Il Garante privacy ha reso noto di aver adottato un provvedimento con cui ha sanzionato il colosso della moda H&M perché nella back-area dei negozi ha installato delle telecamere di sorveglianza senza accordarsi prima con i sindacati, a nulla rilevando che ciò fosse per motivi di sicurezza, visti i furti avvenuti; prendendosi così una sanzione da 50.000 euro.
Se ci fosse ancora qualcuno a pensare che non valga più la pena adeguare gli impianti di videosorveglianza al GDPR e allo Statuto dei Lavoratori perché tanto non controlla nessuno, con questo provvedimento [n. 9880398] del 2 marzo 2023, si sbaglia e si prepari a cambiare idea. Scopriamo il perché.
Videosorveglianza, “occhio” a non incorrere in sanzioni: le indicazioni operative
Indice degli argomenti
L’indagine e l’attività istruttoria
Iniziamo con il dire che l’indagine del Garante è partita, come spesso accade in questo frangente, da una segnalazione di un sindacato, il quale lamentava il trattamento illecito di dati personali perpetrato con sistemi di videosorveglianza installati in diversi punti vendita.
Durante l’istruttoria è emerso con chiarezza che il noto colosso del fashion law cost non avesse rispettato la normativa in materia di controllo a distanza dei lavoratori id est l’art. 4 dello Statuto dei Lavoratori (L. 300/1970) a mente del quale ricordiamo che “… gli impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale” ovvero in mancanza (è necessaria) un’autorizzazione dell’Ispettorato del lavoro.
Diversamente, il trattamento dati non solo è illegittimo ma persino illecito.
La ratio della norma citata è evidente: riequilibrare il divario tra la posizione datoriale e quella del lavoratore, sbilanciata dalla notte dei tempi.
Le giustificazioni addotte dall’azienda sono sempre o quasi le stesse: l’autodifesa ovvero evitare i furti e quindi a garanzia della sicurezza del patrimonio aziendale.
Ma questa motivazione al Garante non è bastata. Infatti, dall’indagine svolta è emerso come “… in tutti i negozi sono presenti almeno tre videocamere, nella back-area del negozio a cui hanno accesso solo i dipendenti o i fornitori autorizzati, che riprendono: il corridoio che porta all’ufficio dell’amministrazione, l’ufficio dell’amministrazione in cui è posta la cassaforte, l’ingresso riservato ai dipendenti. L’informativa breve è posta in prossimità della telecamera e prima del raggio di azione di essa. In alcuni negozi, posti in particolari zone ritenute a rischio furti, sono presenti telecamere anche nell’area-vendita, collocazione e in numero dipendente dalla tipologia del negozio […] il sistema di videosorveglianza è attivo h24, 7/7 e le immagini sono conservate per 24 ore, al termine delle quali sono sovrascritte e […] la società accede alle immagini registrate solo in caso di richiesta da parte delle forze di polizia o dell’autorità giudiziaria”; precisando comunque che “… le telecamere possono riprendere le casse con l’indicazione di riprendere solo le mani dei dipendenti”.
Sui “trattamenti effettuati, attraverso sistemi di videosorveglianza, in assenza di accordo con le rappresentanze sindacali o autorizzazione da parte dell’Ispettorato del lavoro” (3.1) è risultato che la Società non solo installava ma anche già utilizzava (prima di ottenere una parvenza di autorizzazione) sistemi di videosorveglianza idonei a riprendere i lavoratori durante l’attività lavorativa.
Le motivazioni che hanno portato alla sanzione
Nel motivare la decisione, il Garante inizia con il ribadire che per utilizzare sistemi di videosorveglianza nel contesto lavorativo, “… i trattamenti di dati personali effettuati nell’ambito del rapporto di lavoro, se necessari per la finalità di gestione del rapporto stesso (v., per quanto riguarda i dati c.d. comuni, l’art. 6, par. 1, lett. b) e c) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed, in particolare, del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento)” assicurando la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori ex art. 88 in combinato disposto con l’art. 114 dell’attuale Codice Privacy che impone l’osservanza “…di quanto prescritto dall’art. 4, l. n. 300 del 1970”.
È così deduce la prima violazione, ricorrendone i requisiti, per l’applicazione della sanzione amministrativa irrogata.
Non solo, il mancato rispetto dell’art. 4 dello Statuto dei Lavoratori che, nella pratica, si traduce nell’attivazione/conclusione della procedura di garanzia in esso prevista, quale “condizione indefettibile per l’installazione di sistemi di videosorveglianza” configura un’ulteriore sanzione penalmente rilevante come previsto e punito dall’art. 171 dell’attuale Codice Privacy.
È interessante notare tuttavia come però, e bene lo scrive il Garante, l’attivazione della procedura di garanzia non integri una mera formalità né si qualifichi come una mera “mancanza di alcuni aspetti documentali”.
Ancora una volta il Garante, quindi, arriva a punire una mentalità aziendale in palese contrasto con l’intera filosofia della (nuova) privacy.
Saggiamente l’Autorità, al riguardo, invoca la giurisprudenza di legittimità che più volte ha ribadito come l’art. 4 in primis “tutela interessi di carattere collettivo e superindividuale”. Ne discende che, se il datore di lavoro non rispetta tale prescrizione e in concreto non azioni la procedura (prima accordo e poi installazione) “la sua condotta lederà gli interessi collettivi a presidio dei quali è posta (v., tra le altre, Cass., sez. III pen., 17.12.2019, n. 50919)”.
Insomma, non ci sono terre di mezzo: ecco perché la conosciuta azienda di moda H&M (Hennes & Mauritz s.r.l.) è stata multata, e anche profumatamente.
H&M e la multa salata del 2020
Già nel 2020 la nota casa di moda H&M veniva sanzionata dal Garante della privacy di Amburgo con la stessa accusa, e cioè di aver spiato centinaia di dipendenti obbligandola a pagare una multa di 35 milioni di euro per le moltissime ed ampie registrazioni sulle condizioni di vita privata dei dipendenti combinandole con le performance aziendali.
Da qui sanzione particolarmente severa violando profondamente i diritti delle persone colpite.
Così scopriamo che l’azienda di moda, con quest’altra multa, peraltro ravvicinata nel tempo (2020-2023) dopo soli 3 anni dimostra uno stato di recidivanza che non depone di certo in suo favore; anzi.
Più in generale, una sanzione così esemplare tuttavia avrebbe dovuto far pensare e indurre le aziende a dissuadere dal violare la privacy, quanto meno sulla carata, in termini di consapevolezza/accountability.
Sistemi di sorveglianza: sì se autorizzati, ma sempre entro certi limiti
In linea generale, le telecamere in azienda possono essere installate, ma entro certi limiti.
Vediamone alcuni.
Occorre anzitutto un accordo sindacale che rappresenta senz’altro la via maestra. Tuttavia, se per vari motivi questa non si possa percorrere, scatta allora e in alternativa la procedura (residuale) autorizzatoria e di tipo pubblico, presso l’Ispettorato Nazionale del Lavoro. In ogni caso, per giurisprudenza consolidata, l’assenza dell’accordo non può essere sostituita da un eventuale e mero consenso, seppur informato, dei singoli lavoratori. Così come non basta comunicare ai lavoratori della presenza dei sistemi di videosorveglianza fornendo loro informazioni chiare ed esaustive circa le modalità di utilizzo delle telecamere.
La nota dell’ispettorato Nazionale del Lavoro
L’Ispettorato Nazionale del Lavoro (INL) la scorsa metà di aprile 2023, per fronteggiare alcune delle problematiche, dal punto di vista operativo, “sull’evoluzione dei sistemi tecnologici adottati dalle aziende per il controllo dei lavoratori a distanza”, ha fornito alcune indicazioni volte al rilascio dei provvedimenti autorizzativi previsti dall’art. 4 dello Statuto dei lavoratori.
Si tratta di chiarimenti che riguardano, nel merito e in particolare, l’installazione di impianti audiovisivi e/o l’utilizzo di strumenti di geolocalizzazione, per esigenze organizzative e produttive ovvero motivi di sicurezza, dai quali può derivare la possibilità di effettuare un controllo a distanza dell’attività dei lavoratori.
Nella sostanza l’INL ribadisce quanto scritto finora e in estremo sunto, per sommi capi richiamandoci alla nota, “l’installazione di tali strumenti, dalla quale può derivare un controllo a distanza dei lavoratori, deve necessariamente e prioritariamente essere preceduta dall’accordo collettivo con le RSA e/o RSU presenti”.
Conferma poi che “la procedura autorizzatoria è solo eventuale”, in comprovata assenza di RSA/RSU o mancato accordo con i sindacati giustificandone le ragioni; sottolineando da ultimo come “la carenza di codeterminazione tra datore di lavoro e rappresentanze sindacali o del successivo provvedimento autorizzativo, non può essere colmata dall’eventuale consenso, seppur informato, dei singoli lavoratori: l’installazione rimane illegittima e penalmente sanzionata”.
Insomma, non si può più scappare non tanto dalla burocrazia che una pratica di (denunzia) dei sistemi di videosorveglianza comporta, ma più che altro dal rispetto dei lavoratori e dei loro diritti fondamentali, anche a salvaguardia della protezione dei dati personali.
Telecamere in azienda: strumento di tutela, ma attenti alla privacy
Le telecamere in un’organizzazione sono evidenti strumenti di tutela della sicurezza aziendale da intendersi anche come salvaguardia del relativo patrimonio.
Specialmente quando il datore di lavoro tende ad adottare “comportamenti difensivi” dettati, come su descritto, da sospetti illeciti commessi da un dipendente infedele avvezzo al furto.
Per “comportamenti difensivi” dobbiamo correttamente intendere quelle azioni compiute dal datore di lavoro volte a tutelarsi da azioni criminose, e a tal proposito, la Suprema Corte di Cassazione ha più volte ribadito, in questi casi, una (presunta) legittimità dei controlli sui dipendenti. Tuttavia, tali atteggiamenti non devono diventare atti di vero e proprio spionaggio.
Come in tutto le esagerazioni non sono mai la soluzione.
Quindi, se le telecamere in azienda, purché installate in piena regola sono possibili, è bene fare attenzione ai profili di privacy.
Al riguardo, un aspetto di fondamentale importanza e in perfetta linea di continuità con il GDPR, è dato da un’annosa questione concernente i tempi di conservazione delle immagini di videosorveglianza.
Sul punto è appena il caso di ricordare che, in tali ambiti, la data retention non può/non deve superare le 24/48 ore a seconda dell’attività svolta dall’azienda coinvolta; se ad esempio essa fosse posta a servizio dell’incolumità pubblica, ecco che i tempi di conservazione dei dati/immagini possono essere fino ad una settimana (7giorni) ovvero in quei tempi più lunghi purché autorizzati dall’Autorità Garante Privacy.
Alcune considerazioni
In conclusione, dunque se da un lato, regole stringenti e ad hoc in materia di videosorveglianza, di fatto, impongono chiari limiti al potere di controllo da parte dell’azienda/datore di lavoro, dall’altro riequilibrano la posizione – da sempre più debole – del lavoratore al quale l’art. 4 dello Statuto dei Lavoratori per l’appunto rende giustizia ponendo dei freni a quel poter direzionale, non poi così assoluto.
