Celebriamo idealmente 10 anni (28-06-2011) dall’approvazione della Legge Golfo-Mosca con una settimana di articoli al femminile, firmati dalle nostre autrici.
Il Garante per la protezione dei dati personali spagnolo ha ritenuto che l’uso di telecamere termiche volte alla misurazione della temperatura corporea nel contesto dell’emergenza sanitaria Covid-19 non rientra nell’ambito di applicazione del GDPR.
L’Agenzia Spagnola per la protezione dei dati personali ha emesso, lo scorso 24 maggio, una decisione sicuramente innovativa e rilevante per un considerevole numero di imprese Titolari del trattamento.
Infatti, come noto, nel corso del 2020, in ragione dell’emergenza epidemiologica, si sono susseguiti, in tempi molto ravvicinati, numerosi interventi normativi a livello nazionale ed europeo – nonché conseguenti atti di indirizzo emanati dalle istituzioni e Autorità competenti – che hanno imposto alle imprese le cui attività non sono state totalmente bloccate, di osservare alcune specifiche misure, come la misurazione della temperatura corporea dei visitatori, clienti, fornitori e dipendenti, per il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro.
Tali misure, come noto, hanno interessato diversi paesi europei (tra cui anche l’Italia), con risultati piuttosto disomogenei dal punto di vista della protezione dei dati personali.
In questo contesto si inserisce anche la recentissima pronuncia(1) dell’Agenzia Spagnola per la protezione dei dati personali, la quale, chiamata a pronunciarsi sulla legittimità del sistema di misurazione della temperatura corporea adottato dalla società Metro Bilbao S.A., ha sicuramente adottato un approccio inedito rispetto ad un tema davvero molto discusso.
In particolare, la società Metro Bilbao aveva implementato un sistema di controllo della temperatura con l’obiettivo di contribuire a salvaguardare la sicurezza fisica delle persone, fornendo agli utenti (quindi non solo ai dipendenti, ma anche ai clienti e visitatori) uno strumento di maggior tutela del loro stato di salute.
Il processo di monitoraggio della temperatura prevedeva in particolare l’installazione di una telecamera termografica in uno spazio appositamente abilitato in alcune stazioni della metropolitana, nel quale i soggetti interessati dovevano transitare uno alla volta, senza alcuna attività di riconoscimento e senza alcuna registrazione delle predette informazioni. In altre parole, la telecamera termografica avrebbe ripreso solo una mappa di calore (tale da consentire di conoscere la misura della temperatura) senza identificazione dell’interessato e senza registrazione dei dati.
La stessa Società precisava che:
1. sarebbero raccolti solo identificatori indiretti (la mappa di calore, appunto) in assenza di identificatori diretti, come l’immagine o simili;
2. la misurazione della temperatura sarebbe stata supervisionata da personale sanitario qualificato appositamente contrattualizzato da Metro Bilbao, in grado di poter interpretare correttamente i risultati ottenuti;
3. solo in caso di superamento della temperatura, gli interessati sarebbero stati sottoposti ad una seconda misurazione attraverso termometro clinico senza contatto e, in caso di doppio superamento della temperatura, sarebbe stato consigliato al soggetto di recarsi presso il proprio domicilio, contattando i servizi sanitari abilitati all’esecuzione di test per l’individuazione della patologia Covid-19;
4. in nessun caso il soggetto sarebbe stato tenuto ad identificarsi.
Sulla scorta di questa situazione di fatto, Metro Bilbao sosteneva che non potesse legittimamente ritenersi applicabile il Regolamento Europeo sulla protezione dei dati personali 2016/679 (c.d. “GDPR”)(2) perché quest’ultimo, all’Articolo 4, stabilisce che “i dati personali sono qualsiasi informazione relativa a una persona fisica identificata o identificabile”, dovendo intendersi per tale qualsiasi persona la cui identità può essere stabilita, direttamente o indirettamente mediante un identificatore (come un nome, un numero di identificazione, dei dati di ubicazione oppure uno o più elementi specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona).
Sul punto, l’Agenzia Spagnola ha concordato con la tesi proposta da Metro Bilbao, sottolineando che già il Working Party art. 29(3), nel lontano 2007, aveva ritenuto che sono “dati personali” le informazioni (elemento n. 1) riferite a (elemento n. 2) una persona fisica (elemento n. 3) identificata ed identificabile (elemento n. 4). concludendo che, con la misurazione della temperatura attuata da Metro Bilbao potessero certamente ritenersi sussistenti i primi 3 elementi, difettando invece l’identificazione/identificabilità della persona.
Sul punto l’Autorità precisa ancora che “per determinare se, in un determinato caso, sono stati trattati dati su una persona identificata o identificabile, è necessario partire dal tipo di dispositivo utilizzato e prendere in considerazione altre circostanze nel processo di rilevazione della temperatura che possono rendere la persona identificabile, come il fatto che la temperatura del corpo sia registrata o meno o che la temperatura sia rilevata in stabilimenti aperti al pubblico in modo tale che la persona interessata possa essere identificata da terzi. Nel caso esaminato, le telecamere termografiche e i termometri manuali sono utilizzati per la misurazione della temperatura senza che questo processo sia accompagnato da una registrazione della temperatura ottenuta dagli utenti della metropolitana. Né è stato trovato il concorso di circostanze speciali che avrebbero permesso di collegare il suddetto trattamento a una persona identificata o identificabile.. pertanto è un trattamento escluso dall’ambito di applicazione del GDPR”.
Occorre tener presente che la decisione del Garante Spagnolo non è, tuttavia, l’unica in questo senso.
Infatti anche la Commissione Nazionale dell’informatica e delle libertà (CNIL), Autorità garante Francese(4) e l’Autorità garante dei Paesi Bassi(5) hanno entrambe statuito che la sola verifica della temperatura per mezzo di un termometro manuale in occasione di ingresso in un sito non possa rientrare nell’ambito di applicazione del GDPR.
Queste decisioni, pur non avendo immediati riflessi nell’ordinamento italiano(6)(7), rappresentano certamente provvedimenti da tenere in considerazione.
Anzitutto ciò avviene per le realtà multinazionali che, operando in molteplici nazioni, si trovano a dover rispettare, con non poche criticità, diverse interpretazioni della normativa attuate dalle Autorità nazionali competenti ad interpretarle.
Inoltre, anche per le realtà nazionali occorre tenere presente che, pur restando l’Autorità nazionale l’unica competente per dirimere le questioni giuridiche inerenti la materia, esiste tra le Autorità europee un meccanismo di coordinamento e cooperazione volto a fare in modo che l’interpretazione della normativa da parte di un’Autorità non confligga con quella espressa da altre Autorità a livello europeo.
L’efficientamento di tale meccanismo di coordinamento è sicuramente auspicabile, soprattutto per le aziende multinazionali che potrebbero trovarsi spaesate di fronte ad interpretazioni apparentemente discordanti di una normativa di nuova edizione come il GDPR e comunque sicuramente può essere ben gradito per tutti i Titolari che pur in mancanza di specifiche pronunce dell’Autorità nazionale possono far riferimento a decisioni di altre Autorità europee.
Celebriamo idealmente 10 anni (28-06-2011) dall’approvazione della Legge Golfo-Mosca con una settimana di articoli al femminile, firmati dalle nostre autrici.
1. LEGGI QUI l’articolo 1/3, Legge Golfo-Mosca. I primi dieci anni, Florinda SCICOLONE
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
(1) AEPD (Autorità Garante Spagna) – Pronuncia 24-05-2021 nr. E/03884/2020
(3) Article 29 Working Party, website
(4) CNIL (Autorità Garante Francia) – Covid-19 e dati sulla temperatura
(5) AP (Autorità Garante Paesi Bassi) – Covid-19 e dati sulla temperatura
(6) Sul punto, lo ricordiamo, Il Garante Italiano ha ritenuto che “la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679),” e pertanto “non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro”.
Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.