Quali norme regolano il trattamento dati personali relativo alle immagini raccolte e il potenziale controllo a distanza dei lavoratori?
Articolo a firma dell’Avv. Lorenzo Perino, Amministratore Unico Lext Consulting e Of Counsel di Lexpertise Legal Network, pubblicato su: https://ntplusdiritto.ilsole24ore.com/art/videosorveglianza-azienda-norme-e-adempimenti-AF4bIohC
L’installazione di impianti di videosorveglianza in ambito aziendale ha numerose implicazioni normative e obbliga l’imprenditore ad adottare una serie di adempimenti per tutelare i diritti dei lavoratori e degli interessati di cui tratta i dati personali. Le norme che vengono in evidenza sono numerose, alcune anche accompagnate da sanzioni piuttosto severe, per questo motivo è fondamentale attivarsi prima della progettazione e dell’accensione dell’impianto.
Le ragioni che spingono un imprenditore all’acquisto e all’installazione di un impianto di videosorveglianza possono essere varie, a partire dalla tutela del patrimonio aziendale, alla tutela della salute e sicurezza sui luoghi di lavoro e ad esigenze di ottimizzazione della produzione.
Il nostro ordinamento ha previsto una serie di norme specifiche a tutela dei diritti delle persone fisiche e dei lavoratori perché l’utilizzo di questi strumenti tecnologici avvenga in modo lecito e non troppo invasivo. I due temi principali che vengono sollevati dalla videosorveglianza in azienda sono il trattamento dati personali che le immagini raccolte generano e il potenziale controllo a distanza dei lavoratori che può essere realizzato attraverso l’utilizzo delle telecamere.
Partendo dal tema relativo alla privacy, bisogna premettere che la raccolta di immagini (fotografie o video) che ritraggano persone fisiche identificabili dà luogo a un trattamento di dati personali riferiti agli interessati che vengono ripresi.
E’ necessario che le immagini siano riprese da una distanza che consenta l’identificazione delle persone perché queste siano rilevanti in materia di privacy e comportino l’applicazione del Regolamento Europeo n. 679 del 2016 – General Data Protection Regulation – GDPR e del D.Lgs. 196/2003 come novellato dal D.Lgs. 101/2018, oltre che di tutti i Provvedimenti dell’Autorità Garante.
Molto interessanti ed esaustive sul punto sono poi le “Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video dell’European Data Protection Board – EDPB” adottate il 29 gennaio 2020.
Non è soggetta all’applicazione delle norme descritte la ripresa delle immagini effettuata da grandi distanze che non dia la possibilità di riconoscere i soggetti che vengono ritratti, verrebbe infatti meno il requisito dell’identificabilità. Il limite all’applicabilità della normativa privacy poi è costituito dall’utilizzo in ambito domestico per finalità strettamente personali delle immagini. Quindi ciascuno di noi che installa una videocamera all’interno della propria abitazione o del proprio giardino, senza che questa vada a riprendere aree ad accesso pubblico.
Qualsiasi impianto di videosorveglianza installato in ambito professionale, in azienda o all’interno di un esercizio commerciale o anche in uno spezio esterno aperto al pubblico, genera un trattamento di dati personali che deve essere regolato a cura del Titolare del trattamento, che generalmente è da considerarsi l’azienda stessa nella persona del legale rappresentante o del consigliere delegato a cui è stata attribuita delega specifica (notarile) circa la compliance in materia di privacy.
Ho fatto riferimento in apertura al fatto che sia necessario attivarsi già in fase di progettazione dell’impianto, poiché in ossequio al principio della “ privacy by design ” anche il dimensionamento e il posizionamento delle telecamere ha una sua rilevanza specifica. In caso contrario ci si potrebbe trovare davanti ad un impianto che magari è stato sovradimensionato rispetto alle esigenze specifiche per cui è stato adottato oppure che riprende direttamente postazioni di lavoro di lavoratori dipendenti o magari porzioni troppo ampie di pubblica via adiacente agli ingressi da controllare.
Per questi motivi il supporto di conformità normativa dovrà partire dalla progettazione, per evitare di dover effettuare interventi correttivi molto costosi una volta ricevute le contestazioni da parte delle autorità pubbliche di controllo, nella fattispecie Guardia di Finanza per quanto attiene alla privacy e Ispettorato del Lavoro per quanto attiene al controllo a distanza dei lavoratori.
Il progettista dovrà dimensionare l’impianto rispettando il principio di “minimizzazione” dei dati personali limitando il numero di telecamere e limitando altresì gli angoli di ripresa a quanto necessario per perseguire la finalità per cui l’impianto è stato installato. Dovrà evitare anche di installare telecamere all’interno di aree in cui sia vietato l’utilizzo, come servizi igienici o spogliatoi.
Partendo dall’acquisizione delle immagini, è necessario, in ossequio a quanto disposto dall’art. 13 del GDPR, procedere ad informare l’interessato del trattamento di dati che lo riguarda, affiggendo l’informativa in un luogo che preceda l’area videosorvegliata, in modo da dare la possibilità all’interessato di scegliere se essere oggetto di videoripresa oppure no.
Quindi le informative dovranno essere posizionate in modo corretto prima dell’accesso all’area videosorvegliata, già magari all’esterno del perimetro aziendale in corrispondenza degli accessi. E non è necessario, come spesso si vede, tappezzare tutti i muri dell’azienda con l’informativa, magari già all’interno di aree videosorvegliante, visto che a quel punto il soggetto sarà già stato ripreso e quindi l’informativa risulterà tardiva e ridondante rispetto alla finalità che si prefigge.
Per quanto attiene alla cartellonistica sintetica dotata di pittogramma, è disponibile un fac-simile sul sito dell’Autorità Garante che si consiglia di utilizzare, previa compilazione con i dati di contatto del Titolare del trattamento.
Sarà anche necessario predisporre un’informativa diffusa con tutti i contenuti previsti dall’art. 13 del GDPR da affiggere in bacheca o rendere disponibile in altro luogofacilmente raggiungibile, nonché magari all’interno dell’intranet aziendale in area dedicata alla privacy. L’utilizzo di cartellonistica acquistata in ferramenta non compilata con i dati di contatto del Titolare e senza le indicazioni previste dal Garante non assolverà compiutamente all’obbligo normativo e potrà esporre il Titolare a sanzioni.
Visto che la videosorveglianza genera, come abbiamo visto, un trattamento di dati personali, bisogna individuare la base giuridica di tale trattamento nel legittimo interesse del Titolare, ai sensi dell’art. 6 comma 1 lettera f) del GDPR,
“…a condizione che non prevalgano i diritti o le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.
L’interesse del Titolare di proteggere il proprio patrimonio, di garantire la sicurezza dei luoghi di lavoro o le proprie esigenze produttive deve essere considerato legittimo, ma solamente laddove sia stato oggetto di una LIA – Legitimate Interest Assesment , redatta per iscritto il cui risultato relativo al bilanciamento di interessi delle parti coinvolte abbia dato esito positivo.
L’accesso alle immagini provenienti dall’impianto dovrà essere limitato al minor numero di soggetti autorizzati possibile, incaricati per iscritto e sottoposti a formazione specificarelativa alle implicazioni privacy della videosorveglianza.
Questo per garantire che gli addetti che accedono alle immagini abbiano ben chiari i limitie le corrette modalità di trattamento dei dati personali raccolti e vengano così minimizzati i rischi di trattamento illecito.
Questo naturalmente sia nel caso in cui non ci sia registrazione, sia a maggior ragione, nel caso in cui le immagini vengano registrate su supporto digitale.
Per quanto attiene alla registrazione e conservazione delle immagini, tema sempre di grande attualità, questa deve essere limitata a quanto necessario per perseguire la finalità prefissata, quindi generalmente in ambito aziendale a 24/48 ore dalla raccolta, salvo periodi di conservazione più lunghi in corrispondenza di chiusure aziendali.
Normalmente la scoperta di accessi abusivi o comportamenti anomali avviene entro un termine breve di uno o due giorni, talvolta però potrebbero essere ipotizzati periodi di conservazione più lunghi in relazione a specifiche esigenze produttive aziendali. Starà sempre al Titolare giustificare tali periodi di conservazione estesi all’interno della LIA, giustificando la maggior conservazione per iscritto.
Anche all’interno del Registro delle attività di trattamento del Titolare dovrà essere inserito il trattamento dati relativo alla videosorveglianza indicando dettagliatamente le sue caratteristiche come prescritto all’interno dell’art. 30 del GDPR. Nel caso in cui ci siano modifiche sostanziali al trattamento, il Registro dovrà essere aggiornato nelle parti non più attuali, essendo uno strumento “vivo” che deve rappresentare sempre la situazione di fatto in quel momento presente in azienda.
Nel caso in cui poi ci si avvalga di una società esterna che fornisca il servizio di manutenzione e assistenza dell’impianto di videosorveglianza o che fornisca un vero e proprio servizio di sorveglianza da remoto in outsourcing , essendo che questi soggetti svolgono attività di trattamento “per conto” del Titolare in senso tecnico giuridico ai sensi dell’art. 28 del GDPR, dovranno essere nominati Responsabili del trattamentosottoscrivendo un accordo di nomina specifico ( DPA – Data Protection Agreement ).
All’interno dell’accordo dovranno essere specificati i diritti e i doveri delle parti in relazione ai trattamenti di dati (immagini) esternalizzati e il Titolare sarà chiamato a verificare il livello di affidabilità del fornitore e a fornire indicazioni operative su come trattare i dati.
E in merito al rispetto delle indicazioni fornite, ove previsto in contratto, potrà anche effettuare verifiche periodiche di conformità. Naturalmente laddove questi diritti di verifica siano sanciti in contratto, dovranno anche trovare esecuzione al fine di evitare che in caso di omesso controllo e comportamenti difformi da parte del Responsabile, il Titolare possa essere soggetto alla c.d. “culpa in vigilando”. Troppe volte abbiamo assistito a contratti di nomina a Responsabile in cui si stabilivano obblighi stringenti, salvo poi lasciarli morire in un cassetto senza dare alcuna esecuzione a quanto inserito con leggerezza.
Passando ad una rapida disamina di quanto prescritto dall’art. 4 comma 2 dello Statuto del Lavoratori (Legge 300 del 1970) in tema di controlli a distanza dei lavoratori, l’articolo recita che “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”.
In mancanza di tale accordo gli impianti possono essere installati previa autorizzazione da parte della sede territoriale dell’Ispettorato Nazionale del Lavoro. Questa norma mira a evitare che gli impianti di videosorveglianza possano essere utilizzati per una valutazione qualitativa e quantitativa della prestazione lavorativa del dipendente, certamente vietata.
Pertanto il datore di lavoro, ove presenti rappresentanze sindacali aziendali, dovrà stipulare un accordo relativo all’impianto installato, concordando con la componente sindacale struttura e modalità di funzionamento dell’impianto. In caso invece di mancato accordo, dovrà presentare istanza di autorizzazione all’Ispettorato Nazionale del Lavoro (utilizzando la modulistica presente sul sito di ciascuna direzione provinciale) e, previa verifica delle caratteristiche dell’impianto, ottenere formale autorizzazione all’installazione.
Come risulta evidente sia in termini di trattamento dati personali, sia in termini di controllo a distanza dei lavoratori, il consenso espresso dall’interessato/lavoratore subordinato non risulta essere la “base giuridica” per cui l’azienda può avvalersi delle telecamere. In entrambi i casi il consenso del lavoratore risulterebbe certamente viziato dalla posizione di subordinazione in cui si trova in relazione al contratto di lavoro che ha sottoscritto all’atto dell’assunzione.
L’utilizzo della videosorveglianza in azienda ha quindi numerose conseguenze legali per titolare del trattamento e datore di lavoro che, ove non adottino tutti gli adempimenti prescritti dalla normativa obbligatoria, saranno soggetti a sanzioni molto rilevanti, anche di natura penale.
Avv. Lorenzo Perino