Il ricorso a modalità telematiche per lo svolgimento di riunioni o attività formative è pratica ormai comune alla maggior parte delle aziende, destinata sempre più a consolidarsi al di là del periodo che ne ha determinato in maggior misura la diffusione (e nel quale si è mostrata preziosa risorsa), ovvero quello legato all’emergenza pandemica da Covid-19.
Le principali norme sulla privacy da seguire nelle videoconferenze aziendali
L’uso di sistemi di videoconferenza è divenuto uno strumento fondamentale in ambito lavorativo, ma anche scolastico, giudiziario o medico (solo per citare le principali aree dove si è sviluppato maggiormente), tra i cui vantaggi, facilmente intuibili, spicca senz’altro il risparmio in termini di tempo e risorse economiche rispetto ai metodi tradizionali.
Occorre, d’altro canto, prestare attenzione ai rischi connessi a tale modalità, legati principalmente al tema della cybersecurity (in ragione dello strumento utilizzato) e della protezione in materia dei dati personali (a livello degli obblighi di trasparenza richiesti dalla normativa privacy e dalle modalità con cui i dati personali dei partecipanti vengono trattati)[1]. Concentrando la nostra attenzione su questo secondo aspetto, il “faro normativo” è certamente rappresentato dal regolamento europeo in materia di protezione dei dati personali (Regolamento (UE) 2016/679, anche noto come GDPR).
Sicurezza e protezione dei dati nelle videoconferenze: le best practice
In primo luogo, a prescindere che si tratti di una riunione svolta in conference call o di un webinar formativo, l’azienda organizzatrice dell’evento deve sempre aver riguardo a individuare modalità che possano ritenersi valide sotto il profilo della sicurezza informatica.
Questo si traduce, in primo luogo, nella necessità di orientare la scelta della piattaforma non soltanto in base a caratteristiche quali la facilità di interconnessione o utilizzo, bensì di valutarla anche per le tecnologie di sicurezza che offre.
Successivamente, appare opportuno superare le impostazioni di default, andando a settare l’applicativo in un’ottica di privacy by design e by default (art. 25 GDPR): ad esempio, è opportuno prevedere che la telecamera e il microfono, nonché la condivisione degli schermi, siano spenti per impostazione predefinita al momento di accesso nella stanza virtuale. Inoltre, per prevenire intrusioni non autorizzate all’interno della videoconferenza (a seguito, ad esempio, dell’accidentale diffusione del link di invito da parte di un partecipante), è possibile consentire di trasmettere audio e video solo a determinati utenti[2].
Sotto il profilo organizzativo, nel verosimile caso in cui l’evento si svolga per tramite di una piattaforma sviluppata esternamente, deve essere formalizzata la nomina come responsabile ex art. 28 GDPR del fornitore.
Ulteriori obblighi consistono nell’inserimento delle attività di trattamento all’interno del registro di cui al primo comma dell’art. 30 GDPR, nonché nella verifica circa il rispetto delle indicazioni di cui a capo V GDPR in caso di eventuale trasferimento di dati al di fuori dell’Unione europea (es. applicazione con server ubicati in un paese terzo).
Come garantire la privacy degli utenti durante le videoconferenze aziendali
Ciò premesso, la centralità del tema della protezione dei dati personali è facilmente percepibile se consideriamo come durante l’organizzazione, lo svolgimento e anche la fase successiva alla videoconferenza, l’azienda si trovi a trattare le informazioni personali dei partecipanti: dai dati anagrafici raccolti nella fase preliminare di invito e invio del link di partecipazione, al volto del soggetto ripreso durante la conversazione, alle eventuali registrazioni conservate nei server aziendali. Si tratta senza dubbio di informazioni e di attività riconducibili alle definizioni di “dato personale” e “trattamento” rinvenibili all’art. 4 GDPR, per le quali trovano applicazioni le tutele previste dalla citata normativa europea.
La creazione di eventi in call conference: regole e linee guida per la privacy
L’azienda organizzatrice della videoconferenza (titolare del trattamento) ha in primis obblighi di informazione e trasparenza. In ogni caso, a prescindere dal fatto che avvenga o meno una registrazione dell’evento, la preliminare attività di raccolta di dati anagrafici e di contatto del soggetto al fine di consentirgli di prendere parte all’evento, comporta la necessità che vengano portati a conoscenza di quest’ultimo gli elementi di cui agli articoli 13 e 14 GDPR, attraverso un’apposita informativa che evidenzi con chiarezza le finalità e modalità del trattamento.
Inoltre, è di fondamentale importanza l’individuazione della corretta condizione di liceità del trattamento che, ad esempio, nel caso di una conference call interna o con un cliente, può essere individuata nell’esecuzione del contratto (art. 6, comma 1, lett. b), GDPR).
Registrazione di videoconferenze: gestire i dati personali in conformità alla privacy
Nel caso in cui la videoconferenza venga registrata, oltre a rendere i partecipanti edotti di questa circostanza dettagliando altresì nell’informativa le finalità del successivo utilizzo della registrazione, il titolare deve provvedere – salvo che vi siano particolari obblighi di documentazione – a raccogliere il consenso quale base giuridica del trattamento.
Da sottolineare – così come già osservato in altra sede[3] – le criticità legate al consenso nel contesto lavorativo, sotto il profilo della volontarietà e libertà con cui viene prestato dal dipendente e, dunque, della relativa validità, in ragione dello squilibrio contrattuale tra le parti (datore e lavoratore). In tal senso la validità potrebbe essere al più accordata in presenza di una modalità alternativa messa a disposizione del lavoratore (es. partecipazione telefonica).
Anche la registrazione non è esente rispetto a quanto sottolineato in termini di sicurezza, con la necessità di prevedere misure che riducano il rischio di accessi non autorizzati o illeciti, perdita, distruzione o danno accidentali (cfr. principio di “integrità e riservatezza”, ex art. 5 GDPR) con riferimento al supporto sul quale viene conservata la registrazione o ai dispositivi sui quali quest’ultima viene scaricata.
La gestione dei partecipanti e dei loro dati personali nelle videoconferenze aziendali
Anche durante il vero e proprio svolgimento della videoconferenza il titolare deve individuare idonee misure improntate al rispetto del principio di privacy by design disponendo, ad esempio, che uno o più soggetti formalmente nominati quali designati o autorizzati (o, ancora, responsabili ex art. 28 GDPR, in caso di esternalizzazione delle attività) possano moderare il dialogo e intervenire tempestivamente in caso di problematiche (ad es., in caso di “zoombombing”, così come descritto alla nota 1), nonché regolare le impostazioni sull’attivazione e disattivazione di microfono o videocamere dei partecipanti.
Inoltre, soprattutto nel caso di utenti collegati in remoto dalla propria abitazione (pensiamo, ad esempio, al dipendente in smart working[4]) o in ambienti in cui siano riconoscibili persone esterne alla videocall, è buona regola disporre l’utilizzo di sfondi virtuali al fine di accrescere il livello di riservatezza.
La conservazione dei dati delle videoconferenze: normative e tempistiche da rispettare
Per quanto riguarda i tempi di conservazione dei dati personali dei partecipanti o della registrazione stessa (nel caso in cui questa sia avvenuta), oltre ai richiamati obblighi informativi il titolare è chiamato a stabilire delle tempistiche non eccedenti a quelle necessarie al raggiungimento delle finalità di raccolta (art. 5, comma 1, lett. e), GDPR). Al di là di eventuali obblighi di legge che impongano un preciso termine per la documentazione della videoconferenza, la scelta sui tempi di conservazione deve essere senz’altro effettuata nel rispetto dei fondamentali principi di minimizzazione (art. 5 GDPR) e privacy by default (art. 25 GDPR), con tempistiche adeguate, pertinenti e limitate alla finalità del trattamento.
La trasmissione sicura dei dati durante le videoconferenze: come evitare rischi di violazione della privacy
In virtù del principio di accountability (art. 24 GDPR) è l’azienda, titolare del trattamento, a dover effettuare specifiche scelte in ordine alle misure tecniche e organizzative da adottare per garantire la tutela della riservatezza e il rispetto della normativa fin qui richiamata.
Appare tuttavia difficile, in questa sede, esaurire tutte le possibili indicazioni in tema di sicurezza, da contestualizzare in base alla piattaforma utilizzata, all’infrastruttura informatica aziendale e che non possono prescindere dalle indicazioni dell’area IT e dai pareri – laddove nominato – del Data Protection Officer (DPO). In questa prospettiva, la stessa normativa europea privacy prevede, all’articolo 32, che le misure di sicurezza risultino “adeguate” a seguito di una valutazione – rimessa al titolare – che tenga in debita considerazione i costi di attuazione, il contesto e le finalità del trattamento, nonché i rischi di varia probabilità e gravita connessi al tipo di trattamento effettuato.
In questo contesto, in virtù dell’implicito utilizzo di determinati strumenti e applicazioni “connesse”, il tema della sicurezza e della protezione dei dati appare fondamentale, tanto più alla luce del crescente numero di attacchi informatici a cui le aziende sono state recentemente sottoposte nel nostro Paese[5].
La responsabilità del titolare dell’evento in call conference: obblighi e responsabilità in tema di privacy
Le considerazioni fin qui svolte, ancorate alle regole di matrice europea, pongono al centro l’azienda nella sua qualità di titolare del trattamento. Ciò comporta che quest’ultima, nel farsi carico dell’organizzazione dell’evento (nel quale, come sottolineato in apertura, ha certamente luogo un trattamento di dati personali), nel rispetto del citato principio di accountability adotti politiche e attui misure di sicurezza adeguate a garantire e dimostrare il rispetto della normativa privacy.
Il corretto compimento o meno di tali scelte ha notevoli impatti anche sotto il profilo sanzionatorio, soprattutto alla luce della centralità – più sopra rilevata – degli obblighi informativi, dei principi e della corretta individuazione della base giuridica del trattamento. È proprio con riferimento a questi ultimi che la normativa europea prevede le sanzioni amministrative pecuniarie di rango più elevato, con ammontare fino a venti milioni di euro o fino al quattro percento del fatturato mondiale annuo dell’esercizio precedente, se superiore.
Note
[1] Con ampio anticipo rispetto alla nascita del GDPR, l’Autorità Garante privacy aveva già evidenziato i rischi connessi ai dispositivi dotati di videocamere che, “comunicando a singoli o diffondendo immagini e suoni in tempo reale [denotano] alcune potenzialità che permettono di violare più facilmente, anche involontariamente, i diritti delle persone interessate dalla ripresa, come pure i terzi inconsapevoli” (cfr. newsletter n. 241 dell’Autorità Garante per la protezione dei dati personali del 23 gennaio 2005).
[2] Il c.d. fenomeno dello “zoombombing” che consiste nell’intrusione, da parte di soggetti non autorizzati, all’interno di una videoconferenza allo scopo di disturbare lo svolgimento dell’evento attraverso la produzione di contenuti non pertinenti, offensivi o violenti.
[3] www.agendadigitale.eu/sicurezza/privacy/lavoro-sistemi-videosorveglianza-guida/.
[4] Per approfondire il tema: www.cybersecurity360.it/legal/privacy-dati-personali/smart-working-e-byod-i-rischi-per-la-sicurezza-aziendale-e-per-la-protezione-dei-dati-personali/.
[5] Come sottolineato in altra sede (www.agendadigitale.eu/sicurezza/wi-fi-in-azienda-guida-pratica-per-renderlo-piu-sicuro/), cfr. con i rilievi di cui alla Relazione annuale al Parlamento 2022 circa l’attività svolta dall’Agenzia per la cybersicurezza nazionale (ACN). www.acn.gov.it/agenzia/relazione-annuale.
