Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

Videosorveglianza e GDPR, ecco le regole dell’EDPB e dello Statuto dei lavoratori

Videosorveglianza e GDPR è un tema molto importante che riguarda direttamente imprese, associazioni, enti pubblici e privati che vogliono dimostrare il rispetto della normativa privacy. Approfondiamo le fonti normative considerando anche le nuove regole dell’EDPB (European Data Protection Board)

28 Nov 2019
B

Guido Baracca

Consulente privacy, responsabile protezione dati – DPO


La disciplina normativa in materia di privacy relativa alla videosorveglianza è rinvenibile nello Statuto dei lavoratori, nel GDPR e nei provvedimenti dell’EDPB (European Data Protection Board).

È importante approfondire questo contesto: l’uso intensivo di sistemi di videosorveglianza nel mondo odierno ha prodotto significativi cambiamenti nella società che si concretizzano nella limitazione degli spostamenti anonimi e nella perdita di riservatezza dei cittadini europei in generale.

Parlando di videosorveglianza e GDPR è pacifico, quindi, considerare le implicazioni in materia di privacy, protezione dei dati personali e diritto del lavoro di notevoli dimensioni.

Videosorveglianza e GDPR: normativa privacy e Statuto dei lavoratori

Il ruolo della videosorveglianza è un tema di primaria importanza nell’ottica del rispetto dell’attuale normativa privacy composta dal Regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation e di seguito indicato con l’acronimo GDPR) n. 679 del 2016, operativo a partire dal 25 maggio 2018, e dal decreto legislativo 30 giugno 2003 n. 196 recante il “Codice in materia di protezione dei dati personali” recentemente novellato dal decreto legislativo n. 101 del 10 agosto 2018 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR” (di seguito Codice).

Inoltre, il tema videosorveglianza e GDPR è trattato dalle recenti linee guida “Guidelines 3/2019 on processing of personal data through video devices” adottate dall’European Data Protection Board (di seguito EDPB) in data 10 luglio 2019 che superano i provvedimenti adottati dell’Autorità Garante per la protezione dei dati personali precedenti.

Collegato alla normativa sopra esposta è lo Statuto dei lavoratori (legge 20 maggio 1970, n. 300 di seguito Statuto) nel quale all’art. 4 è statuito in modo esplicito che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”.

Ciò non significa che in mancanza di accordo risulti impossibile l’installazione dei suddetti impianti poiché, sempre all’interno dell’art. 4, è previsto che “gli impianti e gli strumenti… possono essere installati previa autorizzazione delle sede territoriale dell’Ispettorato nazionale del lavoro”.

Rimane fondamentale, però, sottolineare che non è consentita l’installazione di apparecchiature specificatamente finalizzate al controllo diretto della prestazione lavorativa eseguita dal dipendente.

In aggiunta, lo Statuo prevede che l’utilizzo dei dati raccolti debba sottostare agli obblighi di informazione direttamente previsti dalla normativa privacy poiché, in difetto, le registrazioni effettuate non possono essere utilizzati per fini disciplinari o comunque connessi al rapporto di lavoro.

Principi del GDPR

La norma identifica come titolare del trattamento il soggetto fisico o giuridico che stabilisce le modalità e i mezzi di trattamento dei dati personali.

Di conseguenza il titolare deve assolutamente rispettare i principi stabiliti dall’art. 5 (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione) del GDPR oltre alle basi giuridiche previste dall’art. 6 (consenso, esecuzione di un contratto o di misure precontrattuali, obbligo legale, salvaguardia di interessi vitali, interesse pubblico e legittimo interesse).

L’EPDB chiarifica che tutte le basi giuridiche possono essere utilizzate per giustificare la necessità di un impianto di videosorveglianza sconsigliando, però, l’utilizzo del consenso poiché per esempio all’interno dei rapporti di lavoro risulta complicato per i lavoratori fornire un consenso libero ed esplicito a causa delle possibili ritorsioni che potrebbero verificarsi verso di loro.

Inoltre, l’EDPB chiarisce che il legittimo interesse del Titolare deve risultare essere una reale e presente esigenza (“must not be fictional or speculative”) come la necessità di tutela del patrimonio da danneggiamenti e rapine dei titolari di stazioni di rifornimento di combustibili.

In più, in caso di utilizzo di questa base giuridica diventa necessario procedere e documentare il bilanciamento degli interessi portati dal titolare e i diritti sacrificati dei privati cittadini e lavoratori (di seguito interessati). Ne consegue che il bilanciamento risulterà differente a seconda del caso in oggetto.

Dati particolari e tecnologie innovative

Con le tecnologie ad oggi disponibili i sistemi di videosorveglianza sono in grado di raccogliere immense quantità di dati personali che possono arrivare a configurarsi anche come dati particolari (di seguito sensibili).

L’EDPB presenta il caso dell’inferenza dei dati che se utilizzata in un certo modo può portare ad una mappatura delle abitudini dell’interessato o altrimenti il caso delle telecamere all’interno di una struttura sanitaria che se utilizzate per monitorare lo stato di salute di un paziente trattano senza dubbio dati sensibili relativi alla salute.

Inoltre, oggigiorno risulta essere sempre più diffuso l’utilizzo di impianti dotati di tecnologie di riconoscimento facciale il cui scopo è identificare una persona a seguito di un procedimento tecnico (dati sensibili biometrici).

La conseguenza principale di queste operazioni è che il titolare si ritrova obbligato anche al rispetto dell’art. 9 GDPR relativo al trattamento dei dati sensibili e a tutte le implicazioni del caso, soprattutto dal punto di vista della liceità e sicurezza dei trattamenti posti in essere.

Dati biometrici e minimizzazione dei rischi

Innanzitutto, i titolari del trattamento devono accertarsi che l’elaborazione dei dati estratti dalle registrazioni non sia eccessiva rispetto agli scopi dichiarati nelle informative e devono evitare qualsiasi tipo di trattamento ulteriore.

La scelta del luogo di conservazione dei dati risulta di primaria importanza poiché dovrà ricadere su un ambiente controllabile sia in entrata che in uscita del personale.

All’interno di questo ambiente i modelli biometrici devono protetti con la crittografia e la chiave di decrittazione deve essere custodita dal dipendente autorizzato al fine di prevenire accessi a soggetti non autorizzati.

Inoltre, l’EDPB elenca le seguenti precauzioni: compressione dei dati durante la trasmissione e la conservazione, crittografia, definizione di una policy di crittografia e gestione delle chiavi, misure organizzative e tecniche di prevenzione contro le frodi, associazione di un codice di integrità al dato come per esempio una firma o un hash, conservazione separata dei modelli biometrici dai dati identificativi.

Privacy by design e by default

Il GDPR prevede all’articolo 25 che il titolare del trattamento debba implementare prima dell’inizio del trattamento e all’atto del trattamento misure tecniche e organizzative adeguate alla protezione dei dati.

Preme segnalare soprattutto l’utilizzo di tecnologie recenti con possibilità di personalizzazioni privacy volte a ridurre il più possibile l’utilizzo di dati personali in ossequio al principio di minimizzazione.

Non secondario risulta il rispetto dell’articolo 32 del GDPR che sancisce l’obbligo, a seconda dei casi, di “assicurare in modo permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” oltre all’obbligo, a seconda dei casi, di garantire un ripristino in tempi brevi e tempestivi la disponibilità e l’accesso ai dati personali.

Non secondaria risulta la presenza di una procedura in grado di testare e verificare l’efficacia delle misure adottate quando essa risulta necessaria in base all’attività svolta dal titolare.

Inoltre, l’EDPB raccomanda di tenere in considerazione in fase di implementazione dell’impianto di videosorveglianza e delle relative policies:

  • l’individuazione del responsabile per la gestione e il funzionamento dell’impianto senza tralasciare il fatto che quando ciò è affidato ad una società esterna ricorre l’individuazione del responsabile esterno del trattamento ex art. 28 GDPR relativamente alla manutenzione e all’aggiornamento dello stesso;
  • finalità;
  • individuazione dei luoghi in cui la videosorveglianza è consentita e definizione delle tempistiche di registrazione e archiviazione;
  • fornitura di un’informativa adeguata agli interessati (per es. clienti, dipendenti, collaboratori);
  • formazione del personale addetto e definizione delle finalità di accesso al sistema;
  • procedure operative relative indicanti chi è addetto e da dove esegue il monitoraggio dell’impianto, alla sua manutenzione e sul come comportarsi in caso di incidente di sicurezza avente oggetto dati personali;
  • definizione delle procedure tramite le quali gli interessati possono richiedere le registrazioni e procedure di negazione o acconsentimento a tale richiesta;
  • sicurezza informatica del sistema (per es. antivirus, firewall, crittografia, autenticazione e password) e sicurezza fisica dello stesso e delle varie componenti che lo compongono, controllo degli accessi, ed una eventuale procedura per il ristoro del funzionamento dell’impianto;
  • posizionamento strategico dei monitor al fine di consentire solo al personale autorizzato la fruizione degli stessi;
  • valutazione d’impatto sui dati personali (di seguito DPIA) come previsto dall’ art. 30 GDPR quando il trattamento presenta profili di rischio elevato per i diritti e le libertà delle persone fisiche. Ricorre in ogni caso l’obbligo di DPIA nel caso in cui la videosorveglianza risulti essere sistematica, su larga scala e abbia ad oggetto una zona accessibile al pubblico;
  • definizione di un congruo periodo per la conservazione delle registrazioni che in caso di presenza di dipendenti viene stabilito dall’Ispettorato del Lavoro territorialmente competente previa richiesta di autorizzazione dell’impianto;
  • cancellazione automatica dei dati conservati allo scadere di tale periodo.

L’obbligo di informazione degli interessati

L’obbligo di informazione è sancito dall’art. 12 e seguenti del GDPR ed è in capo al titolare del trattamento. L’EDPB coglie l’occasione per definire e consigliare un’efficace strategia in tal senso:

  • utilizzo di un cartello di avvertimento al fine di informare che l’area successiva è sottoposta a videosorveglianza, l’indicazione del titolare del trattamento, le finalità, richiamo ai diritti degli interessati e l’indicazione di dove trovare un’informativa completa ex art. 13 del GDPR;
  • fornire un’informativa completa ex art. 13 GDPR in un luogo facilmente accessibile all’interessato come per es. una postazione front desk.

Videosorveglianza e GDPR: le sanzioni

Le sanzioni amministrative pecuniarie sono previste dall’art. 83 del GDPR e sono divise in due categorie: quelle fino a 10 milioni di euro, o per le imprese che hanno avuto un fatturato mondiale annuo superiore fino al 2% di tale fatturato, quelle fino a 20 milioni di euro, o per le imprese che hanno avuto un fatturato mondiale annuo superiore fino al 4% di tale fatturato.

Le prime riguardano il rispetto degli obblighi previsti dagli art. del GDPR 8, 11, da 25 a 39, 42 e 43. Le seconde riguardano il rispetto degli obblighi previsti dagli art. del GDPR 5, 6, 7, 9, da 12 a 22, da 44 a 49, obblighi adottati a norma del capo IX da parte della legislazione italiana.

Videosorveglianza e GDPR: l’ambito penale

Le violazioni della disposizione prevista all’art. 4 comma 1 dello Statuto dei lavoratori sono punite ai sensi dell’art. 38 dello Statuto dei lavoratori che prevede “l’ammenda da lire 100.000 a lire un milione o con l’arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell’arresto e dell’ammenda sono applicate congiuntamente.

Quando, per le condizioni economiche del reo, l’ammenda stabilita nel primo comma può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5