Data protection

La applicazione di un impianto aziendale di video sorveglianza e controllo degli accessi: disamina condotta alla luce della normativa di settore.

La disciplina in materia di trattamento dei dati personali prevede che i soggetti pubblici possono, di regola, trattare dati personali se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).

Con specifico riferimento all’utilizzo di sistemi di videosorveglianza da parte di soggetti pubblici, già nel “Provvedimento in materia di videosorveglianza” (provv. dell’8 aprile 2010) il Garante aveva chiarito che tali soggetti, “in qualità di titolari del trattamento […], possono trattare dati personali nel rispetto del principio di finalità, perseguendo scopi determinati, espliciti e legittimi […] per lo svolgimento delle proprie funzioni istituzionali” (par. 5) (cfr. par. 3.2 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati del 29 gennaio 2020).

L’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili: ad esempio, nel caso che occupa, in materia di controllo a distanza dei lavoratori. Va sottolineato, in particolare, che l’attività di videosorveglianza va effettuata nel rispetto del cosiddetto principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento. I dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite.

Il datore di lavoro deve, altresì, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana […] degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2 e 88, par. 2 del Regolamento). In tale quadro, per effetto del rinvio contenuto nel Codice alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (art. 114 “Garanzie in materia di controllo a distanza”), l’osservanza dell’art. 4 della l. 20 maggio 1970, n. 300 costituisce una condizione di liceità del trattamento. L’art. 4, comma 1, della l. 20 maggio 1970, n. 300 stabilisce, infatti, che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali […]. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, […] della sede centrale dell’Ispettorato nazionale del lavoro”.

Il titolare del trattamento (i.e., l’ente o l’azienda) è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).

Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 12 del Regolamento).

L’ente o l’azienda possono, pertanto, installare un sistema di videosorveglianza esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nel rispetto delle altre garanzie previste dalla normativa di settore in materia di installazione di impianti audiovisivi e altri strumenti di controllo (art. 4 della l. 300/1970).

Il Comitato europeo per la protezione dei dati (EDPB)  ha adottato le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” allo scopo di fornire indicazioni sull’applicazione del Regolamento in relazione al trattamento di dati personali attraverso dispositivi video, inclusa la videosorveglianza.

Ai sensi della disciplina in materia di protezione dei dati personali, il trattamento di dati personali effettuato da soggetti pubblici (come gli Enti e le aziende sanitarie) è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” [art. 6, par. 1, lett. c) ed e)].

Pertanto, gli interessati devono sempre essere informati (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata.

L’informativa può essere fornita utilizzando un modello semplificato (cd. informativa minima o di primo livello), che deve contenere, tra le altre informazioni, l’identità ed i punti di contatto del titolare del trattamento, la finalità, la base giuridica, e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento).

 Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese). L’informativa va collocata prima di entrare nella zona sorvegliata.

L’informativa minima deve avere le seguenti caratteristiche:

  • essere collocata prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
  • avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
  • può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

 Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario.

L’informativa deve rinviare a un testo completo (informativa di secondo livello) contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso). (cfr. artt. 5, 12, 13, 14 del Regolamento; parr. 117-119 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati personali, adottate il 29 gennaio 2020)

All’informativa minima segue, quindi, l’informativa “completa” resa ai sensi dell’art. 13 del GDPR

La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c) del Regolamento).

Un altro importante adempimento che il datore di lavoro deve porre in essere è l’adozione di misure tecniche idonee a garantire la sicurezza del sistema e dei dati personali. A tale proposito, al punto 132 EDPB – Guidelines 3/2019 viene chiarito che:

  1. Sicurezza del sistema significa sicurezza fisica di tutti i componenti del sistema, nonché integrità del sistema, vale a dire protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi;
  2. Sicurezza dei dati significa riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), integrità (prevenzione della perdita o della manipolazione dei dati) e disponibilità (i dati possono essere consultati ogniqualvolta sia necessario); in buona sostanza i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini. Devono, altresì, essere adottate specifiche misure tecniche ed organizzative che consentano al titolare del trattamento di verificare l’attività svolta da parte di chi accede alle immagini o controlla i sistemi di ripresa. È fatta salva la necessità di avere differenti livelli di visibilità e trattamento delle immagini (rilevazione, anche mediante videocitofono).
  3. In applicazione del principio di trasparenza (art.5, paragrafo 1, lett. a GDPR) i lavoratori devono essere sempre informati in modo dettagliato sui luoghi sorvegliati. In relazione alla quantità di informazioni da fornire, il datore di lavoro può anche predisporre una informativa multi-strato con approccio scalare.
  4. Sia i soggetti che rilevano (visualizzano le immagini in tempo reale), sia i soggetti che registrano devono possedere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza.
  5. Laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione.
  6. Per quanto riguarda il periodo di conservazione delle immagini (a prescindere dalla durata scelta) devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto (utilizzare la sovrascrittura).
  7. Nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele: in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini.
  8.  In base all’art. 24 del Regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, spetta in primo luogo proprio al titolare del trattamento mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Dette misure devono inoltre essere riesaminate e aggiornate, qualora necessario.

Così, le informazioni più importanti (sopra richiamate) devono essere indicate sul segnale di avvertimento (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi, es. posizionando sul segnale di avvertimento un QR CODE che rinvia ad un sito web od anche un numero telefonico che consente di ascoltare un messaggio pre-registrato[1]

Adempimenti a carico del titolare del trattamento e propedeutici all’installazione di un impianto di video sorveglianza e/o controllo access.

  1. Accertare la presenza di un Regolamento aziendale per la video sorveglianza.
    Se di data antecedente alla entrata in vigore del GDPR, occorre adottare una versione aggiornata e redigere un Regolamento aziendale per la video sorveglianza in linea con le indicazioni contenute nel Regolamento (UE) 2016/679 e nelle EDPB – Guidelines 3/2019, Guidelines WP260, Opinion WP89;
  2. Accertare che la cartellonistica in uso sia conforme alla vigente normativa di settore e preveda la doppia modulazione (informativa breve ed estesa).
    In caso contrario provvedere a rieditare la cartellonistica, alla luce di quanto stabilito dagli artt. 13 e 14 del GDPR;  assicurando, quindi, che sia fornita idonea informativa agli interessati (sia la informativa minima che quella completa), anche mediante l’avvenuta installazione di cartellonistica nelle aree sottoposte a videosorveglianza (artt. 13 e 14 del Regolamento); cd. assolvimento degli obblighi informativi nei confronti degli interessati;
  3. Accertare che il sistema di video sorveglianza in uso sia conforme ai principi fondanti il Regolamento (UE) 2016/679, a partire dal principio di Privacy by design e di Privacy by default.
    In caso contrario provvedere alla sostituzione o modifica del sistema, acquisendo anche una dichiarazione di conformità da parte del fornitore.
  4. Accertare la presenza dell’accordo sulla protezione dei dati ai sensi dell’art. 28 del REG UE 2016/679 nei confronti delle ditte preposte allo svolgimento del servizio, che definisca chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del Regolamento e artt. 28 e 29 del Codice).
    Se l’accordo è precedente alla entrata in vigore del GDPR, va aggiornato o, preferibilmente, riscritto.
  5. Accertare che tutte le installazioni delle telecamere siano state preventivamente sottoposte accordi con le rappresentanze sindacali o da un’autorizzazione dell’Ispettorato nazionale del lavoro.
    In caso contrario si dovrà procedere ad un nuovo incontro con le RSA o con l’INL per sanare tale non conformità.
  6. Accertare che sia stata svolta l’analisi dei rischi (Privacy Impact Assessment) e la valutazione di impatto sulla protezione dei dati (Data Protection Impact Assessment), che è sempre richiesta quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, a causa, ad esempio, del monitoraggio sistematico dei loro comportamenti, del gran numero dei soggetti interessati o per l’uso innovativo o l’applicazione di soluzioni tecnologiche od organizzative (cfr. Linee guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017).
    In caso contrario necessita provvedere nell’immediato.

Di seguito si individuano gli interventi riparatori a carico del titolare del trattamento:

in riferimento al punto 1, redigere un Regolamento aziendale per la video sorveglianza in linea con le indicazioni contenute nel Regolamento (UE) 2016/679 e nelle EDPB – Guidelines 3/2019, Guidelines WP260, Opinion WP89;

in riferimento al punto 2, assicurare che sia fornita idonea informativa agli interessati (sia la informativa minima che quella completa), anche mediante l’avvenuta installazione di cartellonistica nelle aree sottoposte a videosorveglianza (artt. 13 e 14 del Regolamento); cd. assolvimento degli obblighi informativi nei confronti degli interessati;

in riferimento al punto 3, visto che il servizio in parola viene erogato in regime di prorogatio e, per di più, con riferimenti normativi superati, predisporre apposita gara per la assegnazione del servizio di videosorveglianza attenendosi alle prescrizioni normative e regolamentari riportate al precedente punto 1;

in riferimento al punto 4,  redigere l’accordo sulla protezione dei dati, ai sensi dell’art. 28 del REG UE 2016/679, nei confronti delle ditte preposte allo svolgimento del servizio;

in riferimento al punto 5, va convocato il tavolo di concertazione con le RSU aziendali perché siano approvate – seppure a sanatoria – le installazioni presenti sino all’attualità;

in riferimento al punto 6, eseguire la valutazione di impatto sulla protezione dei dati (art. 35 del Regolamento).

[1] cfr. Punto 111 EDPB – Guidelines 3/2019 – Punto 35, Guidelines WP260 e punto 22, Opinion WP89. Modello semplificato cartello videosorveglianza  (EDPB – Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video – adottate il 29 gennaio 2020) link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9496244

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

La compagnia assicuratrice
obblighi-titolare-gdpr

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Il registro dei rischi
Il registro dei rischi.
1 Giugno 2024
attacco ransomware
Misure di sicurezza inadeguate: il Garante sanziona una Asl. La struttura sanitaria aveva subito un attacco ransomware.
13 Maggio 2024
trattamento dei dati personali
La gestione dei rapporti tra titolare, responsabile e sub responsabile del trattamento alla luce del Parere 22/2024 reso dall’EDPB
15 Luglio 2024

Start typing and press Enter to search