Telecamere sul posto di lavoro: quadro normativo e misure tecniche e organizzative - Cyber Security 360

ADEMPIMENTI PRIVACY

Telecamere sul posto di lavoro: quadro normativo e misure tecniche e organizzative

La presenza di telecamere sul posto di lavoro è un argomento sensibile al quale dedicare la massima attenzione nel rispetto dei principi normativi di riferimento, che si sono ampliati anche in ragione della disciplina comunitaria in materia di privacy. Ecco come affrontare al meglio tutti i passaggi procedurali e sostanziali

23 Nov 2020
A
Piercarlo Antonelli

Avvocato, AMTF Avvocati

C
Giusy Cardinale

Avvocato, AMTF Avvocati

Quello delle telecamere sul posto di lavoro utilizzate per la sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi, per lo più a scopo di protezione della proprietà o per proteggere la vita e la salute delle persone, è divenuto oramai un fenomeno davvero molto significativo.

Questa attività comporta la raccolta e la conservazione di informazioni grafiche o audiovisive su tutte le persone che entrano nello spazio monitorato, identificabili in base al loro aspetto o ad altri elementi specifici.

Telecamere sul posto di lavoro: normativa di riferimento

Nel particolare ambito delle videoriprese sul luogo di lavoro la normativa di riferimento sotto il profilo privacy è la seguente:

  1. il Provvedimento Generale dell’8 aprile 2010 del Garante Privacy;
  2. il Regolamento Europeo 2016/679/UE, sintetizzato in GDPR;
  3. il Parere Gruppo di Lavoro Art. 29 (ora EDPB, European Data Protection Board o Comitato europeo per la protezione dei dati) n.2/2017 dell’8 Giugno 2017 sul trattamento dei dati dei lavoratori nei luoghi di lavoro – WP 24;
  4. le Linee guida sul trattamento di dati personali attraverso sistemi di videosorveglianza (Guidelines 3/2019 on the processing of personal data through video devices) adottate dall’European Data Protection Board il 13 luglio 2019.

Telecamere sul posto di lavoro: finalità del trattamento

Le finalità del monitoraggio devono essere documentate per iscritto (sempre secondo l’art. 5, paragrafo 2 del GDPR del 2016 ed introdotto nel 2018) e devono essere specificate per ogni telecamera di sorveglianza in uso.

Inoltre, gli interessati devono essere informati delle finalità del trattamento ai sensi dell’articolo 13. La semplice menzione di uno scopo di «sicurezza» con riguardo alla videosorveglianza non è sufficientemente specifica (articolo 5, paragrafo 1, lettera b)).

Ciò contrasta, infatti, con il principio secondo il quale i dati personali vengono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (cfr. articolo 5, paragrafo 1, lettera a GDPR).

Inoltre, la normativa giuslavoristica vieta l’utilizzo di impianti audiovisivi per controllare l’adempimento dell’attività lavorativa ma ne consente l’impiego (subordinandolo, tuttavia, all’accordo sindacale o all’autorizzazione amministrativa) quando le finalità sono di altra natura anche se, indirettamente, ne derivi la possibilità di un controllo dell’attività lavorativa.

Sotto un profilo pratico le finalità per le quali diventa legittima l’installazione di telecamere sul posto di lavoro al fine di videosorveglianza sono:

  1. esigenze organizzative e produttive: si pensi alla necessità di riprendere un macchinario per verificare che questo funzioni correttamente e finisca un ciclo di produzione per iniziarne un altro; oppure a una telecamera posta sull’uscio del negozio per vedere se entrano clienti e riceverli;
  2. tutela della sicurezza del lavoro;
  3. tutela del patrimonio aziendale;

le quali rientrano nell’alveo del legittimo interesse del titolare del trattamento di cui all’Articolo 6, paragrafo 1, lettera f).

Il Garante per la protezione dei dati personali[1] (così come la Corte di Cassazione[2]) hanno definito in più casi illecito il trattamento dei dati personali mediante il sistema di videosorveglianza, in assenza del rispetto delle previsioni di cui all’art. 4 dello Statuto dei lavoratori e nonostante la sussistenza del consenso dei lavoratori medesimi[3].

Il titolare, infatti, rappresenta delle esigenze che non possono, di per sé sole, legittimare la presenza di tali dispositivi sul posto di lavoro in assenza delle garanzie che costituiscono la condizione di liceità degli stessi.

WHITEPAPER
Zero-trust Network Access: come vedere, controllare e proteggere ogni risorsa?
Sicurezza dei dati

L’uso illecito di sistemi di videosorveglianza espone, infatti, a seconda dei casi, all’impossibilità di utilizzare le immagini raccolte, a provvedimenti di blocco e divieto fino a sanzioni amministrative o a condanne penali (di cui agli artt. 161 e ss. del D.lgs. 196/2003 e al correlato articolo 38 dello Statuto dei Lavoratori).

Telecamere sul posto di lavoro: obblighi di trasparenza e informazione

La normativa europea in materia di protezione dei dati dispone da tempo che gli interessati debbano essere consapevoli del fatto che è in funzione un sistema di videosorveglianza. L’obbligo di informazione di cui all’articolo 13 del GDPR si applica se i dati personali sono raccolti «[…] presso l’interessato mediante osservazione (ad es. utilizzando dispositivi o software per catturare dati in modo automatizzato quali telecamere, […])».

Per quanto riguarda la videosorveglianza, le informazioni più importanti devono essere indicate sul segnale di avvertimento stesso (primo livello), mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello).

Il primo livello riguarda la modalità con cui avviene la prima interazione fra il titolare del trattamento e l’interessato. In questa fase, i titolari del trattamento possono utilizzare un segnale di avvertimento che indichi le informazioni pertinenti. Tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7 GDPR).

Le informazioni di secondo livello devono essere facilmente accessibili per l’interessato, ad esempio attraverso una pagina informativa completa messa a disposizione in uno snodo centrale (sportello informazioni, reception, cassa, ecc.) o affissa in un luogo di facile accesso. Come sopra illustrato, la segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento a tale secondo livello di informazioni.

Periodi di conservazione dei dati e obblighi di cancellazione

I dati personali non possono essere conservati più a lungo di quanto necessario per le finalità per le quali sono trattati (articolo 5, paragrafo 1, lettere c) ed e) GDPR). Il nostro sistema giuridico in merito alla durata della conservazione delle immagini registrate nei luoghi di lavoro, fissa il limite standard a 24 ore, eventualmente estendibili sino a 7 giorni solo a seguito di regolare richiesta.

Misure tecniche e organizzative: profili IT

Come indicato all’articolo 32, paragrafo 1 del GDPR, non è sufficiente che il trattamento di dati personali durante videosorveglianza sia lecito, in quanto titolari e responsabili del trattamento devono anche garantire l’adeguata sicurezza dei dati in questione.

Le misure tecniche e organizzative attuate devono essere proporzionate ai rischi per i diritti e le libertà delle persone fisiche derivanti dai casi di distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata o accesso ai dati di videosorveglianza.

Un sistema di videosorveglianza (“VSS”) è costituito da dispositivi analogici e digitali nonché da software per acquisire immagini, gestirle e mostrarle a un operatore.

Il sistema di videosorveglianza è costituito da un ambiente video necessario per l’acquisizione delle immagini, interconnessioni e gestione delle immagini. Le interconnessioni descrivono tutte le trasmissioni di dati all’interno dell’ambiente video (connessioni e comunicazioni). La gestione delle immagini include l’analisi, la memorizzazione e la presentazione di un’immagine o di una sequenza di immagini.

Dal punto di vista della gestione del sistema devono essere previsti un data management e activity management, che comprendono la gestione dei comandi dell’operatore e delle attività generate dal sistema (procedure di allarme, avviso degli operatori).

Le interfacce con altri sistemi possono includere il collegamento ad altri sistemi di sicurezza (controllo accessi, allarme antincendio) e di altri sistemi che non riguardano la sicurezza (sistemi di gestione degli edifici, riconoscimento automatico delle targhe).

Sicurezza del sistema significa sicurezza fisica di tutti i componenti del sistema, nonché integrità del sistema, vale a dire protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi.

Sicurezza dei dati significa riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), integrità (prevenzione della perdita o della manipolazione dei dati) e disponibilità (i dati possono essere consultati ogniqualvolta sia necessario).

La sicurezza fisica è una parte fondamentale della protezione dei dati e costituisce la prima linea di difesa, perché protegge le apparecchiature VSS da furti, atti vandalici, calamità naturali, catastrofi provocate dall’uomo e danni accidentali (ad esempio, sovratensioni elettriche, temperature estreme e riversamento di caffè). Nel caso di sistemi analogici, la sicurezza fisica è la più importante per la loro protezione.

La sicurezza del sistema e dei dati può comprendere:

  • protezione dell’intera infrastruttura del VSS (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti;
  • protezione della trasmissione di filmati attraverso canali di comunicazione sicuri a prova di intercettazione;
  • cifratura dei dati;
  • utilizzo di soluzioni basate su hardware e software quali firewall, antivirus o sistemi di
  • rilevamento delle intrusioni contro gli attacchi informatici;
  • rilevamento di guasti di componenti, software e interconnessioni;
  • strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici.

Il controllo degli accessi garantisce che solo le persone autorizzate possano accedere al sistema e ai dati. Le misure che supportano il controllo fisico e logico degli accessi includono:

  • la garanzia che tutti i locali in cui viene effettuato il monitoraggio mediante videosorveglianza e in cui vengono conservate le riprese video siano protetti contro l’accesso non supervisionato da parte di terzi;
  • il posizionamento dei monitor (soprattutto quando si trovano in zone aperte, come una reception) in modo tale che solo gli operatori autorizzati possano visualizzarli;
  • la definizione e l’applicazione delle procedure per la concessione, la modifica e la revoca dell’accesso;
  • l’attuazione di metodi e mezzi di autenticazione e autorizzazione dell’utente, tra cui ad esempio la lunghezza delle password e la frequenza della loro modifica;
  • la registrazione e la revisione periodica delle azioni eseguite dagli utenti (con riguardo sia al sistema sia ai dati);
  • l’esecuzione del monitoraggio e l’individuazione di guasti agli accessi in modo continuativo e la risoluzione in tempi brevi delle carenze individuate.

Conclusioni

La presenza di telecamere sul posto di lavoro e quindi, più in generale, la videosorveglianza sui luoghi di lavoro rimane sempre un argomento sensibile, al quale dedicare la massima attenzione per il tramite di professionisti qualificati avendo riguardo ai principi normativi di riferimento, che si sono ampliati anche in ragione della disciplina comunitaria in materia di privacy, impattando quindi diverse fonti e tematiche giuridiche.

In questo senso, gli studi legali che hanno dipartimenti di diritto del lavoro e privacy possono senz’altro affiancare l’azienda e i responsabili sicurezza e HR per affrontare al meglio tutti i passaggi procedurali e sostanziali.

NOTE

  1. Provv. Garante 9 maggio 2018, n. 227.
  2. Corte di Cassazione, Sez. III penale, n. 1733/2020.
  3. Art. 4 c.1 Statuto dei lavoratori: “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4