[GDPR E CONTROLLI AZIENDALI] Videosorveglianza: quali misure di sicurezza deve adottare l’azienda?

La videosorveglianza in ambito aziendale solleva questioni complesse che intrecciano diritti giuslavoristici e la protezione dei dati personali. Questo articolo si concentra in particolare sulla delicata gestione dei dati personali raccolti tramite questi sistemi, un’area che necessita di una riflessione approfondita data la quantità e la sensibilità delle informazioni acquisite. La raccolta non si limita a immagini o suoni, ma estende il potenziale di raccolta a dati più sensibili che possono rivelare dettagli personali come opinioni politiche o preferenze personali, a seconda del contesto di registrazione.  

La videosorveglianza aziendale è un tema delicato sia sotto un profilo giuslavoristico che di trattamento dei dati personali.

In questo articolo vogliamo porre maggior attenzione all’aspetto della tutela del dato personale poiché la videosorveglianza comporta la raccolta e conservazione di un’elevata quantità di dati.

Ci preme sottolineare che questi non sono solo dati personali (quali possono essere le immagini della persona ripresa e la voce in caso di registrazione audio-video), ma anche altre categorie particolari di dati che, dal contesto delle immagini riprese e dalla quantità di informazioni acquisite, permettono la raccolta di ulteriori informazioni sull’individuo ripreso.

Per esempio, se i sistemi di videosorveglianza (detti anche VSS) riprendono un dipendente impegnato in una manifestazione sindacale se ne potranno dedurre le opinioni politiche; se le telecamere riprendono la zona mensa, sarà possibile dedurre i gusti alimentari e quindi realizzare una prima profilazione, e così via.

È necessario, perciò, che l’azienda valuti attentamente l’opportunità di adottare sistemi di videosorveglianza, sempre caso per caso, bilanciando gli interessi aziendali con quelli di riservatezza dell’interessato, nel rispetto del principio di minimizzazione dei dati, da una parte, e la funzionalità della videosorveglianza (che tipicamente si individua nella tutela del patrimonio aziendale o della sicurezza dei dipendenti), dall’altra.

La minimizzazione dei dati implica l’adeguatezza, la pertinenza e la limitazione del trattamento dei dati a quelli effettivamente necessari per il perseguimento delle finalità.

Qualora sia necessario estendere il trattamento a particolari categorie di dati, l’azienda dovrà individuare precise eccezioni e basi giuridiche che ne legittimino il trattamento.

Quali sono gli adempimenti necessari prima dell’installazione dei VSS?

Affinché l’installazione dei sistemi di videosorveglianza sia legittima, l’azienda dovrà alternativamente:

  • raggiungere un accordo con le RSA (Rappresentanze Sindacali Aziendali) o RSU (Rappresentanze Sindacali Unitarie);
  • richiedere l’autorizzazione all’installazione alla sede territorialmente competente dell’Ispettorato Nazionale del Lavoro o, qualora vi siano più sedi dislocate nel territorio, alla sede centrale dell’Ispettorato. Pertanto, il datore di lavoro dovrà compilare il modello di istanza di autorizzazione all’installazione di impianti audiovisivi, unitamente ai relativi allegati descrittivi il progetto d’installazione con i relativi coni visivi.

Misure di sicurezza organizzative e tecniche da adottare: come tutelare la riservatezza dell’interessato

Prima di attivare i sistemi di videosorveglianza, l’azienda, oltre ad ottenere il necessario parere favorevole della DTL territorialmente competente, deve adottare idonee misure tecniche ed organizzative a tutela del corretto flusso di acquisizione del dato.

Sotto un profilo privacy il focus di ciascun titolare del trattamento, quindi, deve essere quello di proteggere i dati in ogni fase, dalla raccolta alla conservazione, passando dalla trasmissione al trattamento del dato stesso.

È quindi necessario iniziare dalla predisposizione di una struttura interna che sia in grado di garantire l’applicazione di tutte le misure di sicurezza individuate; in particolare, sarà opportuno:

  • definire se il trattamento è effettuato da un titolare o da più contitolari;
  • designare i Responsabili al trattamento ai sensi dell’art. 28 GDPR (come per esempio: l’installatore del VSS o il manutentore oppure la società di vigilanza);
  • individuare ed istruire le persone autorizzate al trattamento.

Tra le misure organizzative consigliate rientrano:

  1. la DPIA, una preventiva valutazione d’impatto sulla protezione dei dati per analizzare i possibili rischi per la riservatezza delle informazioni degli interessati. Sarà quindi necessario domandarsi:
    • il trattamento consiste nella sorveglianza sistematica di una zona accessibile al pubblico su larga scala?
    • vengono utilizzati sistemi integrati che permettono il collegamento delle telecamere tra soggetti diversi?
    • si ricorre a sistemi intelligenti di videosorveglianza, in grado di analizzare ed elaborare le immagini (per esempio, rilevando automaticamente comportamenti anomali e segnalarli o registrarli)?
  1. la scelta consapevole del fornitore, il quale deve fornire adeguate garanzie di sicurezza soprattutto quando è prevista la possibilità del loro collegamento da remoto attraverso l’utilizzo di sistemi integrati;
  2. l’individuazione dei soggetti autorizzati al trattamento, i quali dovranno occuparsi del funzionamento e della gestione del VSS e seguire percorsi di formazione e aggiornamento specifici;
  3. l’individuazione dei casi in cui la videosorveglianza è ammessa o vietata;
  4. la consegna di un’adeguata informativa agli interessati, anche nella forma della cartellonistica nelle zone interessate dalle riprese;
  5. la definizione delle procedure specifiche in caso di:
    • data breach;
    • istanze di accesso degli interessati ai contenuti registrati;
    • approvvigionamento, installazione e manutenzione dei VSS;
    • manutenzione e recupero dati.

Tra le misure tecniche, invece, rientrano:

  1. la sicurezza fisica delle apparecchiature VSS, tutelandole da furti, atti vandalici, eventi naturali e danni accidentali;
  2. offuscamento delle zone non rilevanti o di pubblico passaggio, limitazione del movimento, zoom e analisi delle telecamere;
  3. la sicurezza del sistema informatico, ossia la protezione da interferenze (volontarie e non) del funzionamento dei VSS, come per esempio:
  4. trasmissione dei filmati attraverso VPN,
  5. cifratura dei dati,
  6. uso di sistemi di rilevamento di attacchi informatici e di sistemi di individuazione di guasti,
  7. il posizionamento dei monitor in modo tale che solo chi è autorizzato possa visionare il contenuto;
  8. la registrazione e la revisione periodica delle azioni eseguite dagli utenti;
  9. l’esecuzione del monitoraggio e l’individuazione dei guasti agli accessi in maniera continuativa con previsione di risoluzione a breve termine.

Obbligo di trasparenza e di informazione: l’informativa privacy su 2 livelli

L’azienda deve adoperarsi affinché gli interessati siano pienamente consapevoli del fatto che sia in funzione un VSS.

Per adempiere a tale obbligo, il titolare del trattamento può adottare la c.d. informativa su 2 livelli, ossia una ripartizione delle informazioni in approccio scalare, così suddivisa:

  1. informativa di 1° livello (c.d. segnaletica di avvertimento) che, anche attraverso la modalità grafica, fornisce un quadro d’insieme delle principali informazioni che devono essere messe a conoscenza dell’interessato, quali:
    • l’identità ed i contatti del titolare del trattamento, cioè chi effettua e conserva le registrazioni;
    • i contatti del DPO;
    • la finalità del trattamento, consistente in esigenze organizzative, produttive, di sicurezza e a tutela del patrimonio aziendale;
    • a chi rivolgersi per esercitare i propri diritti;
    • l’eventuale trasmissione di dati a terzi, soprattutto se al di fuori dell’UE;
    • il periodo di conservazione dei dati;
    • dove reperire l’informativa di 2° livello, stampando sul supporto un QR Code o un link o un numero telefonico a cui rivolgersi. La segnaletica di avvertimento, inoltre, deve essere posizionata in modo tale da permettere all’interessato di riconoscere le zone soggette a VSS, non dovendo necessariamente indicare con precisione il luogo di ubicazione della telecamera.
  1. Informativa di 2° livello, cioè l’informativa completa contenente tutti gli elementi di cui all’art. 13 del Reg. UE n. 679/2016, nella quale, oltre alle informazioni della segnaletica di avvertimento, dovranno essere indicati anche:
    • la base giuridica del trattamento, consistente nel legittimo interesse dell’azienda.
    • gli eventuali destinatari dei dati personali;
    • in caso di conservazione delle immagini per più di 48 h, una dettagliata analisi con riguardo alle specifiche finalità;
    • i diritti dell’interessato.

È consigliabile fornire l’informativa anche in formato cartaceo, rendendola disponibile o al desk del front office aziendale o tramite affissione in bacheca, così da garantire a ciascun interessato di poterne venire a conoscenza.

In ogni caso, l’interessato deve poter accedere all’informativa completa prima di entrare nell’area videosorvegliata.

Come determinare il periodo di conservazione delle videoriprese?

Nel rispetto del principio di accountability, l’azienda che decide di installare i VSS dovrà individuare il termine di conservazione delle videoriprese, corrispondente al tempo necessario per il perseguimento delle finalità individuate.

Solitamente un tempo congruo può essere individuato tra le 24 e le 72 ore, al seguito delle quali i dati dovranno essere cancellati, preferibilmente tramite meccanismi automatici, come la sovrascrittura.

Quindi, la conservazione deve essere limitata a poche ore, fatte salve speciali esigenze di conservazione (come nel caso di festività, chiusure aziendali o nel caso in cui si debba riscontrare una specifica richiesta delle Autorità).

È importante identificare con attenzione il periodo di conservazione perché, quanto più prolungato sarà (soprattutto nel caso in cui si eccedano le 72 ore), più approfondita  dovrà essere l’analisi relativa alla necessità del trattamento in relazione alle finalità perseguite.

PER QUANDO HAI TEMPO E VOGLIA DI APPROFONDIRE