Videosorveglianza, “occhio” a non incorrere in sanzioni: le indicazioni operative

Le esigenze che spingono un’organizzazione a installare un impianto di videosorveglianza possono essere le più svariate: tutela del patrimonio aziendale, protezione dei dipendenti, controllo dei macchinari, verifica dell’operato dei lavoratori, monitoraggio degli accessi.

La risposta a tutte queste esigenze solitamente è una sola: telecamere. La tecnologia sempre più avanzata e connessa e i costi sempre più ridotti hanno trasformato la videosorveglianza nel mezzo più rapido e conveniente da installare quando si ha una delle esigenze come quelle indicate da gestire.

Tuttavia, è proprio questa rapidità e facilità di installazione che ha portato tantissime aziende a sottovalutare gli step che devono essere seguiti per non incorrere in sanzioni.

Partiamo proprio da qua: il Garante ha già sanzionato, anche pesantemente, diverse aziende. Qualche esempio:

1. Ordinanza ingiunzione nei confronti di un’impresa individuale esercente l’attività di “commercio al dettaglio di frutta e verdura” – 9 marzo 2023: 3.000 euro per non aver richiesto l’autorizzazione all’ispettorato per l’installazione delle telecamere che riprendevano dipendenti;
2. Ordinanza ingiunzione nei confronti di Rebirth s.r.l. – 7 aprile 2022: 15.000 euro per assenza di idonea informativa e mancato accordo con l’ispettorato del lavoro;
3. Ordinanza ingiunzione nei confronti di Gioielleria Caradonna – 1 dicembre 2022: 2.000 euro per assenza informativa (su segnalazione da parte della polizia locale);
4. Ordinanza ingiunzione impresa individuale “Woolen” – 1 dicembre 2022: 3.000 euro per informativa non ben visibile (su segnalazione della polizia locale);
5. Ordinanza ingiunzione l’esercizio commerciale denominato “Joy Unique Collection” – 1 dicembre 2022: 6.000 euro per mancata informativa e autorizzazione (su segnalazione della polizia locale).

Videosorveglianza: come predisporre cartelli e segnali “di avvertimento” regolari

Cosa ci raccontano queste sanzioni

Queste riportate sono solo alcune delle tantissime sanzioni e ingiunzioni comminate dal Garante per la protezione dei dati personali ad aziende di ogni ordine di grandezza e tipologia. Il grande interventismo in questo ambito è legato a diversi aspetti:

1. praticamente tutte le aziende in Italia, di qualsiasi tipologia e core business, hanno installato un impianto di videosorveglianza;
2. molto spesso è la polizia locale che segnala l’inidoneità dell’impianto; non occorre quindi l’intervento diretto del Garante o della Guardia di Finanza ma anche la polizia locale può segnalare l’inidoneità al Garante che a quel punto si può attivare per richiedere maggiori informazioni o procedere direttamente con una ispezione;
3. è il trattamento fisicamente più visibile: chiunque acceda ad un’azienda, un ente o un’organizzazione noterà subito se sono presenti delle telecamere. Quindi diventa, come il sito web per il mondo digitale, un punto di esposizione molto importante.

Cosa richiede la normativa

La prima fase è quella probabilmente più delicata e spesso sottovalutata. Occorre chiedersi “perché” installare un impianto di videosorveglianza. L’impianto raccoglie e tratta dati personali e un trattamento può essere effettuato solo se è necessario per le finalità che si intende perseguire, finalità che naturalmente devono essere lecite e legittime.

Se, ad esempio, la finalità è la tutela del patrimonio aziendale (solitamente la più gettonata) allora occorre capire se effettivamente l’azienda è a rischio furti o danneggiamenti: ci sono stati episodi precedenti, in zona si sono verificati dei furti, effettivamente le videocamere possono scoraggiare i malviventi? Queste domande sono fondamentali per capire se l’impianto potrà effettivamente esaudire la mia finalità oppure se si tratterà di un inutile collettore di dati personali.

Seconda domanda a cui rispondere è “come” voglio raccogliere questi dati. Quindi decidere quali strumenti di raccolta (telecamere), di visualizzazione (monitor) e di conservazione (VDR) acquistare e impostare. Come viaggeranno le immagini (in rete o in locale), dove verranno salvate, da chi verranno visualizzate: tutte domande a cui rispondere per capire quali misure di sicurezza tecniche (password policy, accessi dedicati, etc.) e organizzative (formazione agli addetti, procedura per la consegna delle immagini, etc.) adottare.

Terza domanda “chi” verrà ripreso: visitatori, dipendenti, pazienti, clienti? Solitamente l’impianto non fa distinzione e chiunque farà accesso all’area sarà videoregistrato. Chiaramente vi sono dei parametri che fanno aumentare il rischio:

1. la quantità di soggetti ripresi: risulta sicuramente meno delicato un impianto che riprende un magazzino dove possono transitare alcuni dipendenti alla settimana da un’area di parcheggio aziendale dove sostano centinaia di dipendenti al giorno;
2. la tipologia di soggetto interessato: anche qui risulta sicuramente più delicato un impianto che riprende l’ingresso di un centro medico rispetto ad un impianto che riprende dei macchinari di produzione.

Quarta e ultima domanda “per quanto tempo” conserverò le immagini. Non vi è un’indicazione uniforme e puntuale per tutte le tipologie di aziende e impianti. Sicuramente per la finalità di tutela del patrimonio aziendale il Garante consiglia di non eccedere le 24-48 ore, estendibili solo in caso di prolungata chiusura aziendale (per esempio periodo natalizio o estivo).

La ratio: se subisco un furto il lunedì notte, il martedì mattina me ne accorgerò sicuramente e quindi risulta eccessivo conservare i dati per un tempo più lungo.

Da questa prima indicazione si evince chiaramente come questa tempistica non può essere sempre applicata: vi può essere ad esempio il caso di un magazzino dove i dipendenti accedono una volta a settimana per carico e scarico, in questo caso dunque i tempi di conservazione possono essere allungati.

Non esiste un tempo valido per tutto e per tutti: occorre analizzare le esigenze e le finalità che si intendono perseguire e valutare per quanto tempo è necessario conservare le immagini.

Con le risposte a queste domande si procederà con un’analisi approfondita che ci permetterà di capire se l’impianto può essere installato e come potrà essere installato (ci sono alcuni frangenti in cui una telecamera non può essere assolutamente attivata, ad esempio se riprenderà una postazione lavorativa).

Dopo questa analisi e in base alla risposta alla terza domanda, quella sul “chi”, potrebbe essere necessario effettuare una DPIA (Data Protection Impact Assessment), ossia una approfondita valutazione del rischio sul trattamento che si andrà ad effettuare. Il Garante ha infatti stabilito che è obbligatorio effettuare una DPIA nel caso di:

1. impianti che riprendano su larga scala zone accessibili al pubblico;
2. trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti. In tal caso oltre alla DPIA occorre procedere con la richiesta dell’autorizzazione da parte dell’ispettorato territoriale del lavoro o del sindacato (ove presente).

Una volta effettuata le analisi e l’eventuale DPIA si dovrà produrre e rendere disponibile ai soggetti interessati la documentazione obbligatoria:

1. l’informativa di primo livello (la classica cartellonistica) da apporre prima delle zone riprese dall’impianto;
2. l’informativa di secondo livello, ossia quella completa da mettere a disposizione dell’interessato;
3. riportare tutte queste informazioni all’interno del registro dei trattamenti.

Cosa dobbiamo fare per non incorrere in sanzioni

Una sola cosa: non sottovalutare la videosorveglianza, è un trattamento di dati personali (ebbene sì: le immagini, i video e gli audio sono dati personali) che può facilmente diventare un trattamento molto delicato e sensibile, quindi a rischio.

Occorre dunque analizzare attentamente cosa si vuole riprendere, chi si vuole riperdere, come lo si vuole fare e per quanto tempo, analizzare tutto accuratamente e tutelare nel miglior modo possibile i dati personali trattati. Chiaramente richiedendo le necessarie autorizzazioni laddove necessarie.

Tutte le analisi da effettuare sono documenti di fondamentale importanza: saranno indispensabili per gestire velocemente e senza problemi un controllo. Il Garante richiede innanzitutto (anche a seguito di segnalazione da parte della Polizia Locale) approfondimenti all’Azienda, che deve essere velocemente in grado di fornire tutta la documentazione richiesta, altrimenti la sanzione può aumentare.

DPO in pratica: la gestione della sicurezza sul lavoro

Tutto deve essere documentabile:

1. la DPIA o l’analisi sulla non necessarietà della stessa: dobbiamo infatti essere in grado di dimostrare che abbiamo effettuato un’analisi dalla quale non è emersa la necessità di procedere con una valutazione approfondita;
2. l’analisi sulle tempistiche di conservazione,
3. l’analisi sulle misure di sicurezza tecniche e organizzative attuate;
4. un elenco dei soggetti autorizzati, interni e/o esterni, ad accedere alle immagini;
5. le istruzioni prodotte per tali soggetti e il relativo piano di formazione;
6. nomina ad eventuali fornitori esterni quali responsabili del trattamento con le relative istruzioni fornite per il trattamento di dati personali.

Questa è la principale documentazione da produrre, archiviare e aggiornare periodicamente per gestire senza problemi e rapidamente un’ispezione o delle richieste di informazioni da parte del Garante.