Assicurare la salute all’interno dei luoghi di lavoro è l’obbligo oggi per le aziende che intendono proseguire le attività produttive. Per farlo si ricorre all’utilizzo di specifici strumenti che però deve rispondere a precise regole.
L’angolo dell’avvocato
Purtroppo la pandemia prosegue e un metodo per garantire la continuità delle attività produttive passa attraverso le misure atte ad assicurare la salute all’interno dei luoghi di lavoro. Per fare questo si è ricorsi allo strumento finora poco usato del termoscanner o termocamera, che deve seguire le proprie regole per poter essere usato in modo legittimo e senza rischi di sanzione o contestazioni.
La termocamera e la termografia rappresentano quindi metodi utili e indispensabili per il contrasto della diffusione del coronavirus. La termografia a infrarossi è la soluzione più efficace e immediata per rilevare una temperatura corporea elevata che può quindi essere indice di febbre. A differenza del termometro ad infrarossi, la termocamera si può collegare a un monitor esterno o è fornita di un display, sul quale vengono rappresentate graficamente le temperature misurate.
Le imprese stanno perciò ricorrendo in modo massivo a questo strumento, ma sul punto esistono non pochi problemi di legittimazione all’impiego delle informazioni acquisite, in ragione della raccolta del dato particolare relativo alla “I”, ai sensi dell’art. 9 Reg. Ue 2016/679.
Accanto alla radiometria, c’è la tecnologia fondata sulla AI ed in particolare sul deep learning, denominata Bi-Spectrum, che si compone di due algoritmi di intelligenza artificiale:
1. AI Face Detection, algoritmo capace di distinguere un volto umano da altro. Il codice per rilevare i volti nell’immagine caricata, disegnare un riquadro di delimitazione attorno ai volti rilevati e visualizzare l’immagine finale con i volti rilevati è quello impiegato;
2. AI Body Temperature Compensation, in grado di distinguere e individuare se le sorgenti calde presenti siano umane o di altra natura. Il primo problema di natura giuridica è valutare se e a quali condizioni l’applicazione, e dunque l’impiego di tali dispositivi tecnologici possano considerarsi legittime.
L’art. 4 del GDPR o Regolamento Ue n. 2016/679 ha definito profilazione ogni trattamento automatizzato, ossia privo d’intervento umano, di dati personali, impiegati per valutare determinati aspetti personali relativi alla persona fisica, qual è per esempio la salute.
Tutte queste informazioni possono essere inserite in cluster per procedere alla analisi dei dati che possano condurre a valutazioni o previsioni, ossia al procedimento decisionale automatizzato. L’uso del verbo “valutare” suggerisce che la profilazione implichi una qualche forma di valutazione o giudizio in merito a una persona. Il processo automatizzato induce a prendere decisioni esclusivamente attraverso strumenti tecnologici, senza l’intervento umano, fondate solo su dati forniti dall’interessato o ricavati da tool traccianti.
Supponiamo che la termocamera rilevi una temperatura corporea superiore ai 37,5° riferibile a un individuo. Al 1° dato iniziale, gradi centigradi di temperatura corporea, 37,5°, si genererà un 2° dato susseguente, la rilevanza di una condizione di salute alterata e dunque la nuova informazione della sussistenza di una malattia.
In questo momento storico, sta sorgendo l’esigenza di ricorrere a questi processi per un vantaggio non immaginato prima: la prevenzione e la tutela della salute della persona fisica e la protezione del bene vita. Il Garante Italiano è intervenuto con una circolare del 2 marzo 2020 proprio in ordine all’impiego di termocamere per rilevare la temperatura delle persone che devono accedere a luoghi aperti al pubblico o locali privati (come supermercati o attività produttive): “I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera ex- tra lavorativa”.
Il metodo di raccolta dei dati non deve essere aprioristico, sistematico, generalizzato. Non si possono raccogliere poi le informazioni su eventuali sintomi influenzali, quelle sui contatti del dipendente, né quelle sulle proprie abitudini extralavorative.
Infine l’art. 5 dello Statuto dei Lavoratori, vietando espressamente accertamenti da parte del datore di lavoro sulla infermità per malattia del lavoratore dipendente, renderebbe, in assenza di uno specifico obbligo di legge, illegittima anche dal punto di vista privacy ogni indagine di questo tipo, inclusa la rilevazione della temperatura.
In realtà il Garante, nel proprio comunicato, si è limitato a richiamare l’attenzione sulla necessità di rispettare i principi di minimizzazione e necessità , in forza dei quali le suddette attività sono giustificate solo ove strettamente necessarie in assenza di altri modi per perseguire il medesimo obiettivo e purchè siano trattati i dati strettamente indispensabili e unicamente dai soggetti preposti dalla legge a farlo.
Pochi giorni dopo la pubblicazione di tale nota del Garante, anche l’European Data Protection Board (EDPB) emanando in data 19 marzo 2020, una “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di Covid-19”. In tale documento, anche l’EDPB si è raccomandato di rispettare i generali principi di proporzionalità e minimizzazione dei dati. Il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del Covid-19 negli ambienti di lavoro” poi indica i criteri per poter procedere alla rilevazione della temperatura, precisando anche quali adempimenti siano necessari per rendere detto trattamento legittimo. Le imprese dovranno poi assicurarsi di raccogliere solo i dati effettivamente indispensabili per la finalità di prevenzione dal contagio da Covid-19, adottando tutte le misure adeguate allo scopo ed esclusivamente per la durata dell’emergenza (o eventuali diversi tempi previsti dalla legge).
Si rende quindi necessario l’adeguamento alle misure adottate di tutto l’apparato documentale in materia di protezione dei dati personali di cui sono in possesso le imprese.
Dovranno essere poi individuati nell’organizzazione aziendale i soggetti deputati al trattamento di tali dati per fini di prevenzione, ai quali l’attività dovrà fornire apposite istruzioni. Occorrerà poi coinvolgere il medico competente con cui coordinarsi per procedere alla raccolta di dati relativi allo stato di salute, laddove la stessa venga condotta dal medesimo o almeno su sua disposizione e coordinamento.
Si dovrà procedere all’impiego di una simile tecnologia senza registrazione del dato acquisito e garantendo la riservatezza del soggetto interessato.
Il GDPR, art. 22 comma 2, lett c), prescrive come il processo decisionale automatizzato e la profilazione siano legittime, laddove l’interessato abbia espresso il proprio consenso debba essere comprensibile il metodo. In particolare, sarà opportuno fornire una specifica spiegazione della decisione cui si potrà pervenire con il processo decisionale automatizzato dall’uso tecnologia.
In altre parole sarà necessario spiegare in modo specifico i criteri utilizzati per pervenire alla decisione e le modalità concrete con cui il trattamento automatizzato potrebbe influenzare le sorti dell’interessato (per esempio continuare a lavorare o sospendere temporaneamente e sino alla guarigione, per l’eventuale contrazione del virus, le proprie mansioni). Accanto a un diritto alla spiegazione ex ante ed ex post all’interessato, parrebbe sorgere anche un diritto alla leggibilità dei dati e degli algoritmi coinvolti in un processo decisionale automatizzato. In particolare occorrerebbe su questo diritto di leggibilità , sarebbe appropriato combinare tra le informazioni indispensabili ed imprescindibili:
• architettura: ossia la comprensibilità del funzionamento dell’algoritmo;
• implementazione: ossia la trasparenza delle finalità che si prefigge l’uso della tecnologia.
di Avv. Laura Lecchi
