Ecco gli obblighi normativi per i sistemi di video sorveglianza in azienda e negli spazi pubblici.
Per cominciare:chi è il titolare del trattamento?
Un primo punto utile da chiarire, in merito agli impianti di videosorveglianza, è chi sia il titolare del trattamento dei dati personali dei lavoratori. In azienda, il ruolo di titolare del trattamento è del datore di lavoro. Ciò è dovuto al fatto cherientrano nella responsabilità del datore di lavoro tutti i processi aziendali che prevedono il trattamento di dati personali. Sul tema sono molto chiari le Linee Guida EDPB 3/2019 e il considerando 78 del GDPR.
Ecco perchè se il titolare di un’azienda decide di installare un impianto di videosorveglianza, deve prima di tutto prevedere uno specifico processo aziendale conforme al GDPR, ma anche allo Statuto dei Lavoratori.
Accountability, privacy by design e by default: i principi cardine
Le Linee Guida parlano chiaro , il datore di lavoro, in rispetto della privacy by design e by default, deve prevedere e attuare misure tecniche e organizzative adeguate per
- garantire la protezione dei dati;
- per integrare nel trattameto dati gli obblighi normativi nel rispetto dei diritti dei lavoratori.
Concretamente, che cosa significa tutto questo? Come si traducono in pratica questi principi?
1. Determinare la finalità e la base giuridica della videosorveglianza
L’art 4 dello Statuto dei Lavoratori elenca una serie, limitata, di possibilità, che sono:
- tutela del patrimonio aziendale;
- sicurezza sul lavoro;
- esigenze organizzative e produttive.
Queste finalità devono essere messe nero su bianco e documentate. Il trattamento tramite videosorveglianza è lecito se il legittimo interesse del datore di lavoro poggia su idonea base giuridica, limitata comunque dagli interessi e diritti fondamentali dei lavoratori.
2. Applicare in concreto i principi di correttezza e trasparenza
Il principio di correttezza impone un limite chiaro. Il sistema di videosorveglianza deve essere impiegato solo per le finalità individuate ed esplicitate ai dipendenti.
Sono vietati utilizzi impropri o per scopi inaspettati per i dipendenti. Fa il paio col principio di correttezza quello di trasparenza. I lavoratori hanno diritto ad essere informati in modo dettagliato riguardo agli spazi videosorvegliati. L’informativa è dovuta per legge, ma nel caso in cui le informazioni da fornire ai dipendenti sono numerose, il datore di lavoro può ricorrere ad una informativa specifica a più livelli.
In un primo livello vanno indicate informazioni centrali come l’identità e i recapiti del titotale del trattamento, la finalità e la base giuridica. Ulteriori dettagli possono essere contenuti in un livello successivo dell’informativa. L’informativa completa può essere fornita indicato un QR Code che rimandi al sito web aziendale.
3. Utilizzare i cartelli corretti e disporli adeguatamente
Gli impianti di videosorveglianza vanno segnalati,ma solo l’8% degli impianti è segnalato con regolare cartello.
il Legislatore impone invece di disporre la segnaletica in maniera tale da rendere chiaro e immediata la conoscenza di quali zone sono videosorvegliate.
Il nuovo cartello per le aree videosorvegliate è quello sotto in figura:
4. Conservazione dei dati
Il datore deve valutare per quanto gli è necessario conservare i dati personali raccolti con l’impianto di videosorveglianza. Visti gli scopi più comuni, cioè protezione del patrimonio e conservazione di elementi probanti, un termine verosimile sta nell’arco dell’uno o due giorni (salvo specifiche esigenze).
In generale comunque, alla lettura del GDPR, risulta che pochi giorni sia un termine conforme alla legge. I meccanismi di cancellazione automatica sono preferibili. Se un datore di lavoro vuole conservare i dati oltre le 72 ore deve abbondantemente darne giustificazione.
5. Mettere in sicurezza sistema e dati
Il datore di lavoro ha l’obbligo id mettere in sicurezza dati e sistemi predisponendo idonee misure tecniche e organizzative.
- per sicurezza del sistema si intende la sicurezza fisica delle componenti del sistema, l’integrità e resilienza dello stesso. Gli ultimi due termini riferiscono alla resilienza del sistema a manomissioni e interferenze involontarie del normale funzionamento dei sistemi;
- per sicurezza dati si intende la tutela della riservatezza:
- i dati devono essere accessibili solo a chi ha avuto accesso agli stessi;
- dell’integrità: i dati devono essere protetti dal rischio di perdita o manipolazione;
- della disponibilità: i dati devono essere consultati ogni volta che sia necessario farlo.
6. Accordo sindacale e Ispettorato Nazionale del Lavoro
Stabilito il processo di gestione del sistema di videosorveglianza subentra l’obbligo di attuazione dell’art 4. della legge 300/1970, più comunemente conosciuta come Statuto dei Lavoratori.
Lo Statuto prevede che il datore di lavoro possa utilizzare impianti “audiovisivi” e altri strumenti che consentano il controllo a distanza dei lavoratori solo per le esigenze di
- tutela del patrimonio aziendale;
- sicurezza sul lavoro;
- esigenze organizzative e produttive.
La stessa norma vincola la conformità degli impianti di videosorveglianza ad un accordo preventivo collettivo, stipilato con l’RSA o l’RSU aziendale. Nel caso in cui l’azienda abbia più sedi dislocate su più province o regioni, l’accordo può essere stipulatto con le rappresentanze sindacali più rappresentative a livello nazionale. In caso di mancato accordo, resta una sola opzione: ricevere l’autorizzazione della sede territoriale dell’Ispettorato del Lavoro o della sede centrale dell’INL.
Ricordiamo che violare la previsione sopra indicata costituisce reato.
8. Organizzarsi in conseguenza per dare corpo alla conformità
L’ultimo step che il datore di lavoro deve fare è quello di mettere in pratica una serie di misure organizzative
- nominare le persone autorizzate al trattamento dei dati. La nomina deve essere scritta. Il personale che dovrà gestire l’impianto di video sorveglianza deve ricevere istruzioni specifiche.
- predisporre e attuare le procedure per gestire l’esercizio dei diritti riconosciuti agli interessati.