Following the adoption of the “Guidelines 3/2019 on the processing of personal data by video devices” by the European Data Protection Board, the Italian Data Protection Authority published on its website some clarifications.
The Italian Data Protection Authority has therefore offered useful information for public and private companies, as well as guidance on the processing of data collected in the workplace through video surveillance systems.
IL FATTO
Il Provvedimento del Garante di riferimento in materia di videosorveglianza risale all’8 aprile 2010 e fornisce le indicazioni essenziali sul trattamento dei dati, anche rilevati sul posto di lavoro, effettuato mediante l’utilizzo di impianti di videosorveglianza. I chiarimenti del Garante e la pubblicazione nel proprio sito web delle FAQ in materia di videosorveglianza e protezione dei dati personali, arrivano in seguito alla pubblicazione, a gennaio del 2020, delle Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video da parte del Comitato Europeo per la Protezione dei Dati; tali Linee guida sono volte, in particolare, a fornire indicazioni sull’applicazione del Regolamento UE 679/2016 in relazione al trattamento dei dati attraverso sistemi di videosorveglianza.
Nelle FAQ il Garante chiarisce innanzitutto che l’installazione dei sistemi di videosorveglianza nell’ambiente di lavoro deve avvenire nel rispetto delle vigenti norme dell’ordinamento civile e, in particolare, in materia di controllo a distanza dei lavoratori. Come noto infatti, al datore di lavoro è consentita l’installazione di sistemi di videosorveglianza nelle sedi di lavoro esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Per il lecito utilizzo di tali strumenti è essenziale il rispetto della normativa giuslavoristica, e in particolare dell’art. 4 della L. 300/1970 che vieta l’uso di impianti audiovisivi e altre apparecchiature per finalità di controllo a distanza dell’attività dei lavori.
Alla luce della normativa in materia di tutela dei dati personali, il titolare del trattamento dovrà inoltre rispettare il principio di minimizzazione dei dati (art. 5 del Regolamento UE 679/2016) nella scelta della dislocazione delle telecamere e della tipologia di impianto da installare. In base a tale principio è infatti necessario che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Il titolare del trattamento dovrà pertanto valutare le reali esigenze che richiedono il ricorso alla installazione dell’impianto di videosorveglianza al fine di trattare dati non eccedenti rispetto alle finalità perseguite.
Per l’installazione degli impianti di videosorveglianza non è prevista alcuna autorizzazione del Garante, poiché oggi, in base al principio di responsabilizzazione (art. 5 del Regolamento UE 679/2016), è compito del titolare valutare se il trattamento che intende svolgere sia lecito e proporzionato, tenendo conto del contesto e delle finalità del trattamento; alla luce di tali valutazioni, il titolare del trattamento dovrà altresì stabilire l’eventuale necessità di effettuare una valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento UE 679/2016. L’eventuale valutazione d’impatto (c.d. DPIA, Data Protection Impact Assessment) deve essere svolta prima di iniziare un trattamento che preveda l’uso di nuove tecnologie e, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per le persone fisiche. Alcuni esempi applicati alla videosorveglianza in cui è di regola opportuno effettuare una valutazione d’impatto preventivo, sono le ipotesi di c.d. sistemi integrati, che collegano telecamere tra soggetti diversi, e di c.d. sistemi intelligenti, capaci di analizzare le immagini ed elaborarle per rilevare ad esempio comportamenti anomali e segnalarli. Inoltre, la valutazione d’impatto è sempre necessaria in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
In merito si ricorda che, per agevolare l’individuazione dei trattamenti per cui è necessario effettuare un Data Protection Impact Assessment, il Garante per la protezione dei dati personali ha individuato un «Elenco delle tipologie di trattamenti, soggetti a meccanismi di coerenza da sottoporre a valutazione d’impatto». In particolare, la valutazione d’impatto va svolta nell’ipotesi di «(5) Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti» e «(6) Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)». Nel novero dei “soggetti vulnerabili” rientrano anche i dipendenti poiché vi è uno squilibrio nella relazione tra l’Interessato (dipendente) e il titolare del trattamento (datore di lavoro) (WP29 «Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato ai fini del Regolamento UE 2016/679»).
Il Garante ha ricordato nelle FAQ che le persone che transitano nelle aree videosorvegliate devono esser debitamente informate della presenza delle telecamere. L’informativa può essere fornita mediante un modello semplificato con indicazione, in particolare, del titolare del trattamento e delle finalità, che rinvii al testo dell’informativa completa (che può essere, ad esempio, pubblicata nel sito web o resa disponibile in una bacheca all’interno della struttura sottoposta a videosorveglianza). Il Garante ribadisce infine l’importanza di fornire tale informativa prima che il soggetto acceda alle aree videosorvegliate e in modo tale da consentire all’interessato di capire chiaramente quali aree siano coperte dalle telecamere.
E’ infine ribadita la necessità di rispettare il principio di limitazione della conservazione. Nel rispetto di tale principio, il titolare dovrà individuare tempi adeguati di conservazione delle immagini, tenendo conto del contesto e delle finalità del trattamento. Il Garante precisa che, quanto più prolungato sarà il periodo di conservazione individuato, tanto più il titolare dovrà saper argomentare la conservazione, specie nelle ipotesi in cui decida di conservare le immagini per un periodo superiore a 72 ore (in merito giova ricordare che il precedente provvedimento del 2010 prevedeva come termine consentito di conservazione delle immagini le 24 ore, salve esigenze di ulteriore conservazione dovute a festività/chiusure settimanali).
Infine, i dati dovrebbero essere cancellati preferibilmente tramite meccanismi automatici. La conservazione prolungata delle immagini è, in ogni caso, sempre consentita nelle ipotesi in cui vi sia una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad una attività investigativa in corso.
PERCHÉ È IMPORTANTE:
L’intervento del Garante fornisce spunti pratici e chiari ai titolari del trattamento, nel mutato contesto normativo che ha seguito l’entrata in vigore del Regolamento UE 679/2016. Richiamando i principi applicabili al trattamento dei dati personali, il Garante ricorda ai titolari del trattamento l’importanza di adottare scelte consapevoli e coerenti con la normativa vigente. In particolare, in applicazione del principio di accountability (art. 5 del Regolamento UE 679/216), il titolare dovrà sempre valutare se, alla luce delle caratteristiche dell’impianto di videosorveglianza installato e in ragione delle indicazioni del Garante in merito al trattamento di dati relativi ai dipendenti mediante strumenti tecnologici, vi sia la necessità di procedere ad un Data Protection Impact Assessment al fine di tutelare gli interessati, garantire la protezione dei dati personali e non incorrere in sanzioni.