supervisor[3], il c.d. Garante Europeo.
In apertura di argomento è doveroso precisare che il documento in parola affronta il tema dei presidi di sicurezza adottati dai “Union institutions, bodies, offices and agencies (EUIs)”, investigando dunque un settore – quello pubblico europeo – non coincidente con l’ambito del Protocollo nazionale; tuttavia, vi sono numerosi punti di contatto che, con i dovuti distinguo, consentono di ritenere le osservazioni ivi riportate attuali e praticabili anche per il settore privato.
Da ciò ne deriva che l’approccio metodologico del presente testo – volto, come visto, a verificare l’applicabilità dei principi europei all’ambito privato – vedrà continui richiami e parallelismi fra la normativa citata dal Garante, Regolamento 2018/1725 “sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati”, e il più noto GDPR[4].
Facendo un passo indietro, è interessante rilevare che il background di partenza del Legislatore italiano è del tutto identico a quello del Supervisor europeo, seppur non può tacersi una maggiore finezza argomentativa dell’ente sovranazionale nella rappresentazione delle ragioni a fondamento della propria posizione. Entrambi, infatti, rilevano che la registrazione dei dati raccolti assurge a elemento minimo e necessario per l’applicazione della normativa europea, ragione per cui una sua assenza comporta la non applicazione della normativa di interesse, Regolamento 2018/1725 o GDPR che sia.
Il Supervisor, infatti, apre illustrando la necessaria distinzione fra a) “controllo semplice della temperatura” – volto unicamente a rilevare la temperatura corporea, senza che questa venga registrata, documentata o che ci sia un qualche processo avente ad oggetto i dati personali del soggetto – e b) “altri sistemi di controllo della temperatura”, che invece prevedono processi di registrazione e documentazione dei dati personali del soggetto, o l’utilizzo di strumenti automatizzati di rilevazione.
Alla luce di quanto detto, è evidente che l’operazione sub a) non ricade né nell’ambito del Regolamento 2018/1725 – dal momento che, come espressamente previsto dall’art. 2, paragrafo 5, la normativa è da applicarsi solo “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” – né in quello dell’art. 2, paragrafo 1, GDPR, che ricalca parola per parola la citata norma.
In effetti, è evidente l’assenza di qualsiasi elemento che potrebbe giustificare l’applicazione dell’una o dell’altra disciplina: non è presente né un trattamento automatizzato, né – in caso di uno manuale – un archivio destinato a conservare le informazioni raccolte. Non a caso, come precisa lo stesso Garante Europeo, “the use by a security officer of an analogue or digital thermometer results only in displaying the temperature, allowing the security officer to read the temperature value with this eyes”.
Resta dunque la sola fattispecie sub b) a delimitare l’ambito di operatività delle normative, formulazione sicuramente coerente e coincidente con i dispositivi normativi richiamati (Regolamento 2018/1725 e GDPR). Dato ciò per assodato, è ora il caso di formulare alcune osservazioni che coinvolgono il solo GDPR.
In primo luogo, si noti che è esso stesso a individuare un secondo motivo che potrebbe escluderne l’applicabilità ai casi di specie. Infatti, l’art. 2, paragrafo 2, lett. d), prevede espressamente che il detto Regolamento non è da applicarsi ai trattamenti di dati “effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzioni di sanzioni penali, incluse la salvaguardia contro minacce alla salute pubblica e la prevenzione delle stesse”. In proposito, se gli atti di contenimento eseguiti da privati persone fisiche o giuridiche (controllo della temperatura all’ingresso dei locali) sembra certamente ricadere nella clausola aperta di cui sopra senza alcuna forzatura – basti pensare alla “prevenzione” – dubbi persistono in riferimento all’ambito soggettivo. In effetti, non vi è dubbio che tramite la raccolta di dati concernenti gli spostamenti e/o le condizioni di salute degli interessati possano essere prevenuti, accertati o anche perseguiti reati connessi al contenimento della pandemia in corso.
Tuttavia, come anticipato, perplessità emergono con riguardo all’ambito soggettivo. La norma, infatti, allude ad Autorità pubbliche, e non anche ai privati cittadini che raccolgono dati circa l’affluenza presso i proprio locali. In proposito, a nulla sembra servire l’osservazione che vuole i detti controlli eseguiti in conformità a disposizioni legislative, di fonte statale o regionale; in effetti, una simile affermazione di certo non altera la natura di un privato in pubblico, vieppiù in “autorità competente” che, stando alla formula legislativa, sembra essere circoscritta al solo ambito penale.
Accantonando il presente il tema, che meriterebbe una discussione decisamente più approfondita, occorre ora soffermarsi su un secondo profilo, concernente questa volta il solo “trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.
Si è detto a buon diritto che in mancanza di registrazione dei dati si è al di fuori del campo di applicazione del GDPR (e in questo caso anche del Regolamento 2018/1725); ma come conciliare il presente dispositivo con quanto previsto dal Considerando 15 secondo cui “non dovrebbero rientrare nell'ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine”?
In un caso del genere, infatti, sorgono dubbi sulla tenuta del sistema qualora i detti sussidi cartacei vengano organizzati su base temporale, riportando, ad esempio, le ore di accesso ed uscita degli interessati dai locali aziendali, e dunque il tempo di permanenza. In effetti, una simile registrazione è idonea a individuare alcune caratteristiche tipiche dell’agenda di vita dell’interessato, che variano a seconda dell’organizzazione che ne effettua la raccolta e il tipo di servizio offerto. Esemplificando, in caso di un centro sportivo, potrebbero emergerne dati sulle abitudini atletiche, o invece informazioni attinenti all’ambito sanitario qualora trattasi di centri clinici o diagnostici specializzati in una data area medicale, o anche in più.
Detto altrimenti, basta la sola indicazione di dati minimali quali la data e le ore di ingresso ed uscita a estrapolare il caso di specie dalla previsione del Considerando 15, e dunque ad obbligare il curatore del fascicolo ad applicare il GDPR? Molto probabilmente sì.
Infatti, si tenga presente che è lo stesso Supervisor a precisare nelle guidelines che quando i controlli della temperatura, anche operati manualmente, vengono registrati o associati a un soggetto identificato o identificabile, essi rientrano nell’ambito di applicazione del Regolamento 2018/1725, in quanto agilmente assimilabili ai c.d. sistemi di archiviazione[5].
Vale questa affermazione per i trattamenti privati che, ricordiamo, affondano le proprie radici nel GDPR e non nel Regolamento 2018/1725, dal quale parte il Supervisor? Sicuramente sì.
Infatti, i presupposti logico-giuridici che sono a fondamento del detto Regolamento sono rinvenibili nello stesso GDPR: la riconducibilità del dato a una persona fisica individuata o individuabile ne è una delle pietre angolari, come stabilisce positivamente la lettera normativa (art. 4, paragrafo 1, lett. a) e i Considerando di supporto. Di particolare interesse a tal riguardo è il n. 26, il quale riconosce che “è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile”. Insomma, vi è un’identità di ratio, circostanza che giustifica l’applicazione del principio di analogia.
Terminati i presenti approfondimenti, torniamo al cuore della discussione. Si è detto che l’ambito di applicazione delle due normative, pubblica e privata, è, in entrambi i casi, la fattispecie sub b) di cui sopra. Aggiungiamo ora un ulteriore tassello al mosaico: le informazioni raccolte tramite l’uso di dispositivi di misurazione della temperatura corporea sono c.d. “data concerning health”, e perciò disciplinati dall’art. 9 del GDPR, relativo al trattamento dei dati c.d. “dati particolari”, che ne vieta il trattamento al di fuori dei casi previsti[6].
A questo punto della trattazione occorre riprendere il discorso interrotto sulle guidelines, e a tal proposito è interessante riportare alcune delle seguenti osservazioni ivi presenti. In particolare, il Supervisor – partendo dagli ormai noti processi “interamente automatizzati” – osserva che, implementando strumenti altamente tecnologici, può a buon diritto ricadersi nell’alveo di cui all’art. 24 del Regolamento 2018/1725, rubricato alla voce “processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, che altro non sta a indicare che un processo privo di qualsiasi coinvolgimento umano.
In effetti, come non manca di sottolineare, “controlli della temperatura basati esclusivamente su processi automatizzati, come l’uso di scan o camere termiche, che potrebbero impedire a un dato soggetto di fare ingresso in una struttura, possono essere assimilati a processi decisionali individuali e automatizzati produttivi di effetti giuridici”, ragion per cui non ci si può sottrarre dall’applicare la relativa disciplina legislativa.
Prima di procedere, tuttavia, è bene ricordare che il Regolamento in parola ricalca ancora una volta quanto previsto sul punto anche dal GDPR: infatti, la citata disposizione (art. 24) trova un lampante corrispettivo nell’art. 22 di quest’ultimo, rubricato anch’esso secondo la medesima nomenclatura; pertanto, ancora una volta quanto osservato per una vale anche per l’altra. Entrambe le norme, dunque, prevedono che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Ciò detto, sono presenti delle esclusioni al successivo paragrafo, però inoperanti per i famosi “dati particolari” nei quali ricadono i sanitari; dati disciplinate rispettivamente dall’art. 10 del Regolamento 2018/1725 e dall’art. 9 GDPR. Tuttavia, l’ultimo paragrafo di entrambe le norme prevede una sorta di eccezione all’esclusione, in quanto stabilisce che “le decisioni di cui al paragrafo 2 - le esclusioni - non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, [o 10, paragrafo 1, Regolamento 2018/1725] a meno che non sia d’applicazione [gli] articol[i] 9 [e 10], paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato”.
Giunti a questo punto, per districare la matassa sembra opportuno citare il Garante Europeo, il cui ragionamento è valido anche per il settore privato per i motivi già illustrati. Questi infatti afferma che “attualmente non esiste una legge dell’Unione Europea [o nazionale, bisogna aggiungere], ai sensi dell'articolo 24, paragrafo 4, [e dell’articolo 22, paragrafo 4, GDPR] che autorizzi i controlli della temperatura basati esclusivamente sul trattamento automatizzato per consentire o negare l’accesso ai locali […] per motivi di salute e sicurezza. Pertanto, un sistema completamente automatizzato di controlli della natura sarebbe lecito solo su base volontaria, con il consenso esplicito degli interessati ai sensi dell'articolo 10 [o 9 GDPR], paragrafo 2, lettera a)” dei Regolamenti.
Terminati i profili di particolare interesse, si segnala in chiusura che nel prosieguo delle guidelines sono suggeriti dal Supervisor alcuni accorgimenti tecnici sulle modalità di raccolta dei dati – sì da garantire il rispetto dei principi di privacy by design e by default – e ultime raccomandazioni generali per qualsiasi tipo di “temperature checks”. Esemplificando, si consiglia di informare con chiarezza qualsiasi interessato del fatto che è in atto un sistema di controllo della temperatura, fornendone i motivi ed eventuali altre informazioni aggiuntive (es. responsabili della decisione). Inoltre, avvisi e segnali recanti informazioni sui controlli dovrebbero essere posti presso tali punti, ed essere sufficientemente grandi da poter essere notati e letti senza difficoltà. Infine, è consigliato ai corpi europei – e quindi anche ai privati – di implementare procedure di revisione continua al fine di verificare costantemente la necessità e, se del caso, la proporzionalità delle misure alla luce dell’evoluzione pandemica.
In conclusione, alla luce di quanto scritto, è evidente che le osservazioni formulate dal Garante Europeo sono applicabili anche ai privati. Tuttavia, preme evidenziare che la loro osservanza – che trova comunque un conforto su di un piano giuridico, come si è tentato di evidenziare – dovrebbe scaturire in primo luogo dall’attenzione che i privati pongono nella prevenzione e nel contenimento della pandemia. Ciò presuppone, soprattutto per organizzazioni di grandi dimensioni e spiccata complessità, la collaborazione di diverse funzioni di controllo interne – compliance, risk management e RSPP, per citare le più note – secondo una catena di poteri e responsabilità che consenta la proficua circolazione delle informazioni, l’efficace implementazione delle misure di sicurezza e l’adeguato controllo sul loro rispetto. Detto altrimenti, il buonsenso dovrebbe essere la prima ragione a spingere tali soggetti a una maggiore attenzione.
[1] Avvocato del Foro di Roma e collaboratore di FC Law Firm, studio professionale che presta consulenza e assistenza legale a società ed enti. Opera prevalente nei settori della privacy, assicurativo, bancario e finanziario, assistendo il cliente in sede giudiziale e stragiudiziale, nella risoluzione di problematiche attinenti al diritto commerciale e societario, nella gestione e organizzazione dei sistemi di controllo interno e nella corporate governance (
[2] Dottoressa in Giurisprudenza, si sta specializzando in protezione dei dati e cybersecurity.
[3] “Orientations from the EDPS: Body temperature checks by EU institutions in the context of the COVID-19 crisis”, European Data Protection Supervisor, 1° settembre 2020.
[4] In proposito, peraltro, si noti che tanto l’art. 2, paragrafo 5, del Regolamento 2018/1725 quanto l’art. 2 GDPR condividono il medesimo ambito di applicazione, come si avrà modo di evidenziare nel prosieguo.
[5] Tale ricostruzione è riconfermata quando si afferma che “to remain outside the scope of the Regulation, temperature measurements may not be followed by registration, documentation or other processing allowing to link such temperature checks to a data subject (such as an identity check that would form part of a filing system)”.
[6] Tuttavia, è interessante rilevare che la pandemia da Covid-19 costituisce una lampante eccezione alla regola generale, talmente grave nella sua portata da poter essere ricompresa molteplici cause di esclusione. In primo luogo, infatti, ricade nell’ambito della lettera b), secondo cui “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato”; in aggiunta, si tenga a mente anche la lettera g), che contempla il caso in cui “il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”; infine, si ricordi la lettera i), a mente della quale “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale”.
