Impianti di videosorveglianza e geolocalizzazione: “vecchi” e “nuovi” adempimenti necessari alla luce della normativa giuslavoristica ed in materia di protezione dei dati personali

L’utilizzo degli impianti di videosorveglianza è molto diffuso nelle aziende (lo utilizzano, ad esempio, molti albergatori e/o esercenti attività commerciali e/o produttive). Meno frequente risulta probabilmente l’uso di impianti di geolocalizzazione (diffuso perlopiù nell’abito di aziende che operano nel settore dei trasporti). Dal punto di vista giuslavoristico (ossia del diritto del lavoro) l’art. 4 dello Statuto dei Lavoratori (l. 20 maggio 1970, n. 300) prescrive che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la (mera) possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali ... In mancanza di accordo ... possono essere installati previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro ... Le informazioni raccolte ... sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196” (Codice Privacy).

L’installazione di un impianto di videosorveglianza (o di geolocalizzazione) può avvenire quindi solo in presenza di uno specifico accordo con le organizzazioni sindacali o, in mancanza di esso, della autorizzazione rilasciata da parte della Direzione del Lavoro territorialmente competente (per la provincia di Trento, la PAT – Servizio Lavoro). L’impianto potrà essere installato ed utilizzato esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.

In caso di controllo, qualora venisse rilevata l’installazione di impianti audiovisivi in assenza 21 Novembre/Dicembre 2018 di un preventivo accordo con le organizzazioni sindacali o dell’autorizzazione, deve impartire una prescrizione all’impresa inadempiente. Nel verbale ispettivo dovrà essere fissato un termine per la rimozione degli impianti illegittimamente installati.

Un’illegittima installazione dell’impianto comporta comunque conseguenze non solo amministrative, ma anche responsabilità penali. E’ opportuno segnalare che si ritiene che la norma venga violata anche per il solo fatto di aver installato l’impianto senza averlo successivamente attivato. Infatti, secondo il Ministero del lavoro, “La condotta criminosa è rappresentata dalla mera installazione non autorizzata dell’impianto, a prescindere dal suo effettivo utilizzo” (addirittura, il Ministero evidenzia la possibilità di sanzionare l’azienda anche qualora vengano montate, senza le prescritte regole, telecamere “finte” montate a meri scopi dissuasivi !). Ciò è confermato, oltre che dall’Autorità Garante della privacy (che ha più volte ribadito la illegittimità dell’installazione di un impianto di videosorveglianza senza l’accordo o l’autorizzazione anzidetti), anche dalla giurisprudenza penale in materia secondo cui: “l’idoneità degli impianti a ledere il bene giuridico protetto, cioè il diritto alla riservatezza dei lavoratori, necessaria affinché il reato sussista ... è sufficiente anche se l’impianto non è messo in funzione, poiché, configurandosi come un reato di pericolo, la norma sanziona a priori l’installazione, prescindendo dal suo utilizzo o meno” (cfr. Cass. Penale n. 4331/2014).

Per limitare l’applicazione della sanzione penale, l’azienda potrà, nel frattempo, siglare l’accordo o richiedere l’autorizzazione. Da segnalare inoltre che, come previsto dalla norma sopra citata, le informazioni (dati) eventualmente raccolte potranno in ogni caso essere utilizzate nei confronti dei lavoratori (si pensi all’ipotesi in cui questi vengano “sorpresi” a commettere un reato sul posto di lavoro) esclusivamente nel caso in cui sia stata loro resa idonea informativa in relazione all’installazione ed all’utilizzo dell’impianto.

Con l’entrata in vigore (nel maggio del 2016) e la piena applicazione del Regolamento UE 2016/679 (c.d. GDPR General Data Protection Regulation), dal 25 maggio 2018, come noto, il Titolare del trattamento (ossia l’imprenditore che tratta dati personali - ad es. dei dipendenti, dei clienti e dei fornitori - determinando mezzi e finalità del trattamento stesso) è responsabile dell’applicazione e del rispetto dei principi in tema di protezione dei dati personali e dovrà anche dimostrare che il trattamento dei dati personali è effettuato nel rispetto della normativa. L’imprenditore dovrà cioè valutare, determinare e mettere in atto non già misure minime di sicurezza predeterminate (dalla legge, come in precedenza previsto dal Codice privacy - D.lgs. 196/2003 -), ma misure che siano adeguate al caso concreto, ossia alla specifica realtà aziendale (c.d. responsabilizzazione o “accountability”).

Ciò vale anche nel caso della videosorveglianza, che costituisce una particolare forma di trattamento di dati personali. La raccolta, la registrazione, la conservazione e, in generale, l’utilizzo di immagini attraverso un sistema di videosorveglianza configura un trattamento di dati personali che deve essere “valutato” sotto il profilo del rispetto della disciplina e dei principi in tema di protezione dei dati personali. L’imprenditore (titolare del trattamento) dovrà, prima di installare un sistema di videosorveglianza, valutarne il rispetto alla normativa, non solo con riferimento alle prescrizioni dello Statuto dei Lavoratori, ma anche a quelle dettate dalla citata normativa in materia di protezione dei dati personali, nonché ai provvedimenti dell’Autorità Garante. Con l’introduzione dell’istituto della Valutazione di Impatto (prevista dall’art. 35 del GDPR), il Titolare del trattamento dovrà condurre una specifica valutazione (Valutazione di Impatto o DPIA - Data Protection Impact Assessment -) quando il trattamento comporti “rischi elevati per i diritti e le libertà delle persone” (art. 35, 21 Novembre/Dicembre 2018 paragrafo 1, del Regolamento europeo citato). Tra le ipotesi contemplate dalla normativa, che fanno “scattare” l’obbligo della DPIA, rientrano i trattamenti di dati sensibili o giudiziari, nonché i casi di trattamenti automatizzati. In questi casi dovrà essere effettuata una valutazione d’impatto privacy i cui contenuti sono indicati nell’articolo 35 del Regolamento e recentemente specificati dal gruppo dei garanti europei con le Linee Guida sulla Valutazione di Impatto (DPIA) adottate il 4 Aprile 2017, con modifiche adottate il 4 ottobre 2017).

Allo scopo di fornire indicazioni più concrete rispetto ai trattamenti che richiedono una DPIA a causa del rischio elevato e tenendo conto degli elementi specifici contenuti nell’articoli 35 del Regolamento (paragrafo 1 e 3, lettere a e c), nonché degli elenchi di cui è prevista l’adozione a livello nazionale dal medesimo articolo e dei considerando 71, 75 e 91 del Regolamento stesso, le Linee Guida hanno indicato nove criteri per valutare quando sia necessario o meno condurre una DPIA.

Conformemente a quanto previsto dalle Linee Guida l’Autorità Garante italiana ha pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018, il provvedimento denominato “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”. Il provvedimento tiene conto delle “Linee guida” sopra citate, che hanno individuato in particolare i seguenti criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”: “1) valutazione o assegnazione di un punteggio ... e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale ... l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”; ... 3) monitoraggio sistematico degli interessati; ... 7) dati relativi a interessati vulnerabili; 8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative ...”). Il ricorrere di due o più dei predetti criteri è indice di un trattamento che presenta un “rischio elevato” per i diritti e le libertà degli interessati e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati.

Il punto 5 dell’allegato al provvedimento del Garante sopra citato comprende, tra i trattamenti per i quali è necessaria la valutazione di impatto (DPIA) quelli “effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8)”.

Conseguentemente, risulta acclarato che anche la “semplice” installazione di un impianto di videosorveglianza (come comunemente usato da molti imprenditori ai fini della tutela del patrimonio aziendale o per altre lecite finalità) comporti l’obbligo per l’imprenditore, non solo di siglare un preventivo accordo sindacale o ottenere l’autorizzazione e di dare una corretta informativa a tutti i potenziali interessati (con apposito cartello) ed in particolare ai dipendenti (rendendo tutte le necessarie informazioni dettagliate su finalità del trattamento, conservazione dei dati ecc. di cui all’art. 13 del GDPR), ma anche quello di procedere alla valutazione di impatto ed alla redazione del relativo documento che dimostri il rispetto dell’obbligo stesso.