La gestione delle telecamere in azienda

Ti ho già parlato della necessità di richiedere specifica autorizzazione per l’installazione e l’utilizzo dei sistemi di videosorveglianza nel caso in cui sia presente in azienda anche un solo lavoratore e la loro presenza possa determinare, seppur solo indirettamente, il controllo a distanza dell’attività lavorativa. Ma la gestione delle telecamere in azienda deve rispettare anche altri requisiti che il Garante della privacy ha dettagliato nel Provvedimento dell’8 aprile 2010. Il provvedimento, nonostante sia antecedente all’entrata in vigore del Regolamento europeo 2016/679 (GDPR), continua a mantenere la sua validità.

Vediamo insieme quali sono gli elementi da verificare per una corretta gestione delle telecamere in azienda.

Luoghi di installazione

Dovendo rispettare il divieto di controllo a distanza dell’attività lavorativa, è vietata l’installazione di telecamere in azienda che abbiano unicamente tale finalità. In altre parole, nei luoghi come le aree ristoro o le mense e i punti di accesso con badge, ove la presenza delle apparecchiature di videosorveglianza avrebbe come unica ragion d’essere il controllo dei lavoratori (ex. la verifica del rispetto dell’orario di lavoro), è vietata l’installazione delle apparecchiature. L’unica eccezione è quella in cui si possa dimostrare che la localizzazione in tale aree sia essenziale al fine di garantire la tutela del patrimonio aziendale o la sicurezza del personale. In quest’ultimo caso è evidente la necessità di richiedere autorizzazione del sistema di videosorveglianza ai soggetti competenti, tenendo conto anche degli altri requisiti riportati di seguito.

Dovendo rispettare il divieto di controllo a distanza dell'attività lavorativa, è vietata l'installazione di telecamere in azienda che abbiano unicamente tale finalità.  In altre parole ci sono luoghi aziendali in cui l'installazione si può considerare vietata.

Caratteristiche tecniche

L’adeguatezza di un sistema di videosorveglianza rispetto alla gestione dei dati personali parte dalla scelta delle componenti fisiche e dei programmi informatici che devono presentare caratteristiche e configurazione tali da ridurre al minimo la raccolta e l’utilizzo di dati personali. Per esempio la scelta di un sistema che consenta di effettuare degli zoom oppure di modificare l’angolo di ripresa deve essere valutata e motivata e non deve essere ritenuta una scelta scontata e incontestabile. Allo stesso modo si dovrebbe valutare il posizionamento fisico dei dispositivi di registrazione e/o di accesso ai dati, che è preferibile si trovino fuori dalla portata di tutti.

Inoltre, i dati raccolti devono essere protetti per ridurre al minimo i rischi di distruzione, di perdita anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta (come per esempio la trasmissione delle immagini). Questo significa:

  1. che il titolare del trattamento deve essere in grado di verificare chi può accedere alle immagini e controllarne gli accessi;
  2. che i soggetti incaricati del trattamento o i responsabili del trattamento devono essere in possesso di credenziali di autenticazione che permettano di effettuare esclusivamente le operazioni di competenza;
  3. che nel caso di sistemi configurati per la registrazione e conservazione delle immagini rilevate, deve essere esclusa la possibilità dei soggetti abilitati di visionare la ripresa e le immagini registrate e di effettuare operazioni di cancellazione o duplicazione;
  4. che il sistema deve essere in grado di cancellare le registrazioni, in forma automatica o per mezzo di precise misure organizzative, allo scadere del termine previsto.

Tempi di conservazione

La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione. Sono ammesse deroghe in relazione a:

  • festività;
  • chiusura di uffici;
  • necessità di rispondere a una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria.

In realtà il Garante ha previsto che si possano prevedere proroghe a tale termine sino al limite della settimana per casi specifici e motivati da ragioni tecniche o di sicurezza (ex. i mezzi di trasporto o le banche). Qualora si ritenesse di dover procedere a un ulteriore allungamento dei tempi di conservazione oltre la settimana, si deve infine sottoporre specifica richiesta di verifica preliminare al Garante stesso. Per quanto tale possibilità sia prevista, i casi in cui è stata a oggi presentata richiesta di verifica preliminare sono tutti riconducibili a realtà di grandi dimensioni e caratterizzate da un’utenza di larga scala (ex. compagnie di navigazione, brand di lusso e gestori autostradali).

Addetti e responsabili al trattamento

Il titolare o il responsabile devono nominare per iscritto tutte le persone fisiche incaricate del trattamento in quanto

  • autorizzate ad accedere ai locali dove sono situate le postazioni di controllo;
  • autorizzate a utilizzare gli impianti;
  • autorizzate, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini.

In relazione agli addetti al trattamento dei dati, il Garante ha previsto che:

  1. si debba trattare di un numero limitato di soggetti, soprattutto in caso di collaboratori esterni;
  2. si debbano individuare e definire diversi livelli di accesso in funzione delle specifiche mansioni attribuite ai singoli operatori, distinguendo per esempio chi può unicamente visionare le immagini da chi può effettuare ulteriori operazioni.

Informativa

Gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata. L'informativa è rappresentata da cartello specifico ma non solo.

Gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata, quindi il cartello recante l’indicazione di “area videosorvegliata”:

  • deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
  • deve avere un formato e un posizionamento tali da essere chiaramente visibile in ogni condizione di illuminazione, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
  • può inglobare un simbolo che consenta di informare se le immagini sono solo visionate o anche registrate.

Il Garante ritiene auspicabile che l’informativa semplificata rappresentata dal cartello sia seguita da un testo completo di tutti gli elementi previsti dall’art. 12 del GDPR, disponibile agevolmente e senza oneri per gli interessati. In ogni caso il titolare, eventualmente per il tramite di un incaricato, è tenuto a fornire anche solo oralmente un’informativa adeguata.

Alcune risorse di approfondimento

Oltre al link diretto al Provvedimento del Garante dell’8 aprile 2010, riporto di seguito il link alle recenti linee guida del Comitato europeo per la protezione dei dati. Si tratta di un documento che affronta la questione della videosorveglianza in termini generali, quindi non solo in riferimento all’installazione di telecamere in azienda. Può essere utile a chi fosse interessato ad approfondire gli aspetti interpretativi sull’argomento della videosorveglianza nel suo complesso. Purtroppo sono disponibili solo in inglese…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *