In azienda, il datore di lavoro assume il ruolo di “titolare” in relazione al trattamento dei dati personali dei lavoratori poiché, nell’ambito delle sue interazioni con i propri dipendenti, di norma, determina la finalità e i mezzi relativi al trattamento e ha quindi la responsabilità generale di tutti i processi aziendali in cui girano dati personali (vds. Punto 27 EDPB- Guidelines 3/2019 e Considerando 78 GDPR).
Quale titolare del trattamento, il datore di lavoro che voglia installare un sistema di videosorveglianza in azienda, ancor prima di approvvigionarsene, deve disegnare uno specifico processo aziendale che sia conforme alla normativa in materia di privacy (GDPR e Codice della Privacy novellato) e a specifiche norme dello Statuto dei Lavoratori.
GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia
Indice degli argomenti
L’accountability e i principi di privacy by design e by default
Molto utili alla realizzazione di una compliance effettiva sono le Linee Guida dei garanti Europei EDPB 3/2019.
In particolare, il datore di lavoro, in applicazione del principio di privacy by design e by default, fissato dall’art. 25 GDPR, fin dalla progettazione deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, fissati nell’art. 5 GDPR e a integrare nel trattamento le necessarie garanzie per soddisfare tutti i requisiti prescritti dalla normativa e, nel contempo tutelare i diritti dei lavoratori.
Vediamo allora di seguito, granularmente, in relazione a ciascun principio di protezione dei dati, quali adempimenti il datore di lavoro deve porre in essere, precisando che ogni attività deve essere puntualmente documentata per iscritto in modalità strutturata (i.e. in uno specifico “documento di compliance”) e funzionale a comprovare che ogni principio stabilito nell’art. 5 GDPR è integrato nel processo di gestione della videosorveglianza.
Determinazione e specificazione di finalità e base giuridica
Primo necessario adempimento è costituito dalla specificazione dettagliata della finalità che con la videosorveglianza si vuole realizzare (Art.5, par.1, lett. b del GDPR). L’art.4 dello Statuto dei Lavoratori indica come possibili esclusive finalità:
- le esigenze organizzative e produttive;
- la sicurezza del lavoro;
- la tutela del patrimonio aziendale.
Le finalità devono essere specificate e documentate. La semplice generica menzione di uno scopo di “sicurezza” non è sufficientemente specifica e contrasta inoltre con il principio secondo il quale i dati personali vengono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (vds. Punto 15, EDPB- Guidelines 3/2019).
Per la liceità del trattamento eseguito tramite videosorveglianza, il “legittimo interesse” del datore di lavoro è una idonea base giuridica, a meno che non prevalgano, nella particolare situazione, gli interessi o i diritti e le libertà fondamentali dei lavoratori.
Questo comporta che dopo l’individuazione e la specificazione della finalità, occorre effettuare il c.d. “Balacing Test” o L.I.A. (Legitimate Interests Assessment) ovvero un test comparativo tra il legittimo interesse del titolare e gli interessi o i diritti e le libertà fondamentali dei lavoratori dipendenti.
Per seguire questa procedura si può, alternativamente far ricorso:
- alla guida per l’esecuzione del “Balancing Test” posta in Allegato 1 al WP 217 – Parere 6/2014 del WP29;
- al template per l’esecuzione della L.I.A. scaricabile dal sito dell’Autorità di Controllo Britannica.
Come specificato al punto 20 EDPB – Guidelines 3/2019, nell’eseguire il test comparativo bisogna sempre considerare che il legittimo interesse deve essere esistente e attuale (ossia non deve essere fittizio o ipotetico). Prima di avviare la sorveglianza è necessario che sussista una situazione di reale difficoltà, come ad esempio danni o incidenti gravi verificatisi in passato.
In applicazione del principio di accountability (art. 5, paragrafo 2 GDPR), è opportuno/necessario che il datore di lavoro documenti gli eventi problematici che ha dovuto subire e le relative accuse penali.
Tali casi documentati possono costituire un solido elemento di prova per l’esistenza di un legittimo interesse.
Quindi, in tale quadro, in una situazione in cui un datore di lavoro intenda prevenire reati legati al patrimonio, invece di installare un sistema di videosorveglianza potrebbe adottare misure di sicurezza alternative, come la recinzione della proprietà, il pattugliamento regolare di guardie giurate, l’impiego di custodi, una migliore illuminazione, l’installazione di serrature di sicurezza, finestre e porte a prova di manomissione o l’applicazione di rivestimento anti-graffiti o lamine alle pareti.
Tali misure possono essere efficaci quanto i sistemi di videosorveglianza contro furti e vandalismi. Il datore di lavoro deve quindi valutare caso per caso (documentando il relativo processo di valutazione) se tali misure possano essere una soluzione ragionevole (vds. Punto 25, EDPB – Guidelines 3/2019.
L’attuazione dei principi di correttezza e trasparenza
Il principio di correttezza impone che il sistema di videosorveglianza non venga mai utilizzato in modo improprio per finalità diverse da quelle individuate né per scopi che siano inaspettati per i lavoratori dipendenti.
In applicazione del principio di trasparenza (Art.5, paragrafo 1, lett. a GDPR) i lavoratori devono essere sempre informati in modo dettagliato sui luoghi sorvegliati. In relazione alla quantità di informazioni da fornire, il datore di lavoro può anche predisporre una informativa multi-strato con approccio scalare.
Così, le informazioni più importanti (e.g., l’identità ed i punti di contatto del titolare del trattamento, la finalità, la base giuridica etc.) devono essere indicate sul segnale di avvertimento (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi, e.g posizionando sul segnale di avvertimento un QR CODE che rinvia ad un sito web od anche un numero telefonico che consente di ascoltare un messaggio pre-registrato (vds. Punto 111 EDPB – Guidelines 3/2019 – Punto 35, Guidelines WP260 e punto 22, Opinion WP89).
La segnaletica di avvertimento dovrebbe essere posizionata in modo da permettere ai lavoratori di riconoscere facilmente le circostanze della videosorveglianza. Non è necessario che vi sia un cartello per ogni videocamera, è però necessario che ogni lavoratore sia posto nelle condizioni di poter stimare quale zona sia coperta dalle videocamere.
Come segnale di avvertimento (primo livello dell’informativa) può essere utilizzato il modello riportato di seguito, posto al Punto 115 EDPB – Guidelines 3/2019. Si tratta comunque di un modello non vincolante.
La minimizzazione dei dati e la limitazione della conservazione
Il Punto 121 EDPB – Guidelines 3/2019 evidenzia la necessità che il datore di lavoro valuti la conservazione dei dati personali raccolti e trattati con i dispositivi video entro una tempistica ristretta.
Quindi, considerando gli scopi per i quali solitamente viene utilizzata la videosorveglianza (i.e. la protezione del patrimonio o la conservazione di elementi di prova), è ragionevole individuare eventuali danni entro uno o due giorni.
Tenendo conto dei principi di minimizzazione dei dati e di limitazione della conservazione (Art. 5, paragrafo 1, lettere c) ed e) del GDPR), i dati personali dovrebbero essere – nella maggior parte dei casi – cancellati dopo alcuni giorni, preferibilmente tramite meccanismi automatici.
Attenzione: quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.
La sicurezza del sistema e la sicurezza dei dati
Un altro importante adempimento che il datore di lavoro deve porre in essere è l’adozione di misure tecniche idonee a garantire la sicurezza del sistema e dei dati personali. Al punto 132 EDPB – Guidelines 3/2019 viene chiarito che:
- sicurezza del sistema significa sicurezza fisica di tutti i componenti del sistema, nonché integrità del sistema, vale a dire protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi;
- sicurezza dei dati significa riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), integrità (prevenzione della perdita o della manipolazione dei dati) e disponibilità (i dati possono essere consultati ogniqualvolta sia necessario).
Valutazione d’impatto sulla protezione dei dati personali (DPIA)
Dopo aver disegnato le attività del processo aziendale in linea con i principi della protezione dei dati, il datore di lavoro deve eseguire una valutazione di impatto sulla protezione dei dati personali (c.d. DPIA). Ciò è prescritto specificamente dal n. 5 dell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4 GDPR posto in allegato al provvedimento del GPDP n. 467 dell’11/10/2018[1].
La DPIA è un autonomo processo aziendale, volto a garantire e dimostrare la compliance dei trattamenti che comportano un rischio elevato per i diritti e le libertà fondamentali. che deve essere sviluppato seguendo pedissequamente le indicazioni fissate nell’Allegato 2 alle Linee Guida WP 248.
Accordo sindacale o autorizzazione I.N.L.
Dopo il design del processo di gestione del sistema di videosorveglianza e l’esecuzione della DPIA, occorre dare attuazione all’art. 4, comma 1 della legge 300/1970 (Statuto del Lavoratori) che prescrive che il datore di lavoro possa impiegare gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
La stessa norma stabilisce anche che detti impianti possano essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale.
In mancanza di accordo, i citati impianti e strumenti possono essere installati solo previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro.
Attenzione: in base al combinato disposto dell’art. 171 del Codice Privacy novellato e dell’art. 38 dello Statuto dei Lavoratori la violazione della norma sopra riportata configura un reato.
Misure organizzative adeguate
L’ultimo adempimento che il datore di lavoro deve porre in essere è l’adozione di misure organizzative adeguate quali:
- le nomine di “autorizzati al trattamento” da conferire per iscritto, previa specifica istruzione, al personale che materialmente è chiamato a gestire i dispositivi video;
- la predisposizione di una specifica procedura per gestire le richieste di esercizio dei diritti privacy stabiliti dagli artt. 15-22 del GDPR.
NOTE
Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8). ↑