privacy

Sistemi di videosorveglianza in azienda: guida alla corretta installazione

Home Sicurezza digitale Privacy
Indirizzo copiato

L’installazione di un sistema di videosorveglianza aziendale deve essere preceduta da un’attenta valutazione circa il corretto posizionamento delle telecamere e dal rispetto di ulteriori obblighi sotto il profilo giuslavoristico e della disciplina privacy. Analizziamo come procedere alla compliance normativa

Pubblicato il 4 set 2023
Lorenzo Giannini

Consulente legale privacy e DPO

Videosorveglianza

L’installazione di un sistema di videosorveglianza in azienda è un tema che non può prescindere dalla preliminare e attenta valutazione in merito a due distinte principali[1] aree normative tra loro connesse: quella giuslavoristica e quella in materia di protezione dei dati personali.

Sistemi di videosorveglianza al lavoro: guida pratica alla compliance

Posizionamento delle telecamere: le norme da seguire per garantire la privacy

Per la prima, il riferimento è all’articolo 4 dello Statuto dei lavoratori (legge 300/1970), a norma del quale il ricorso alla videosorveglianza sul luogo di lavoro è possibile esclusivamente per ragioni organizzative e produttive, esigenze connesse alla sicurezza del lavoro o inerenti alla tutela del patrimonio aziendale. Inoltre – come già approfondito in un precedente contributo[2], al quale si rinvia – sia l’installazione che la messa in esercizio dell’impianto sono possibili solo previo raggiungimento di un “accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali […] o, in subordine, nel caso di mancato accordo o assenza di RSU o RSA, soltanto dietro “autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro”.

In merito al secondo profilo, occorre constatare in via incidentale come attività quali la visualizzazione, la registrazione, la conservazione e, in generale, l’utilizzo di immagini ritraenti soggetti riconoscibili, siano da considerare trattamenti di dati personali, alla luce delle definizioni offerte ai punti 1 e 2 del primo comma dell’art. 4 GDPR (Regolamento (UE) 2016/679).

Ferma restando la centralità, anche in ragione dei principi ivi rinvenibili, della normativa privacy di matrice europea e del Codice privacy (D. Lgs. 196/2003, come modificato dal D. Lgs. 101/2018), maggiori indicazioni di dettaglio rispetto all’oggetto del presente intervento – ossia in merito alla concreta installazione dell’impianto – sono quelle contenute nel provvedimento del Garante privacy in materia di videosorveglianza dell’8 aprile 2010, nelle FAQ emanate sul tema nel dicembre del 2020 a cura della medesima Autorità, nonché nelle Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video del Comitato europeo per la protezione dei dati (EDPB).

Come informare correttamente le persone soggette alla videosorveglianza

La circostanza di dover considerare l’attività di videosorveglianza di persone fisiche come vero e proprio trattamento di dati personali pone tra le principali conseguenze quella di dover garantire il rispetto dei principi di cui alla normativa europea privacy, tra i quali spiccano obblighi di trasparenza (art. 5, comma 1, lett. a) GDPR) e rendicontazione (accountability, art. 24 GDPR) nei confronti degli interessati.

Ciò si traduce nel principale impegno per l’azienda di informare circa la presenza delle telecamere e, più in generale, che i soggetti stanno per accedere a un’area videosorvegliata. Per il rispetto di tale obbligo – che vale nei confronti dei soggetti coinvolti direttamente nell’organizzazione aziendale (es. dipendenti e collaboratori) ma anche degli esterni (es. clienti, fornitori, visitatori, etc.) – le FAQ del Garante privacy in tema di videosorveglianza, sulla scia di quanto già previsto nelle Linee guida dell’EDPB propongono un modello di “informativa minima” (ossia di cartellonistica) direttamente utilizzabile da parte dei titolari (vedi immagine 1).

Immagine 1

Il cartello, da adattare in base al contesto (grandezza dell’area oggetto di rilevamento, modalità delle riprese, etc.), deve poi far rinvio – specificando dove reperirla; ad es. sito web aziendale – a un modello esteso di informativa redatta ai sensi e contenente tutti gli elementi di cui all’art. 13 GDPR. A tale scopo potrebbe risultare utile inserire nella cartellonistica un QR code che consenta all’interessato di accedere direttamente al link del sito web in cui si trova caricata l’informativa. È opportuno sottolineare infatti che, come richiesto ex art. 12 GDPR, l’informativa deve essere resa disponibile agli interessati con modalità facilmente accessibili[3].

Quanto al suo collocamento, in ragione dello scopo per cui è richiesta la sua presenza, ossia di informare i soggetti del loro accesso all’area sottoposta a videosorveglianza, la cartellonistica deve necessariamente essere affissa prima di entrare nella zona sorvegliata. Per quanto non venga previsto l’obbligo di indicare la precisa ubicazione delle telecamere, le FAQ del Garante dispongono che venga comunque portata a conoscenza dell’interessato “quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario” (cfr. FAQ n. 4).

Invero, già il Provvedimento in materia di videosorveglianza dell’8 aprile 2010; [doc. web n. 1712680]), aveva indicato come i cartelli:

  • Devono essere collocati prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
  • Devono avere un formato ed un posizionamento tale da essere chiaramente visibili in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
  • Possono inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione (così come quella inserita nel modello di cui all’immagine 1), eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate. Nel caso in cui il sistema fosse collegato con le forze di polizia, nel cartello dovrebbe essere illustrata tale circostanza, così come dovrebbe essere inclusa all’interno dell’informativa estesa;

I requisiti tecnici per l’installazione di un sistema di videosorveglianza efficace

Difficile esaurire in questa sede la descrizione di tutte le possibili combinazioni di tecnologie, modalità di installazione, gestione e utilizzo che permettano di ritenere “efficace” un sistema di videosorveglianza. Ad avviso di chi scrive, con riferimento al tema che ci occupa, l’efficacia non è determinabile aprioristicamente quanto piuttosto da determinare all’esito di un’attenta valutazione da condurre insieme all’installatore del sistema di videosorveglianza e, se presente, del Data Protection Officer (DPO), nonché tenendo in debita considerazione i luoghi di installazione e le finalità di esercizio.

Ciò premesso, è tuttavia innegabile come, ad esempio, l’integrazione di misure crittografiche a tutela della riservatezza delle immagini riprese e trasmesse dal sistema, non solo si inserisce nel rispetto dei principi in tema di sicurezza dettati dal Garante privacy (cfr. par. 3.3.1, lett. a) del citato provvedimento dell’8 aprile 2010), ma altresì può ritenersi tecnica idonea in chiave di sostanziale efficacia del sistema.

La scelta dei punti strategici per il posizionamento delle telecamere

Similmente a quanto appena osservato, anche i criteri da adottare per le scelte relative al posizionamento delle telecamere e la loro installazione materiale non possono prescindere da una valutazione circostanziata rispetto all’ambito di utilizzo del sistema.

Tuttavia, ai fini dell’installazione, l’azienda dovrà aver riguardo di garantire un livello elevato di tutela dei diritti e delle libertà fondamentali degli interessati attraverso una preventiva valutazione circa la liceità e la proporzionalità del trattamento[4], con particolare attenzione al rispetto dei principi di minimizzazione (art. 5, comma 1, lett. c), GDPR) e di privacy by default (art. 25 GDPR) soprattutto per quanto attiene alla raccolta e conservazione delle immagini.

Nel citato provvedimento del 2010 l’Autorità Garante privacy ha inoltre chiaramente sottolineato come “l’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili”, quali ad esempio – tra le altre – la normativa richiamata in apertura in ambito giuslavoristico o le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata[5]. Sotto quest’ultimo profilo, il posizionamento delle telecamere da parte dell’azienda deve dunque avvenire avendo riguardo di non riprendere altrui proprietà private[6].

Come approfondito in un precedente contributo[7], nonostante non siano mancate aperture da parte della giurisprudenza (cfr. Corte di cassazione, Sez. V Penale – sentenza 13 maggio 2019, n. 20527), la recente sentenza n. 3316/2020 del TAR Lazio ha chiarito il divieto da parte dei privati all’installazione di sistemi di videosorveglianza con ripresa delle aree esterne transitabili al pubblico senza che vi sia accordo con l’ente locale. Solo alla Pubblica Amministrazione territoriale, infatti, spetta l’attività di prevenzione dei reati e del controllo del territorio per la tutela della sicurezza urbana.

Con specifico riferimento alla ripresa delle aree frequentate dai lavoratori, quest’ultima deve avere a oggetto i luoghi di lavoro connessi alla/e esigenza/e di sicurezza, organizzazione o tutela del patrimonio aziendale in virtù della/e quale/i si è fatto ricorso all’installazione del sistema; deve evitare di riprendere le postazioni di lavoro; deve escludere di riprendere le aree riservate esclusivamente ai lavoratori come toilette o spogliatoi[8].

Proprio per quest’ultima ipotesi e, nello specifico, per l’installazione di sistemi volti alla captazione di immagini nel bagno del luogo di lavoro, una recente sentenza della Cassazione (Corte di cassazione, Sez. V Penale – sentenza 2 maggio 2022, n. 17065) ha ravvisato il tentativo di interferenza illecita nella vita privata.

Le tempistiche di conservazione delle registrazioni: cosa prevede la legge

Nel caso in cui avvenga la registrazione e, dunque, la conservazione delle immagini riprese, la sua durata dovrà essere stabilita tenendo in debita considerazione il contesto e la finalità di raccolta.

Se nel provvedimento del Garante privacy del 2010 il tempo di conservazione nel contesto privato ammontava “a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria”[9], nelle più recenti FAQ viene indicato come nella maggior parte dei casi le immagini devono essere cancellate dopo pochi giorni, preferibilmente tramite meccanismi automatici[10].

In ottica di accountability e secondo il principio di responsabilizzazione (art. 5, comma 2, GDPR), pertanto, quanto maggiore sarà la dilatazione dei tempi di conservazione tanto più argomentata dovrà essere l’analisi da parte dell’azienda a sostegno di tale scelta.

La gestione dei dati personali raccolti tramite il sistema di videosorveglianza

Prima di avviare qualsiasi attività di trattamento che abbia a oggetto le immagini riprese dal sistema e, di riflesso, metterle a disposizione di soggetti interni o esterni all’azienda, quest’ultima deve assicurarsi di formalizzare appositi atti di nomina e fornire opportune istruzioni a tutti i soggetti che operano sotto la propria autorità.

Internamente, nei confronti del personale preposto allo svolgimento di attività anche di mera consultazione delle immagini o delle registrazioni, oltre all’attività formativa[11] deve essere previsto un apposito modello di nomina in qualità di designato o autorizzato al trattamento, contenente istruzioni di dettaglio sugli obblighi e i divieti da osservare nello svolgimento delle proprie attività.

Esternamente, nel caso ad esempio in cui attività di trattamento vengano in tutto o in parte affidate al di fuori dell’azienda (es. società di vigilanza, oppure la società installatrice che abbia accesso a fini di manutenzione e assistenza), deve procedersi alla nomina come responsabile ex art. 28 GDPR del professionista o della società che svolge le suddette attività per conto dell’azienda, dettagliando nel contratto o altro atto giuridico anche il perimetro delle attività che possono essere svolte (cfr. terzo comma art. 28 GDPR).

Come garantire la sicurezza delle registrazioni e prevenire accessi non autorizzati

Così come già osservato per le caratteristiche tecniche di installazione, per il posizionamento delle telecamere e per la conservazione delle registrazioni, anche quello della sicurezza è un elemento da “cucire” in base al contesto nel quale il sistema di videosorveglianza va a inserirsi e alle caratteristiche dell’impianto medesimo.

A ben vedere lo stesso art. 32 GDPR prevede che, in generale, la scelta delle misure di sicurezza tecniche e organizzative da implementare a tutela dei dati personali trattati venga commisurata rispetto allo stato dell’arte e ai costi di attuazione, nonché alla natura, all’oggetto, al contesto e alle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

In ogni caso, a prescindere dalle caratteristiche del sistema e dalle misure di sicurezza per esso previste, qualsiasi preliminare valutazione non potrà prescindere dal rispetto del principio di privacy by design (art. 25, comma 1, GDPR), prevedendo che la tutela degli interessati venga assicurata fin dalla progettazione e per tutta la successiva durata del trattamento, a seguito della messa in esercizio dell’impianto.

L’importanza di un’adeguata manutenzione del sistema di videosorveglianza

Per garantire la sicurezza del sistema di videosorveglianza e, con esso, dei dati trattati per suo tramite[12], è altresì utile considerare l’importanza di una corretta manutenzione e aggiornamento dell’impianto.

Oltre alle ovvie attività di ordine tecnico al fine del mantenimento in buono stato delle telecamere e delle altre componenti, così come dell’upgrade a versioni più nuove o performanti, le modifiche possono comportare la necessità di intervenire anche sul piano documentale.

Al mutare delle caratteristiche del sistema, ad esempio, è opportuno valutare l’aggiornamento del contenuto della cartellonistica e delle informative (per adattarle alle concrete e mutate modalità del trattamento), così come degli atti di nomina interni ed esterni (per dettare eventuali nuove istruzioni di dettaglio in ragione, ad esempio, del differente funzionamento del nuovo impianto).

Inoltre, stante la necessità di svolgere una valutazione d’impatto (DPIA – Data Protection Impact Assessment) ai sensi dell’art. 35 GDPR in ragione dell’impiego del sistema di videosorveglianza in ambito lavorativo[13], anche quest’ultima sarà da aggiornare rispetto alle eventuali mutate caratteristiche del sistema aggiornato[14].

Le responsabilità del titolare del sistema di videosorveglianza in caso di violazione della privacy

Alla luce della normativa europea in materia di protezione dei dati personali, nonché delle considerazioni fin qui svolte, appare chiaro come siano posti in capo all’azienda specifici obblighi, nella sua qualità di titolare del trattamento.

Ciò si traduce nella necessità per l’azienda di compiere attente valutazioni prima della concreta installazione e messa in esercizio dell’impianto, dato che eventuali scelte e condotte errate nell’ambito, ad esempio, dei principi base del trattamento o delle condizioni di liceità, conducono alle sanzioni amministrative pecuniarie di rango più elevato tra quelle previste al quinto comma dell’art. 83 GDPR, con ammontare fino a venti milioni di euro o, per le imprese, fino al quattro percento del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Note

  1. Come sottolineato nelle FAQ in materia di videosorveglianza del Garante privacy (cfr. n. 1), vi sono ulteriori disposizioni nell’ordinamento applicabili al tema della videosorveglianza come, a mero titolo esemplificativo, le vigenti norme dell’ordinamento penale in materia di interferenze illecite nella vita privata (art. 615-bis c.p.).
  2. www.agendadigitale.eu/sicurezza/videosorveglianza-in-azienda-come-chiedere-lautorizzazione-allispettorato-del-lavoro/
  3. Sotto il profilo del suo contenuto, le informazioni rese dal titolare tramite l’informativa devono risultare intelligibili. Pertanto, in caso di soggetti stranieri (es. struttura ricettiva) appare utile prevedere anche una versione tradotta a loro comprensibile.
  4. Cfr. par. 2 provvedimento Garante privacy 8 aprile 2010 e FAQ Garante privacy sulla videosorveglianza n. 2.
  5. Si veda, in particolare, l’art. 615-bis del codice penale.
  6. Nel caso di installazione in un contesto condominiale si rende necessaria l’autorizzazione deliberata dall’assemblea condominiale, con consenso della maggioranza dei millesimi dei presenti (art. 1136 c.c.); cfr. FAQ Garante privacy sulla videosorveglianza n. 11.
  7. www.agendadigitale.eu/sicurezza/privacy/lavoro-sistemi-videosorveglianza-guida/
  8. Cfr. comunicato stampa Garante privacy del 20 maggio 2004, nonché con le dichiarazioni di cui a pag. 3 del modello di istanza “INL 1 Istanza Videosorveglianza Telecamere” messo a disposizione dall’Ispettorato Nazionale del Lavoro al fine dell’ottenimento dell’autorizzazione amministrativa all’installazione e messa in esercizio dell’impianto.
  9. Cfr. par. 3.4.
  10. Cfr. FAQ n. 5.
  11. Prevista ex art. 32, comma 4, GDPR.
  12. Cfr. anche con il principio di “integrità e riservatezza” di cui all’art. 5, comma 1, lett. f), GDPR.
  13. Secondo la tipologia n. 5 di cui all’Allegato 1 al provvedimento dell’Autorità Garante privacy dell’11 ottobre 2018, lo svolgimento di una valutazione d’impatto è richiesta con riferimento ai “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”.
  14. Cfr. art. 35, comma 11, GDPR.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • vademecum

    Consensi privacy in azienda, come gestirli: la guida completa

    09 Feb 2024

    di Lorenzo Giannini

    Condividi

  • Innovazione e Sostenibilità

    Robotica e IA per gli obiettivi di sviluppo sostenibile: esempi e casi di studio

    13 Mag 2024

    di Mirta Michilli e Alfonso Molina

    Condividi

Prossimo

Consensi privacy in azienda, come gestirli: la guida completa

Articolo 1 di 3