Tema vecchio ma sempre, infelicemente, attuale è quello della videosorveglianza, tanto che un recente studio di Federprivacy, condotto in collaborazione con Ethos Academy, ha rivelato che: nel 92% dei casi le telecamere violano la normativa sulla privacy.
Tra le probabili cause, senza profondere sforzo alcuno nella ricerca di comode scriminanti, la complessità applicativa di un variegato impianto normativo, le cui principali fonti sono da ricercarsi in:
- legge 20 maggio 1970, n. 300 (Statuto dei lavoratori) s.m.i.;
- Regolamento UE 2016/679 (GDPR);
- D.lgs. 196/2003 (Codice in materia di protezione dei dati personali) s.m.i.;
- una serie di provvedimenti – cfr. Provvedimento GPDP in materia di videosorveglianza del 8 aprile 2010, Linee Guida EDPB 3/2019 sul trattamento dei dati personali attraverso dispositivi video, nonché una successione di pronunce giurisprudenziali (con particolare riguardo alla Corte di Cassazione, i cui orientamenti non si sono certo distinti, come vedremo, anche in tale ambito, per coerenza).
L’obiettivo della presente trattazione è quella di offrire una sintesi organica, ordinata, per la corretta applicazione delle normative cogenti richiamate, al fine di produrre una “buona prassi” nell’attività di compliance dedicata alla videosorveglianza.
GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia
Indice degli argomenti
Requisiti per l’installazione degli impianti di videosorveglianza
Per quanto esposto in premessa, la trattazione non può che iniziare con l’analisi di requisiti richiesti per l’installazione dell’impianto, in quanto poco senso avrebbe fornire indicazioni sull’adeguamento privacy di sistema di videosorveglianza che, difettando dei presupposti di regolarità, non dovrebbe essere neanche presente.
L’art. 4 della legge 300//1970 (c.d. Statuto dei lavoratori), come modificato dall’art. 23 della d.lgs. 151/2015, attuativo del “Jobs Act”, stabilisce che:
“Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con più unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro”.
Evitando di avventurarci nel tema del divieto di controllo a distanza dei lavoratori, di natura squisitamente giuslavoristica, focalizzeremo la nostra attenzione sulla parte della disposizione che prescrive a ciascun datore di lavoro che voglia installare un impianto di videosorveglianza di ricorrere, alternativamente e soprattutto prima dell’installazione:
- alla stipula di un accordo con le RSU o con le RSA, ove presenti (ovvero con le rappresentanze sindacali comparativamente più rappresentative sul piano nazionale nel caso in cui l’azienda abbia più sedi territorialmente diversificate);
- alla richiesta di autorizzazione alla sede territorialmente competente dell’Ispettorato del lavoro.
In quest’ultima ipotesi, che vede un’importante frequenza applicativa in ambito privato, soprattutto da parte di micro e piccole-medie imprese, il datore dovrà:
- compilare il Modello di istanza di autorizzazione per impianti di videosorveglianza, localizzazione satellitare, altri strumenti di controllo ai sensi dell’art. 4 della Legge 20 maggio 1970, n. 300;
- allegare una Relazione che specifichi le esigenze di carattere organizzativo, produttivo, di sicurezza o tutela del patrimonio aziendale alla base dell’istanza e che descriva le caratteristiche tecniche delle telecamere installate, le modalità di funzionamento del DVR (dispositivo di registrazione), il numero ed il posizionamento dei monitor, la fascia oraria di funzionamento dell’impianto, i tempi di conservazione delle immagini (e le motivazioni per l’eventuale registrazione eccedente le 24/48 ore), le specifiche di funzionamento dell’impianto di videosorveglianza;
- allegare 2 marche da bollo (da € 16,00), di cui una per l’istanza ed una per il rilascio del provvedimento) da consegnare a mano o a mezzo posta.
Consenso del lavoratore alla videosorveglianza
Quella della raccolta del consenso dei lavoratori è una vera e propria “leggenda”, non perché ci troviamo di fronte ad un racconto inventato o storicamente privo di fondamento giuridico, ma perché continua a rappresentare una prassi più che diffusa in molte organizzazione pubbliche e private, nonostante di quel fondamento giuridico non residui più alcuna traccia.
Ebbene, occorre far chiarezza una volta per tutte, di fronte all’evidenza che, in virtù dell’innegabile condizionamento nei confronti del datore, derivante dalla condizione di subordinazione, il consenso dei lavoratori non può considerarsi “liberamente prestato”.
Se infatti un primo, superato, orientamento della Corte di Cassazione attribuiva validità al consenso prestato da tutti i lavoratori:
“3. Se è vero – come è innegabile – che la disposizione di cui all’art. 4 intende tutelare i lavoratori contro forme subdole di controllo della loro attività da parte del datore di lavoro e che tale rischio viene escluso in presenza di un consenso di organismi di categoria rappresentativi, a fortiori, tale consenso deve essere considerato validamente prestato quando promani proprio da tutti i dipendenti” [Cass. Sez. 3, n. 22611 del 17/04/2012]
Tale prospettiva è stata ribaltata dalla stessa Terza Sezione Penale della Corte di Cassazione, la quale si è pronunciata come di seguito:
“4. In conclusione, il consenso del lavoratore all’installazione di un’apparecchiatura di videosorveglianza, in qualsiasi forma (scritta od orale) prestato, non vale a scriminare la condotta del datore di lavoro che abbia installato i predetti impianti in violazione delle prescrizioni dettate dalla fattispecie incriminatrice, e dunque la doglianza della ricorrente sul punto si ritiene infondata, non assumendo alcun valore esimente la mancata opposizione dei lavoratori (ritenuta peraltro dalla ricorrente, in via di interpretazione ipotetica, consenso implicito) all’istallazione delle videocamere di cui all’imputazione” [Cass. Sez. 3, n. 38882 del 24/08/2018]
Conformità del trattamento dati tramite sistemi di videosorveglianza
Regolarizzata la presenza dell’impianto, sarà possibile dedicarsi alle attività di compliance relative al trattamento dei dati personali tramite sistemi di videosorveglianza.
Le norme di riferimento, è bene ribadirlo, sono il Regolamento (UE) 2016/679, il D.lgs. 196/2003 s.m.i., il provvedimento GPDP in materia di videosorveglianza del 8 aprile 2010 (sempre applicabile in quanto compatibile con il GDPR), nonché le Linee Guida EDPB 3/2019 sul trattamento dei dati personali attraverso dispositivi video.
Il punto di partenza dell’attività di compliance è rappresentato, ovviamente, dai principi applicabili al trattamento ed in particolare.
Liceità del controllo con dispositivi di videosorveglianza
Come per ogni altro trattamento, anche per quello effettuato tramite dispositivi video è necessario, in relazione alle finalità, individuare una base giuridica di riferimento. Nella pratica, le condizioni di liceità maggiormente e, a mio parere, opportunamente, utilizzate sono:
- art. 6, par. 1, lett. f), vale a dire il “legittimo interesse” (utilizzabile solo in ambito privato);
- art. 6, par. 1, lett. e), vale a dire la “necessità di esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (utilizzabile in ambito pubblico).
Vale la pena indugiare, con qualche ulteriore considerazione, sulla prima base giuridica indicata. Il legittimo interesse del titolare del trattamento rappresenta infatti una condizione di liceità tanto “comoda” quanto spinosa. In applicazione del Considerando 47 del GDPR, il ricorso al legittimo interesse non può prescindere da un attento bilanciamento, da parte del titolare, tra l’interesse medesimo a esso riferibile ed i diritti e le libertà degli interessati.
È necessario, inoltre, che il legittimo interesse sia esistente, concreto ed attuale, e non semplicemente ipotetico o fittizio.
Si ricorda, infine, che il GDPR chiarisce che le autorità pubbliche non possono invocare il legittimo interesse per i trattamenti effettuati nell’esecuzione dei loro compiti per cui, come detto, tale base giuridica può operare solo in ambito privato.
Trasparenza: avvisare della presenza di un area videosorvegliata
Il titolare del trattamento dovrà fornire all’interessato tutte le informazioni relative al trattamento dei dati personali, in conformità a quanto previsto dagli artt. 12 ss. del GDPR.
In considerazione della necessità di garantire che l’interessato sia consapevole di accedere ad un’area videosorvegliata e, al tempo stesso, di fornire dettagliate informazioni in relazione al trattamento che ne consegue, le Linee guida EDPB, in coerenza con le disposizioni che le hanno precedute, raccomandano un approccio “scalare”.
Le informazioni primarie andranno fornite, pertanto, tramite segnaletica di avvertimento (c.d. informativa di primo livello), che sia ben visibile e facilmente intelligibile, anche mediante l’utilizzo di icone.
Le Linee guida EDPB esigono però un dettaglio informativo maggiore di quello richiesto dal Provvedimento del 2010. Se in precedenza, infatti, era sufficiente indicare l’identità del titolare e la finalità del trattamento, è ora necessario fornire ulteriori informazioni in relazione all’esistenza dei diritti dell’interessato, al tempo di conservazione delle immagini, alla comunicazione dei dati a terzi.
La segnaletica dovrà inoltre rinviare ad un’informativa di secondo livello, completa, specificando dove e come trovarla. A tal proposito, nella pratica, è sempre più frequente il ricorso ad un QR Code di collegamento all’informativa completa.
Le informazioni di secondo livello dovranno essere facilmente accessibili e dovranno contenere tutti gli elementi richiesti ex art. 13 GDPR.
Limitazione della conservazione dei dati personali in relazione alla videosorveglianza
I dati personali, com’è noto, non possono essere conservati a tempo indeterminato. Il titolare dovrà dunque, in relazione alle finalità ed alla necessità del trattamento, individuare il periodo di conservazione o i criteri per la determinazione dello stesso.
In relazione alle immagini della videosorveglianza, un valido ausilio per la determinazione di tale periodo è offerto dal Provvedimento GPDP del 2010, secondo il quale:
“La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell´autorità giudiziaria o di polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell´attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l´esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare la settimana.
Per i comuni e nelle sole ipotesi in cui l´attività di videosorveglianza sia finalizzata alla tutela della sicurezza urbana, alla luce delle recenti disposizioni normative, il termine massimo di durata della conservazione dei dati è limitato “ai sette giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l´uso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione”.
È opportuno sottolineare come quanto più prolungato sia il periodo di conservazione previsto, soprattutto se eccedente le 72 ore, tanto più argomentata dovrà essere l’analisi di coerenza riferibile alle finalità ed alla necessità del trattamento.
Decorso il periodo di conservazione i dati dovranno essere cancellati, preferibilmente tramite meccanismi automatici (es. sovrascrittura).
Le misure organizzative da adottare in caso di videosorveglianza
Di fondamentale importanza, anche in tema di videosorveglianza, è l’adozione da parte del titolare di misure tecniche ed organizzative, in conformità ai principi di accountability ex art. 24 e di sicurezza del trattamento ex art. 32 GDPR.
Si riporta, di seguito, una sintesi delle principali misure riferibili alla videosorveglianza, per le quali dovrà sempre tenersi in considerazione la necessità di una valutazione di adeguatezza rispetto ai rischi esistenti per i diritti e le libertà degli interessati.
Individuazione dei profili soggettivi coinvolti nel trattamento
Occorre innanzitutto definire se il trattamento sia effettuato dal singolo titolare o, congiuntamente, da due o più contitolari. Soprattutto in ambito pubblico si riscontra spesso contitolarità di impianti di videosorveglianza come, a titolo esemplificativo e non esaustivo, tra Comuni o Province e Ferrovie dello Stato per la videosorveglianza di stazioni ferroviarie, ovvero tra Comuni e le Società di servizi di igiene ambientale per il videocontrollo di ecopunti.
Oltre alla titolarità del trattamento occorre individuare e designare i soggetti esterni, ai sensi dell’art. 28 GDPR, che intervengono nel trattamento (es. installatore o manutentore dell’impianto o società di vigilanza, che trattino dati per conto del titolare).
Infine, non per ordine di importanza, è necessario individuare ed istruire un numero delimitato di persone autorizzate al trattamento delle immagini e destinare loro, preferibilmente, una specifica formazione in relazione ai trattamenti cui sono chiamati.
La DPIA: valutazione di impatto sulla protezione dei dati
Ai sensi dell’art. 35, par. 1, GDPR. Le Linee Guida EDPB contengono un puntuale elenco di elementi che i titolari dovrebbero prendere in considerazione nell’effettuazione di valutazione di impatto, per cui occorre stabilire:
- Responsabilità della gestione e del funzionamento del sistema di videosorveglianza.
- Finalità e ambito di applicazione del progetto di videosorveglianza.
- Utilizzo appropriato e vietato (dove e quando la videosorveglianza è consentita e dove e quando non lo è: ad esempio, uso di telecamere nascoste e registrazione audio oltre che video).
- Misure di trasparenza (Informative).
- Modalità e durata delle registrazioni video, compresa la conservazione delle videoregistrazioni relative a problemi di sicurezza.
- Chi deve seguire una formazione specifica e quando.
- Chi ha accesso alle registrazioni video e per quali scopi.
- Procedure operative (ad esempio, da chi e da dove viene monitorata la videosorveglianza, cosa fare in caso di un problema di violazione dei dati).
- Quali procedure devono seguire i soggetti esterni per richiedere le videoregistrazioni e le procedure per respingere o accogliere tali richieste.
- Procedure per l’approvvigionamento, l’installazione e la manutenzione di VSS.
- Gestione dei problemi e procedure di recupero.
Disciplina dei processi di utilizzo dell’impianto e di accesso alle immagini
Questa misura organizzativa è applicabile mediante procedure, regolamenti, registri di accesso o altri documenti di gestione.
Le misure tecniche da adottare con la videosorveglianza
- sicurezza fisica: è la protezione primaria che si può garantire ai dati personali e consiste nell’implementazione di misure anti-intrusive o di prevenzione da eventi di tipo calamitoso, a tutela della riservatezza, dell’integrità e della disponibilità dei dati;
- sicurezza dei sistemi: comprende tutte le misure, di tipo logico, a protezione dell’infrastruttura hardware e software dei sistemi di videosorveglianza (es. cifratura dei dati archiviati, firewall, antivirus, backup ecc.);
- controllo degli accessi: consiste nell’adozione di misure atte a garantire che soltanto alle persone autorizzate sia consentito l’accesso, fisico e logico, al sistema e ai dati (es. posizionamento dei monitor, procedure di autenticazione e autorizzazione utenti, registrazione degli accessi ecc.).
- Un vademecum per la conformità
- In coerenza con gli obiettivi esposti in premessa, la trattazione non può che concludersi con una semplificazione, tale da rendere più chiaro e di immediata applicazione il processo di compliance legato all’installazione ed all’uso di un impianto di videosorveglianza.
- Si propone, pertanto, un vademecum contenente l’indicazione sequenziale degli step “ideali” per il raggiungimento di un adeguato livello di conformità.
- Verifica dei presupposti di liceità per l’installazione dell’impianto: accordo sindacale/Autorizzazione ITL.
- Titolari o contitolari? Individuazione della titolarità del trattamento. Nel caso di contitolarità occorrerà provvedere, in conformità all’art. 26 GDPR, alla stipula di un accordo, con la definizione delle rispettive responsabilità sull’osservanza degli obblighi derivanti dalla disciplina sulla protezione dei dati personali, come ad esempio della titolarità degli obblighi di trasparenza (“Chi rende le informative?”) o della gestione delle richieste di esercizio dei diritti da parte degli interessati (“Chi risponde nei modi e nei tempi previsti?”)
- Individuazione e designazione degli autorizzati al trattamento. Soltanto un numero delimitato di soggetti dovrà essere autorizzato al trattamento dei dati tramite sistema VVS, ed appositamente istruito e formato.
- Designazione dei responsabili del trattamento. I soggetti, esterni all’organizzazione del titolare, coinvolti nel trattamento dei dati personali tramite sistema VVS (es. ditta installatrice dell’impianto che effettua manutenzione sui sistemi, società di vigilanza che visione le immagini ecc.), dovranno essere designati quali “Responsabili del trattamento”, in conformità al disposto dell’art. 28 GDPR.
- Trasparenza del trattamento. Agli interessati dovranno essere rese, in modo progressivo:
- informativa di primo livello (segnaletica di avvertimento), chiara e ben visibile, esposta in prossimità degli accessi alle aree videosorvegliate:
- un modello semplificato di segnaletica di avvertimento, coerente con le indicazioni delle Linee Guida EDPB, è disponibile sul sito dell’Autorità Garante;
- informativa di secondo livello, contente tutti gli elementi richiesti ex art. 13 GDPR.
- Finalità, liceità e conservazione. Individuazione sistematica delle finalità del trattamento, delle relative basi giuridiche e del periodo di conservazione delle immagini, giustificando la conservazione eccedente le 24 ore dalla raccolta.
- Sicurezza del trattamento. Individuazione ed implementazione di adeguate misure di sicurezza di tipo organizzativo (in particolare con la conduzione di una DPIA) e tecnico (sicurezza fisica, sicurezza dei sistemi e controllo degli accessi).