Il datore di lavoro che intenda installare un sistema di videosorveglianza all’interno del proprio contesto lavorativo, prima dell’installazione e della messa in esercizio dell’impianto, è chiamato a svolgere un attento processo di valutazione per la compliance rispetto agli obblighi relativi a due distinti profili normativi che non mancano di essere collegati tra loro: da un lato, la normativa in materia di protezione dei dati personali, dall’altra quella giuslavoristica.
Indice degli argomenti
La privacy nelle attività di videosorveglianza
Al fine di comprendere la piena applicabilità della normativa in materia di protezione dei dati personali rispetto a questo tema, è opportuno innanzitutto considerare come l’immagine ripresa dal sistema di videosorveglianza debba essere ricompresa nell’ampia definizione di “dato personale”, così come offerta all’art. 4, n. 1, Regolamento UE 679/2016 (GDPR), laddove sia possibile identificare la persona fisica. L’estesa definizione di “trattamento”, offerta dal successivo punto numero 2, include – tra le altre – attività quali la raccolta, la conservazione o la mera attività di consultazione.
Da ciò si deduce che, la semplice visualizzazione delle immagini riprese dal sistema in tempo reale, costituisce già di per sé un trattamento dei dati personali e, di riflesso, come rispetto a detta attività, troveranno senz’altro applicazione le disposizioni della richiamata normativa europea in materia di protezione dei dati personali.
Informativa come sinonimo di trasparenza
Sotto il profilo degli adempimenti formali da porre in essere, come chiarito nel Provvedimento in materia di videosorveglianza dell’8 aprile 2010 e nelle FAQ sulla videosorveglianza del dicembre 2020 del Garante per la protezione dei dati personali (GPDP), è fatta richiesta al titolare del trattamento (ovvero a colui che è responsabile dell’impianto e possa operare le scelte circa finalità, mezzi del trattamento e relative misure di sicurezza da adottare) di informare gli interessati che stanno per accedere a una zona videosorvegliata. Ciò vale per chiunque: siano essi soggetti facenti parte del personale impiegato nel contesto lavorativo, oppure fornitori, clienti, visitatori e così via. Ogni soggetto che transita nell’area videosorvegliata e viene ripresa dal sistema, deve essere avvisato di tale circostanza.
A tal fine viene stabilita la necessaria presenza di un modello di “informativa minima” (ovvero di adeguata cartellonistica) – di cui la stessa Autorità ha reso disponibile un fac-simile, allegato alle richiamate FAQ, sulla scia di quanto già previsto nelle Linee guida 3/2019 sulla videosorveglianza dell’European Data Protection Board (EDPB) – adattabile in ragione del contesto (ad esempio, in presenza di più telecamere è possibile installare più cartelli in vari punti) e che, come indicato nel citato provvedimento del 2010:
- Deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
- Deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
- Può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate. Nel caso in cui il sistema fosse collegato con le forze di polizia, nell’immagine presente nel cartello dovrebbe altresì essere illustrata tale circostanza, così come dovrebbe essere inserita all’interno dell’informativa estesa;
Sul punto, inoltre, la FAQ n. 4 del Garante ha chiarito come non sia necessario: “rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.
È necessario, inoltre, che l’informativa minima faccia rinvio a un modello di informativa estesa redatto ai sensi e contenente le informazioni di cui all’art. 13 GDPR, reso disponibile agevolmente agli interessati e con modalità facilmente accessibili ad esempio mediante affissioni in bacheche, siti web e con modalità intelligibili, così come stabilito dall’art. 12 GDPR (pensiamo alla necessità di prevedere una versione tradotta, comprensibile ai cittadini stranieri come, ad esempio, nel contesto di una struttura ricettiva).
Base giuridica del trattamento
Per quanto attiene alla condizione di liceità del trattamento, che dovrà essere indicata all’interno dell’informativa, alla luce delle oggettive difficoltà di acquisire un consenso da parte dell’interessato – oltre a quanto si dirà sotto il profilo giuslavoristico – la base giuridica può essere individuata nel bilanciamento di interessi e, pertanto, nel legittimo interesse del titolare del trattamento (art. 6, GDPR) connesso, ad esempio, a esigenze di sicurezza o di tutela del patrimonio aziendale.
Atti di nomina
Tutti i soggetti ai quali sarà concesso effettuare qualsiasi attività di trattamento che abbia ad oggetto le immagini del sistema di videosorveglianza (consistano esse in una mera visualizzazione delle immagini in real time, nell’accesso alle registrazioni conservate e quant’altro), dovranno essere autorizzati a farlo.
Internamente alla società (titolare del trattamento), dovranno essere pertanto previste apposite nomine per i soggetti designati o autorizzati all’interno delle quali prevedere istruzioni di dettaglio circa gli obblighi e i divieti per tali soggetti. Ciò, senza dimenticare che l’obbligo di fornire specifiche istruzioni ai soggetti sottoposti alla sua autorità, risulta già in capo al titolare in ragione dell’art. 32, comma 4, GDPR.
Qualora l’attività – o una parte di essa – venga esternalizzata (pensiamo, ad esempio, alla società di vigilanza che visualizza le immagini e/o ha accesso alle registrazioni; società installatrice che ha accesso al sistema per ragioni di manutenzione e assistenza), il titolare deve procedere alla nomina della società che effettua le attività di trattamento per suo conto, quale responsabile secondo l’art. 28 GDPR. Ne consegue la necessaria indicazione, all’interno del contratto o altro atto giuridico di nomina, delle istruzioni che vincolino il responsabile al titolare del trattamento e che vadano a perimetrarne l’ambito operativo delle attività, oltre alla: “durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento” (art. 28, comma 3, GDPR).
Per queste ragioni occorre evitare, a mero titolo esemplificativo, il posizionamento del monitor in modo tale che le immagini siano visibili da parte di soggetti non autorizzati come, ad esempio, soggetti di passaggio davanti alla reception/portineria. Tali accorgimenti rientrano tra le misure di sicurezza organizzative adeguate.
Valutazione d’impatto
Per quanto l’approccio al GDPR sia, già in sé, da considerare “basato sul rischio” (cosiddetto “risk based approach”), in caso di videosorveglianza sorgerà l’obbligo formale per il titolare di redigere una valutazione d’impatto (Data Protection Impact Assessment) tutte le volte in cui il sistema sfrutti nuove tecnologie dalle quali possano derivare rischi per diritti e libertà dei soggetti ad esempio, termocamere, sistemi di facial recognition, collegamenti a sistemi IoT o machine learning, sorveglianza sistematiche su larga scala di zone accessibili al pubblico, ad esempio un centro commerciale, e nel caso in cui il sistema sia inserito in un contesto lavorativo.
Misure di sicurezza e data retention
Sotto il profilo della sicurezza appare centrale il concetto di “adeguatezza” di cui all’articolo 32 GDPR. Al titolare, pertanto, sono rimesse le opportune valutazioni per stabilire ex ante quale siano le misure di sicurezza tecniche e organizzative da implementare rispetto al sistema e al contesto nel quale quest’ultimo è inserito. La scelta dovrà essere commisurata rispetto allo stato dell’arte e ai costi di attuazione, nonché alla natura, all’oggetto, al contesto e alle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
All’interno degli atti di nomina interni più sopra richiamati potranno essere individuate specifiche modalità e restrizioni per quanto riguarda l’accesso alle registrazioni conservate ad esempio, prevedendo che siano consultabili solo da parte di taluni soggetti.
I principi di privacy by design e by default
Queste misure – così come, più in generale, lo stesso sistema di videosorveglianza – devono rispettare i principi di privacy by design e by default di cui all’art. 25 GDPR: in particolare, devono essere previste fin dalla progettazione del sistema di videosorveglianza e per tutta la durata del trattamento effettuato attraverso di esso; inoltre, come impostazione predefinita, il sistema deve essere orientato al rispetto del principio di minimizzazione ovvero trattando i dati in modo pertinente e non eccedente rispetto a quelli che sono gli scopi e le finalità di raccolta.
Proprio quest’ultimo principio dovrà orientare le scelte del titolare in merito ai tempi di conservazione delle registrazioni: il titolare deve individuarli, in base al principio di responsabilizzazione, tenendo in debita considerazione il contesto e le finalità del trattamento, il rischio per i diritti e le libertà delle persone fisiche.
Mentre nel provvedimento del 2010 il Garante indicava per il contesto privato che la conservazione fosse “limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell´autorità giudiziaria o di polizia giudiziaria”. Nelle sue più recenti FAQ del 2010 indica come: “nella maggior parte dei casi devono essere cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici”. Pertanto, “quanto più prolungato è il periodo di conservazione previsto tanto più argomentata deve essere l’analisi”.
Anche in questo caso non si potrà prescindere da una autovalutazione da parte del titolare che, nel rispetto del principio di accountability, dovrà dimostrare la fondatezza delle proprie scelte circa la determinazione dei tempi di conservazione con riguardo a scopi e finalità di raccolta.
Posizionamento delle telecamere
L’installazione da parte del privato di un sistema di videosorveglianza dovrà avvenire avendo riguardo di non riprendere altrui proprietà private, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata di cui all’art. 615-bis c.p..Il Garante indica come non sia consentito riprendere aree pubbliche o di pubblico passaggio.
Se da un lato non sono mancate aperture sul punto da parte della giurisprudenza (cfr. Corte di cassazione, Sez. V Penale – sentenza 13 maggio 2019, n. 20527), con recente pronuncia il TAR del Lazio (sentenza n. 3316/2020) ha chiarito come i privati non possono installare telecamere di videosorveglianza rivolte verso aree transitabili al pubblico senza accordo con l’ente locale, che può ordinare la rimozione immediata dell’impianto segnalando l’abuso direttamente all’Autorità Garante. Solo alla Pubblica Amministrazione territoriale spetta infatti l’attività di prevenzione dei reati e del controllo del territorio per la tutela della sicurezza urbana.
Ulteriori adempimenti privacy
Resta inteso che il titolare deve rispettare gli ulteriori obblighi per lui previsti dalla normativa europea in materia di protezione dei dati personali:
- Obbligo di tenuta di un registro del trattamento, all’interno del quale registrare l’attività di trattamento condotta per mezzo del sistema di videosorveglianza;
- Procedure interne volte a riscontrare, nei tempi previsti, le eventuali richieste di esercizio dei diritti da parte degli interessati;
- Procedure interne volte a rispondere efficacemente – nonché nei termini e nelle modalità di cui agli articoli 33 e 34 GDPR – a eventuali ipotesi di violazione dei dati personali (c.d. data breach);
- Idonea e aggiornata formazione del personale e presenza di policy interne (che richiede al titolare di fornire istruzioni nei confronti di tutti i soggetti sottoposti alla sua autorità);
- Eventuale nomina del Responsabile per la protezione dei dati o Data Protection Officer (DPO).
Non solo privacy
L’intenzione da parte del datore di lavoro di installare un sistema di videosorveglianza non può prescindere dal rispetto di quanto richiesto dalla cornice normativa giuslavoristica, oltre alla tutela del dato personale.
Gli obblighi in ambito giuslavoristico nella videosorveglianza al lavoro
Il principale riferimento normativo è costituito dall’art. 4 dello Statuto dei Lavoratori (L. 300/1970 e s.m.i.). In particolare, il primo comma, se da un lato prevede la possibilità di installare “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”, dall’altro quest’ultima viene circoscritta alternativamente a esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
Gli impianti possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale.
Nel caso in cui l’accordo non sia raggiunto, oppure per le realtà dove non siano presenti rappresentanze sindacali, occorre procedere con la richiesta di autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro.
Soltanto a seguito del raggiungimento dell’accordo o del rilascio dell’autorizzazione, sarà possibile installare e avviare il sistema.
Appare utile sottolineare come il sistema di videosorveglianza in ambito lavorativo non può basarsi sul consenso dei lavoratori. Ciò in quanto una delle caratteristiche del consenso di cui all’art. 7 GDPR, nonché alle Linee guida sul consenso 5/2020 dell’EDPB, è quello di dover essere liberamente prestato, ossia costituire manifestazione di una libera volontà dell’interessato.
Ciò premesso, alla luce dello squilibrio tra le parti contrattuali del rapporto lavorativo (datore/titolare del trattamento da un lato, lavoratore/interessato dall’altro), occorre concludere che il consenso eventualmente prestato dal lavoratore non potrebbe ritenersi valido.
Ulteriori adempimenti
Parliamo delle recenti novità introdotte dal “decreto trasparenza” (D. Lgs. 104/2022) e, nello specifico, dal nuovo articolo 1-bis nel D. Lgs. 152/2022, il quale potrebbe verosimilmente trovare applicazione nell’eventualità in cui la videosorveglianza possa rappresentare un “sistema decisionale e di monitoraggio automatizzato” incidente sul rapporto lavorativo. Pensiamo, ad esempio, al caso di dispositivi dotati di riconoscimento facciale o connessi a sistemi IoT o di machine learning.
In tal caso il datore deve fornire al dipendente le ulteriori informazioni, prevedere ulteriori tutele, provvedere alle integrazioni sulla documentazione privacy, nonché effettuare una comunicazione alle rappresentanze sindacali, se presenti, o alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, nei termini già approfonditi.
