In Italia, l’installazione degli impianti di videosorveglianza nei luoghi di lavoro e il conseguente trattamento dei dati è disciplinato da una pluralità di fonti, ovvero dallo Statuto dei Lavoratori (Leggo 300/1970), dal GDPR, dal Codice Privacy, dalle circolari dell’Ispettorato Nazionale del Lavoro, dalle Linee guida 3/2019 adottate lo scorso 29 gennaio dell’EDPB e dal Provvedimento 8 aprile 2010 del Garante per la Protezione dei dati personali. Vediamo di seguito come gli imprenditori possono orientarsi tra questa miriade di fonti per installare in maniera corretta un impianto di videosorveglianza, assicurando la compliance a tutti gli adempimenti collegati.
Videosorveglianza, i requisiti per l’installazione
L’art. 4 della legge 300/1970 (cd. “Statuto dei lavoratori”), come riformulato dall’art. 23 del D.Lgs. n. 151/2015, attuativo del cosiddetto “Jobs Act” (ovvero legge delega n. 183/2014) e integrato, in seguito, dal D.Lgs. n. 185/2016, stabilisce le modalità con le quali il datore di lavoro può impiegare impianti audiovisivi e altri strumenti di controllo.
Il datore di lavoro che abbia intenzione di installare un impianto di videosorveglianza dovrà, prima dell’installazione stessa, alternativamente, stipulare un accordo con la rappresentanza sindacale unitaria o aziendale oppure richiedere l’autorizzazione alla sede territoriale dell’Ispettorato Nazionale del Lavoro (qui il link al modulo di istanza). Nel caso in cui l’azienda abbi più sedi sul territorio potrà stipulare l’accordo con le associazioni sindacali comparativamente più rappresentative sul piano nazionale o richiedere un’unica autorizzazione, per tutte le unità produttive, alla sede centrale dell’Ispettorato.
In assenza dell’accordo o dell’autorizzazione, l’installazione dell’apparecchiatura è illegittima e sanzionata secondo le disposizioni dell’art. 171 del D.lgs. 196/2003 dall’art. 38 dello Statuto, nonchè per condotta antisindacale dall’art. 28 sempre dello Statuto.
È in ogni caso illecita l’installazione in presenza, come presupposto, unicamente del consenso dei lavoratori. Come ribadito più volte dalla Cassazione, da ultimo nella sentenza n.1733/2020, il consenso dei dipendenti non è sufficiente per installare un impianto di videosorveglianza. Questo in quanto la procedura delineata dall’art. 4 dello Statuto assicura una protezione dei diritti dei lavoratoti, ad opera delle rappresentanze sindacali o dell’Ispettorato, in considerazione del fatto che questi rappresentano la parte debole del rapporto lavorativo.
È bene evidenziare che, nello spirito dello Statuto dei Lavoratori e della normativa privacy, è sempre vietato il controllo dell’attività del lavoratore attraverso gli impianti di videosorveglianza, la quale è ammessa solo in via incidentale.
L’installazione di tali impianti audiovisivi in azienda può avvenire solamente in presenza di tre presupposti per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
Nel caso in cui l’autorizzazione sia richiesta presso l’INL, l’oggetto della attività valutativa riguarderà la validità del presupposto posto a base della richiesta, come chiarito dall’Ispettorato stesso con la circolare 5/2019. L’Ispettorato precisa che non è di fondamentale importanza specificare il posizionamento predeterminato e il numero esatto delle telecamere (si pensi alle famose planimetrie allegate alle istanze che tanti grattacapi hanno creato agli imprenditori ed ai loro consulenti) ma verrà valutato in sede di valutazione e ispezione la loro coerenza e necessità in rapporto con le ragioni dichiarate nell’istanza.
L’accesso da postazione remota alle immagini visualizzate in tempo reale può essere autorizzato unicamente in casi eccezionali e motivati, mentre per la visualizzazione delle immagini registrate deve esserne tracciato l’accesso attraverso funzionalità che conservino i relativi log, per un periodo non inferiore a sei mesi.
Videosorveglianza, gli adempimenti per la privacy
Analizziamo ora quali sono gli adempimenti privacy che il datore di lavoro è tenuto a porre in essere:
- Implementazione dei principi di data protection by default e by design:
come precisato nell’articolo 25 del GDPR, i titolari sono tenuti ad attuare misure tecniche e organizzative adeguate a garantire la protezione dei dati già al momento della pianificazione dell’attività di videosorveglianza, ovvero prima di iniziare la raccolta e l’elaborazione dei filmati video.
Questi principi sottolineano la necessità di tecnologie le quali garantiscano la tutela della privacy degli interessati tramite impostazioni predefinite e l’utilizzo di strumenti che assicurino “by design” dal momento della progettazione la massima protezione possibile dei dati personali. Nel caso in cui il titolare acquisti il sistema di videosorveglianza, dovrà scegliere un impianto che lo agevoli nel rispetto di questi principi.
Le Linee guida 3/2019 forniscono esempi pratici di tecnologie privacy-friendly, ad esempio i sistemi che consentono di mascherare aree che non sono rilevanti per la sorveglianza o di oscurare i volti degli interessati quando si mostrino le riprese video a soggetti terzi. I sistemi non devono fornire funzioni non necessarie ed eccessive rispetto a quelle necessitate, come il movimento a 360 gradi delle telecamere, capacità di zoom eccessive, analisi e registrazioni audio. Le funzioni fornite, ma non necessarie, devono essere disattivate. Le Linee guida richiedono poi misure di sicurezza fisiche (ad es. per sovratensioni elettriche, temperature estreme), protezione contro interferenze intenzionali e non intenzionali delle normali operazioni (ad es. utilizzo di soluzioni basate su hardware e software come firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici) e controllo accessi (ad es. metodi e mezzi di autenticazione e autorizzazione dell’utente, incluso ad es. la lunghezza delle password e la frequenza di modifica).
Sempre nell’ottica di accountability, le misure di sicurezza dovranno essere quelle adeguate al caso concreto e frutto di una attenta valutazione del rischio effettuata dal titolare prima di intraprendere qualsiasi trattamento. Il titolare del trattamento deve essere in grado di dimostrare l’efficacia delle misure adottate e nel valutarle tiene in considerazione la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché il rischio per i diritti e le libertà delle persone fisiche.
- Informative per dipendenti, clienti/visitatori:
lo stesso art. 4 dello Statuto dei Lavoratori impone al datore di lavoro l’obbligo di informare i propri dipendenti circa il trattamento effettuato attraverso la videosorveglianza. Come richiesto anche dall’art. 13 del GDPR, il titolare prima di dare inizio ad un trattamento dati informa gli interessati.
Nel caso specifico della videosorveglianza, l’informativa andrà fornita ai dipendenti e a tutti i possibili interessati del trattamento, ovvero tutti i soggetti che potrebbero essere potenzialmente ripresi dalle videocamere. Tale informativa deve essere fornite in forma breve ed in forma estesa. Le Linee guida 3/2019 sulla videosorveglianza, adottate in via definitiva il 29 gennaio scorso, hanno fornito un nuovo standard per l’informativa breve, ovvero il cartello solitamente affisso per avvisare della presenza delle videocamere. Il cartello dovrebbe essere posizionato in modo tale che l’interessato possa facilmente venirne a conoscenza prima di entrare nell’area sorvegliata (approssimativamente a livello degli occhi).
L’informativa breve deve contenere le informazioni più importanti, ad es. le finalità del trattamento, l’identità del titolare e del D.P.O. e l’esistenza dei diritti dell’interessato, insieme alle informazioni sui maggiori impatti del trattamento. È consigliato inserire un QR code che rimandi all’informativa estesa.
L’informativa estesa andrà resa disponibile per tutti gli interessati, è buona prassi esporla alla reception/desk/cassa.
- Designazione delle persone autorizzate al trattamento dei dati relativo alla videosorveglianza:
nell’ambito dell’organizzazione interna aziendale, il titolare è tenuto a designare e formare in materia i dipendenti, i quali operano sotto le sue direttive ed hanno accesso alle immagini. In considerazione del carattere invasivo dei trattamenti effettuati attraverso la videosorveglianza e dei possibili rischi collegati, è importante per il titolare procedere con questi adempimenti in maniera molto puntuale fornendo agli autorizzati, nell’atto di designazione, istruzioni molto dettagliate nonché procedere con la formazione, perlomeno annuale, del personale designato.
- Accordo sul trattamento dei dati con eventuali responsabili esterni del trattamento, ad esempio società che forniscono servizi di manutenzione dell’impianto di videosorveglianza e/o hanno la possibilità di accedervi anche da remoto:
per la videosorveglianza le aziende molto spesso si rivolgono a fornitori esterni. Nel caso sarà necessario sottoscrivere un accordo sul trattamento dei dati con il proprio responsabile esterno nel caso in cui questo abbia accesso ai dati acquisiti per il mezzo dell’impianto di videosorveglianza, ad esempio nel caso in cui effettui la manutenzione o sia collegato con la centrale operativa di società di sicurezza privata. In tali casi, il titolare, a memoria dell’art. 28 del GDPR, è tenuto a scegliere il fornitore/responsabile tra quei soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate e a disciplinare i trattamenti svolti dal responsabile attraverso un contratto o altro atto giuridico.
- Valutazione di impatto privacy, vedremo di seguito in quali casi è necessaria:
attraverso la videosorveglianza si realizza un monitoraggio sistematico ed automatizzato di uno spazio specifico, il quale comporta la raccolta e la conservazione di immagini o videoriprese dei soggetti che entrano nello spazio monitorato, i quali sono potenzialmente identificabili sulla base del loro aspetto o di altri elementi specifici.
Il rischio potenziale derivante dai trattamenti di questi dati aumenta in relazione alla dimensione dello spazio monitorato e al numero di persone riprese. Come procedere ad una corretta valutazione del rischio e alla sua mitigazione? La risposta la troviamo nelle indicazioni contenute nell’articolo 35, paragrafo 3, lettera c), il quale richiede l’esecuzione di una valutazione d’impatto sulla protezione dei dati nel caso di un monitoraggio sistematico di un’area accessibile al pubblico su larga scala.
Il Garante ha pubblicato, in data 11 ottobre 2018, in base a quanto previsto dall’art. 35 par. 4 del GDPR, l’elenco delle tipologie di trattamenti dati da sottoporre a Valutazione di Impatto, tra le quali sono elencati anche i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.
Conseguentemente, tutti i datori di lavoro, prima di installare l’impianto di videosorveglianza sono tenuti ad effettuare la DPIA in quanto il trattamento dei dati che viene effettuato può comportare un rischio elevato per i diritti e le libertà degli interessati.
Nel caso in cui a seguito della Valutazione di Impatto il rischio derivante dal trattamento risultasse elevato, nonostante le misure di sicurezza pianificate dal titolare, sarà necessario consultare l’Autorità Garante prima di procedere al trattamento, come indicato all’art. 36 del GDPR.
- Inserimento del trattamento relativo alla videosorveglianza nel registro delle attività di trattamento dati dell’azienda:
Il titolare è tenuto ad aggiornare il proprio registro delle attività di trattamento inserendo le seguenti informazioni riguardo la videosorveglianza:
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Le informazioni andranno aggiornate ogni qualvolta intervenga una variazione nello svolgimento del trattamento, ad esempio cambi il fornitore del servizio di manutenzione o vengano implementate le misure di sicurezza.
Conclusioni
L’aumento delle minacce alla sicurezza dovute all’incremento delle attività criminali è un importante fattore responsabile della continua adozione delle soluzioni di videosorveglianza a livello globale, oltre ai costi sempre minori degli impianti. Secondo le previsioni, questo mercato dovrebbe passare dai 36,89 miliardi di dollari del 2018 a 68,34 miliardi di dollari entro il 2023, con un tasso di crescita annuale composto del 13,1% nello stesso periodo (fonte: researchandmarkets.com).