Termoscanner, videosorveglianza, riconoscimento facciale: facciamo chiarezza
La convivenza con la situazione emergenziale causata dal virus Covid-19 ha reso indispensabile per aziende private ed enti pubblici l’adozione di strumenti di misurazione della temperatura corporea per fronteggiare i pericoli legati alla pandemia.
Il mercato si è sviluppato molto in tal senso ed ha reso disponibile una variegata quantità di dispositivi con molteplici funzionalità, in particolare, termoscanner che rilevano semplicemente la temperatura corporea, ma possiamo anche trovare sistemi più sofisticati, dotati di riconoscimento facciale, che permettono inoltre la rilevazione della presenza della mascherina sul viso ed anche la possibilità di un sistema di rilevazione degli accessi, eliminando di fatto i badge. La rilevazione degli accessi tramite riconoscimento facciale, tuttavia, comporta diverse criticità dal punto di vista normativo in materia di protezione dei dati personali.
Termocamere e videocamere sono soggette alla stessa normativa?
Le due tecnologie potrebbero essere assimilate, in realtà ci sono delle differenze tecniche sostanziali, in quanto le prime agiscono su un sistema di fotografie e non sono in grado di individuare univocamente i soggetti, rilevano il calore corporeo senza identificare la persona. Dunque, a meno che non siano integrate da un sistema di videosorveglianza, tale strumento non è regolato dal Provvedimento del Garante della Privacy in materia di videosorveglianza 8 aprile 2010.
Sistemi dotati di rilevazione temperatura e riconoscimento facciale: alcune precisazioni
Gli strumenti di misurazione della temperatura integrati con i sistemi di rilevazione degli accessi comportano un riconoscimento facciale, ovvero effettuano un trattamento di dati biometrici, i quali sono soggetti a stringenti requisiti individuati dall’art. 9 del GDPR, che consente il trattamento di tali dati solamente ad esempio tramite il consenso dell’interessato, la necessità di assolvere obblighi o esercitare diritti del Titolare del trattamento/dell’interessato in materia di diritto del lavoro o per motivi di interesse pubblico rilevante.
Il consenso non può essere individuato quale base giuridica idonea per trattare tali categorie di dati nell’ambito del rapporto di lavoro (in quanto il lavoratore è considerato parte debole del rapporto lavorativo ed il suo consenso non sarebbe libero. Per implementare un sistema di questo tipo è necessario preliminarmente verificare che non violi il principio di proporzionalità, ossia che il trattamento di dati biometrici non sia sproporzionato rispetto alle finalità che intende raggiungere (occorre fare quindi una DPIA, una valutazione del rischio). Sul punto, possiamo evidenziare che lo European Data Protection Supervisor (il Garante europeo) ha ritenuto che l’adozione di sistemi biometrici di rilevazione degli accessi da parte di istituzioni europee (es. Parlamento UE) configuri una violazione del principio di proporzionalità, in quanto la medesima finalità poteva essere raggiunta con mezzi meno intrusivi (es. badge). Tale sistema può essere usato in situazioni eccezionali, in quanto il trattamento di tali dati può essere molto rischioso per la libertà degli interessati, e ad esempio, questo strumento potrebbe essere utilizzato da parte di aziende facenti parte del comparto della Difesa.
Conclusioni
La materia privacy come sappiamo si basa su bilanciamenti di interessi contrapposti, e spesso di difficile comparazione, per questo motivo vi consigliamo di valutare sempre con molta attenzione le scelte intraprese per evitare il pericolo di incorrere in sanzioni da parte del Garante della privacy, controlli che possono pervenire oltre che dal piano ispettivo programmato dall’autorità anche per il tramite di singole segnalazioni da parte degli interessati.