Con l’avvento del Regolamento UE n. 2016/679 sulla protezione dei dati personali, è stato necessario per i consulenti aziendali e gli operatori della privacy ripercorrere i principi fondamentali in tema di videosorveglianza, ponendosi il problema di verificare se le telecamere (già presenti o in procinto di essere installate) siano conformi ai nuovi dettami del GDPR.
Per un datore di lavoro, adottare un sistema di videosorveglianza può risultare non solo utile dal punto di vista della finalità di proteggere la propria azienda da atti vandalici ed episodi illeciti (quali furti e/o danneggiamenti) ma anche per tutelare il proprio patrimonio informatico, sebbene non poche siano le prescrizioni da rispettare al fine di non incappare in (pesanti) sanzioni.
Dal punto di vista delle fonti normative, la materia della videosorveglianza si intreccia con la disciplina prevista dallo Statuto dei lavoratori (legge n. 300/1970) e, in particolare, con le norme contenute nel Titolo I, rubricato «Della libertà e dignità del lavoratore».
L’Autorità Garante ha emesso diversi provvedimenti generali in tema di videosorveglianza, tra cui:
- Provv. 29 novembre 2000 «Il decalogo delle regole per non violare la privacy
- Provv. Generale 29 aprile 2004
- Provv. Generale 8 aprile 2010
- Circolare INL n. 5/2018 del 19 febbraio 2018
La medesima Autorità, inoltre, con riferimento ai principi cardine del GDPR, è intervenuta al fine di chiarire che “Il datore di lavoro può effettuare dei controlli mirati, (direttamente o attraverso la propria struttura) al fine di verificare l’effettivo e il corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro”.
Il Garante ha avuto modo tuttavia di precisare che “nell’esercizio di tale prerogativa, occorre rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali, i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori), di pertinenza e non eccedenza tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o dati di carattere sensibile (ossia i dati appartenenti alle categorie particolari di dati secondo la definizione contenuta nell’art. 9 GDPR).
Sulla scorta di quanto affermato dal Garante, il trattamento dei dati personali raccolti attraverso sistemi di videosorveglianza risulta pertanto lecito non solo quando è fondato su uno dei presupposti di liceità ex art 6 GDPR ma anche quando vengano rispettati dal Titolare fondamentali principi e nello specifico: il principio di finalità, di necessità e proporzionalità.
Per il primo principio, i sistemi di videosorveglianza in azienda possono essere instaurati solo al fine di garantire la protezione e l’incolumità dei dipendenti e di eventuali terzi, la protezione della proprietà e del patrimonio aziendale.
Per il principio di necessità, invece, il datore di lavoro/ Titolare del trattamento deve scegliere sistemi informativi e programmi informatici tali da garantire di essere in grado di ridurre al minimo l’utilizzazione di dati personali. Infine, deve essere rispettato il principio di proporzionalità tra i mezzi impiegati e i fini perseguiti per garantire un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite.
In ossequio alle norme del nuovo Regolamento europeo, gli interessati devono essere sempre informati qualora stiano per varcare una zona videosorvegliata. Tale importante principio è stato oggetto di una sentenza della Corte di Cassazione (sez. II civ., sentenza 19 aprile – 5 luglio 2016, n. 13663), che ha enunciato la seguente massima: «L’installazione di un impianto di videosorveglianza all’interno di un esercizio commerciale, costituendo trattamento di dati personali, deve formare oggetto di previa informativa, ex art. 13 del D.Lgs. n. 196 del 2003, resa ai soggetti interessati prima che facciano accesso nell’area videosorvegliata, mediante supporto da collocare perciò fuori del raggio d’azione delle telecamere che consentono la raccolta delle immagini delle persone e danno così inizio al trattamento stesso».
Ed invero, qualora l’azienda presenti un sistema di videosorveglianza, dal punto di vista della conformità al GDPR, anche l’informativa predisposta – sia per i clienti / fornitori sia per il personale dipendente – dovrà essere declinata dando evidenza di alcuni profili.
Senza dubbio, con l’intervento del GDPR, permane il principale obbligo in capo al Titolare di segnalare il sistema di videosorveglianza: l’interessato deve essere previamente informato che sta per accedere in una zona sorvegliata, per cui l’informativa deve essere collocata prima del raggio d’azione della telecamera ed essere chiaramente visibile agli interessati, in ogni area monitorata dalle telecamere.
Sotto tale aspetto, il cartello contenente l’informativa:
a) deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
b) deve avere un formato ed un posizionamento tale da essere chiaramente visibile, in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
c) può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati, al fine di informare se le immagini siano solo visionate o anche registrate nonché riportare gli estremi identificativi del Titolare del trattamento (la società e/o la ditta) e lo scopo dell’attività di monitoraggio video.
Anche per i dipendenti deve essere chiara la presenza delle telecamere negli ambienti di lavoro.
Il Titolare del trattamento dovrà portare i lavoratori a conoscenza dell’esistenza dell’impianto e comunicare la circostanza che le immagini non saranno utilizzate per finalità disciplinari. L’informativa ai dipendenti non esime dall’attivazione della procedura di cui all’art. 4 dello Statuto dei lavoratori: secondo le prescrizioni del cd. Jobs Act, negli ambienti di lavoro occorre rispettare il divieto di controllo a distanza dell’attività lavorativa.
Il principio in esame è ripreso e specificato anche nel Provvedimento del Garante dell’8 aprile 2010.
Da un punto di vista tecnico, le informative devono riportare, tra le altre informazioni:
- l’esistenza di sistemi di videosorveglianza;
- il riferimento alla società che gestisce l’impianto di videosorveglianza come Responsabile esterno del trattamento;
- la base giuridica del trattamento (= le ragioni che giustificano l’installazione delle apparecchiature) corrispondente al perseguimento del “legittimo interesse” del datore di lavoro/titolare del trattamento come condizione di liceità).
E’ importante focalizzare l’attenzione anche sui tempi di conservazione in esse specificati, i quali devono essere oggetto di una concreta valutazione.
Secondo quanto prescritto dal Provvedimento generale 8 aprile 2010: «Nei casi in cui sia stato scelto un sistema che preveda la conservazione delle immagini, in applicazione del principio di proporzionalità, anche l’eventuale conservazione temporanea dei dati deve essere commisurata al tempo necessario e predeterminato – a raggiungere la finalità perseguita e la conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’Autorità̀ giudiziaria o di Polizia giudiziaria».
Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell’attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l’esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di conservazione dei dati, che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare i 7 giorni.
Altro profilo su cui il Titolare è obbligato a prestare massima attenzione è rappresentato dal tipo di sistema impiegato per la registrazione delle immagini.
L’impianto di registrazione deve essere infatti programmato in modo da operare garantire l’integrale cancellazione automatica delle informazioni allo scadere del termine previsto da ogni supporto, anche mediante sovra registrazione, con modalità tali da rendere non riutilizzabili i dati cancellati.
In presenza di impianti basati su tecnologia non digitale o comunque non dotati di capacità di elaborazione tali da consentire la realizzazione di meccanismi automatici di expiring dei dati registrati, la cancellazione delle immagini dovrà comunque essere effettuata nel più breve tempo possibile per l’esecuzione materiale delle operazioni dalla fine del periodo di conservazione fissato dal titolare.
Merita infine un cenno a quanto prescrive l’art. 32 GDPR in tema di misure di sicurezza.
Secondo le relative prescrizioni, i dati devono essere conservati in modo da essere tutelati in caso di perdita, distruzione accidentale o qualora venga effettuato l’accesso di persone non autorizzate ai documenti, predisponendo ad esempio un sistema di codificazione dei dati.
Il Titolare deve, inoltre, adottare tutte le misure per la cancellazione automatizzata dei dati alla scadenza del termine di conservazione o di quelli non necessari.
La sanzione in tema di mancata conformità del sistema di videosorveglianza alle norme del Regolamento UE 679/2016 è particolarmente ingente; rientra, infatti, nella classe sanzionatoria massima prevista dal GDPR, ossia quella pari fino a 20 milioni di euro, comminabile in caso di violazione dei principi di finalità, necessità, proporzionalità; mancata o inidonea informativa.