Pubblicate dall’Autorità Garante per la Protezione dei Dati Personali le FAQ sulla videosorveglianza: una breve ricognizione dello stato dell’arte
Lo scorso 7 dicembre l’Autorità Garante per i Dati Personali ha pubblicato le proprie FAQ in materia di videosorveglianza definendo, una volta per il tutte, il superamento della disciplina dettata dal proprio provvedimento generale del 2010. L’Autorità, nella sua ricognizione degli adempimenti principali in allineamento alle best practice europee (Linee Guida 3/2019 dell’European Data Protection Board), ribadisce come l’attività, ove svolta nell’ambito di un contesto lavorativo, debba essere esaminata non solo sotto il profilo giuslavoristico, ma anche sotto il profilo della protezione dei dati personali.
Così, ad eccezione dei casi di telecamere finte o spente (rispetto ai quali trovano applicazione unicamente le disposizioni giuslavoristiche), non è sufficiente disciplinare l’installazione di un sistema di videosorveglianza nelle modalità di cui all’art. 4 dello Statuto dei Lavoratori, ma occorre altresì conformarsi agli obblighi del Regolamento UE n. 679/2016 in termini di informativa agli interessati, valutazione di impatto e individuazione ed adozione di adeguate di misure di sicurezza, sia tecniche che organizzative, tali da mitigare i rischi che possono derivarne per i lavoratori (ossia, i soggetti interessati del trattamento).
L’installazione di un sistema di videosorveglianza all’interno di un contesto lavorativo, di norma limitata ai soli casi in cui sia giustificata da esigenze organizzative e produttive ovvero di sicurezza del lavoro o tutela del patrimonio aziendale e solo quale “ultima ratio” (occorre infatti argomentare le motivazioni che rendono insufficienti soluzioni che non comportano un possibile controllo dell’attività del lavoratore ovvero che non implicano il trattamento di dati personali) richiede quindi, in primo luogo, la sottoscrizione di un apposito accordo con le rappresentanze sindacali aziendali o, in assenza o in caso di diniego, l’autorizzazione da parte dell’Ispettorato del Lavoro.
Ciò, tuttavia, tolti i citati casi di telecamere finte o spente, pur costituendo una condizione di liceità del trattamento anche per quanto attiene alla protezione dei dati personali, non è sufficiente alla luce del Regolamento UE n. 679/2016 (così come non lo era in vigenza delle precedenti disposizioni in materia). Il datore di lavoro, titolare del trattamento, deve– ancora prima di attivare il sistema di videosorveglianza – svolgere una valutazione sull’impatto (richiesta dall’art. 35 del GDPR) che il trattamento produce sui soggetti interessati, ossia i lavoratori, finalizzata all’individuazione delle misure più adeguate a mitigare i rischi che possono derivare per i lavoratori. L’attività in esame rientra infatti nell’elenco di trattamenti per i quali l’Autorità Garante, con provvedimento n. 467 datato 11 ottobre 2018, ha individuato la necessità di valutazione di impatto in virtù delle possibili conseguenze sul piano disciplinare e contrattuale che possono derivare da un controllo a distanza delle attività lavorative e che sono attestati dalla stessa applicazione dell’art. 4 dello Stato dei Lavoratori.
Le misure di sicurezza così individuate dovranno sia scongiurare il rischio di violazioni dei dati personali in termini di accesso illegittimo, modifica indesiderata o perdita dei dati, ma anche essere idonee a mitigare e porre un limite al potenziale controllo datoriale. Dette misure possono quindi essere sia meramente organizzative (si pensi, ad esempio, alla previsione all’interno dell’accordo sindacale di apposite regole interne che disciplinino l’accesso alle e la visione delle registrazioni prevedendo la necessaria presenza di un rappresentante dei lavoratori) che tecniche (utilizzo di un sistema di doppia password di cui una parte è in possesso del datore di lavoro e l’altra in mano al rappresentante dei lavoratori ovvero la registrazione di tutti i log di accesso alle immagini) e, verosimilmente, potranno essere in buona parte definite anche all’interno dell’accordo con le rappresentanze sindacali ovvero dell’autorizzazione dell’Ispettorato del Lavoro.
In questo contesto deve anche essere individuato un congruo periodo di conservazione delle registrazioni. Si tratta, questo, di uno degli aspetti più critici in materia di protezione dei dati personali in quanto le immagini – o, meglio, i dati personali in essere contenute – devono essere conservate dal datore di lavoro/titolare del trattamento unicamente per il tempo strettamente necessario per il raggiungimento degli scopi perseguiti. In tal senso, l’orientamento dell’Autorità Garante è da sempre stato piuttosto restrittivo consentendo, salvi particolari casi ed esigenze, una conservazione che di norma si attesta sulle 24 o 48 ore eventualmente estendibili fino a 72 ore in occasione dei giorni di chiusura.
Infine, sia il terzo comma dell’art. 4 dello Statuto dei Lavoratori sia l’art. 13 del Regolamento EU n. 679/2016 richiedono al datore di lavoro di informare i propri dipendenti in merito alla presenza delle telecamere ed al trattamento di dati personali che ne consegue. Questo avviene in un primo momento in forma semplificata attraverso il ricorso ai cartelli della videosorveglianza (aggiornati nel contenuto rispetto al modello proposto dall’Autorità Garante nel 2010) e che devono essere posizioni in modo tale da essere visibili in ogni momento (devono essere catarifrangenti in caso di sistema attivo 24 ore su 24) già prima di entrare nel cono di ripresa delle telecamere.
Un’eventuale violazione delle disposizioni sopra citate e, di conseguenza, l’assenza di uno degli adempimenti riepilogati dall’Autorità Garante nelle FAQ recentemente pubblicate comporta oltre all’impossibilità di utilizzare le immagini per qualsivoglia finalità, anche una possibile responsabilità penale in capo al datore di lavoro (come prevista dall’art. 38 dello Statuto dei Lavoratori che trova applicazione nonostante le modifiche apportate dal Jobs Act perché richiamato dal Codice Privacy), nonché una possibile responsabilità amministrativa in termini di sanzioni pecuniarie che arrivano a 20 milioni di euro o al 4% del fatturato totale annuo, ove superiore.