I sistemi di videosorveglianza sono sempre più diffusi, ma sono strettamente regolamentati. Ecco gli obblighi normativi

Per cominciare: il titolare del trattamento dati tramite sistemi di videosorveglianza

Un primo punto utile da chiarire, al momento di mettere a norma l’impianto di videosorveglianza, è chi sia il titolare del trattamento dei dati personali dei lavoratori. In azienda, il ruolo di titolare del trattamento è del datore di lavoro. Ciò è dovuto al fatto che le finalità del trattamento e i mezzi usati per lo stesso si articolano nell’ambito delle sue interazioni coi dipendenti. Sono quindi responsabilità del datore di lavoro tutti i processi aziendali che prevedono il trattamento di dati personali. Sul tema sono molto chiari le Linee Guida EDPB 3/2019 e il considerando 78 del GDPR.

Ecco perchè se il titolare di un’azienda decide di installare un impianto di videosorveglianza, deve prima di tutto prevedere uno specifico processo aziendale conforme al GDPR, ma anche allo Statuto dei Lavoratori.

Accountability, privacy by design e by default: i principi cardine

Le Linee Guida EDPB citano esplicitamente l’accountability e i principi di privacy by design e by default relativamente agli impianti di videosorveglianza. Il datore di lavoro, in rispetto della privacy by design e by default, deve prevedere e attuare misure tecniche e organizzative adeguate per

  • garantire la protezione dei dati;
  • per integrare nel trattameto dati gli obblighi normativi nel rispetto dei diritti dei lavoratori.

Concretamente, che cosa significa tutto questo? Come si traducono in pratica questi principi?

1. Determinare la finalità e la base giuridica della videosorveglianza

Il primo punto da dettagliare è la finalità della videosorveglianza in azienda. L’art 4 dello Statuto dei Lavoratori elenca una serie, limitata, di possibilità, che sono:

  • tutela del patrimonio aziendale;
  • sicurezza sul lavoro;
  • esigenze organizzative e produttive.

Queste finalità devono essere messe nero su bianco e documentate. Sottolineamo che la generica finalità di sicurezza non è sufficiente. C’è qui un contrasto diretto coi principi di liceità e trasparenza del trattamento dati che il titolare deve agli interessati. Il trattamento tramite videosotrveglianza è lecito se il legittimo interesse del datore di lavoro poggia su idonea base giuridica, limitata comunque dagli interessi e diritti fondamentali dei lavoratori. Qui occorre un consulente esperto che sappia bilanciare da un lato il legittimo interesse del datore di lavoro con gli intressi, diritti e liberta dei dipendenti.

Facciamo un esempio concreto. Il datore di lavoro ha bisogno di prevenire reati legati al patrimonio. Può installare un sistema di videosorveglianza, ma vi sono molte strade alternative. Può assumere una guardia giurata, recintare la proprietà, assumere un custode, installare sistemi di allarme e rafforzare la sicurezza di porte e finestre. Contro i furti questi sistemi possono essere considerati parimenti efficaci. Ecco che il datore di lavoro deve valutare caso per caso se queste misure sono una soluzione ragionevole al suo problema, come scritto esplicitamente al punto 25 delle Linee Guida EDPB.

2. Applicare in concreto i principi di correttezza e trasparenza

Il principio di correttezza impone un limite chiaro. Il sistema di videosorveglianza deve essere impiegato solo per le finalità individuate ed esplicitate ai dipendenti. Sono vietati utilizzi impropri o per scopi inaspettati per i dipendenti.

Fa il paio col principio di correttezza quello di trasparenza. I lavoratori hanno diritto ad essere informati in modo dettagliato riguardo agli spazi videosorvegliati. L’informativa è dovuta per legge, ma nel caso in cui le informazioni da fornire ai dipendenti sono numerose, il datore di lavoro può ricorrere ad una informativa specifica a più livelli.

In un primo livello vanno indicate informazioni centrali come l’identità e i recapiti del titotale del trattamento, la finalità e la base giuridica. Ulteriori dettagli possono essere contenuti in un livello successivo dell’informativa. L’informativa completa può essere fornita indicato un QR Code che rimandi al sito web aziendale, ma anche tramite un messagguo telefonico pre registrato, come indicato nelle Linee Guida EDPB.

3. Utilizzare i cartelli corretti e disporli adeguatamente

Come si sa, gli impianti di videosorveglianza vanno segnalati.

Per saperne di più > Videosorveglianza: solo l’8% degli impianti è segnalato con regolare cartello

Il datore di lavoro, con l’installatore o il consulente, deve valutare attentamente la disposizione dei cartelli. I lavoratori dovrebbero infatti riconoscere facilmente le zone videosorvegliate perfino prima di accedervi. Da questo punto di vista sottolineiamo che la legge non obbliga a segnalare con un cartello ogni telecamera. Impone solo di disporre la segnaletica in maniera tale da rendere chiaro e immediata la conoscenza di quali zone sono videosorvegliate.

Il nuovo cartello per le aree videosorvegliate è quello sotto in figura:

Per approfondire > Nel 2019 l’European Data Protection Board (EDPB) ha adottato le nuove linee-guida sulla videosorveglianza, prevedendo una serie di nuovi obblighi normativi e diversa cartellonistica.

4. Conservazione dei dati

Un punto al quale il datore di lavoro deve prestare molta attenzione è quello del periodo di conservazione dei dati, che fa il paio col principio della minimizzazione del trattamento dati. Il datore deve valutare per quanto gli è necessario conservare i dati personali raccolti con l’impianto di videosorveglianza. Visti gli scopi più comuni, cioè protezione del patrimonio e conservazione di elementi probanti, un termine verosimile sta nell’arco dell’uno o due giorni (salvo specifiche esigenze).

In generale comunque, alla lettura del GDPR, risulta che pochi giorni sia un termine conforme alla legge. I meccanismi di cancellazione automatica sono preferibili. Se un datore di lavoro vuole conservare i dati oltre le 72 ore deve abbondantemente darne giustificazione.

5. Mettere in sicurezza sistema e dati

Il datore di lavoro ha l’obbligo id mettere in sicurezza dati e sistemi predisponendo idonee misure tecniche e organizzative. Le linee guida EDPN specificano che:

  • per sicurezza del sistema si intende la sicurezza fisica delle componenti del sistema, l’integrità e resilienza dello stesso. Gli ultimi due termini riferiscono alla resilienza del sistema a manomissioni e interferenze involontarie del normale funzionamento dei sistemi;
  • per sicurezza dati si intende la tutela
    • della riservatezza: i dati devono essere accessibili solo a chi ha avuto accesso agli stessi;
    • dell’integrità: i dati devono essere protetti dal rischio di perdita o manipolazione;
    • della disponibilità: i dati devono essere consultati ogni volta che sia necessario farlo.

6. Valutazione d’impatto (DPIA)

Stabilito il processo aziendale di videosorveglianza in accordo con gli obblighi normativi, il datore deve eseguire una valutazione d’impatto sulla protezione dei dati personali (DPIA). La DPIA è un processo che serve a valutare e poi poter dimostrare la conformità normativa di tutti i processi aziendali che prevedono il trattamento di dati personali.

L’allegato 2 alle Linee Guida WP 248 indica esplicitamente come questo processo debba essere eseguito. L’allegato è consultabile all’ultima pagina delle Linee Guida.

7. Accordo sindacale e Ispettorato Nazionale del Lavoro

Stabilito il processo di gestione del sistema di videosorveglianza e eseguita la DPIA, subentra l’obbligo di attuazione dell’art 4. della legge 300/1970, più comunemente conosciuta come Statuto dei Lavoratori.

Lo Statuto prevede che il datore di lavoro possa utilizzare impianti “audiovisivi” e altri strumenti che consentano il controllo a distanza dei lavoratori solo per le esigenze di

  • tutela del patrimonio aziendale;
  • sicurezza sul lavoro;
  • esigenze organizzative e produttive.

La stessa norma vincola la conformità degli impianti di videosorveglianza ad un accordo preventivo collettivo, stipilato con l’RSA o l’RSU aziendale. Nel caso in cui l’azienda abbia più sedi dislocate su più province o regioni, l’accordo può essere stipulatto con le rappresentanze sindacali più rappresentative a livello nazionale. In caso di mancato accordo, resta una sola opzione: ricevere l’autorizzazione della sede territoriale dell’Ispettorato del Lavoro o della sede centrale dell’INL.

Ricordiamo che violare la previsione sopra indicata costituisce reato.

8. Organizzarsi in conseguenza per dare corpo alla conformità

L’ultimo step che il datore di lavoro deve fare è quello di mettere in pratica una serie di misure organizzative

  • nominare le persone autorizzate al trattamento dei dati. La nomina deve essere scritta. Il personale che dovrà gestire l’impianto di video sorveglianza deve ricevere istruzioni specifiche.
  • predisporre e attuare le procedure per gestire l’esercizio dei diritti riconosciuti agli interessati.

Cerchi una piattaforma per la conformità del tuo sistema di videosorveglianza che ti metta al riparo da sanzioni? Siamo qui per te!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.