GDPR e Videosorveglianza L'impatto del nuovo Regolamento Europeo per la Protezione dei Dati (2016/679 GDPR) sugli aspetti legati all'installazione di Sistemi di Videosorveglianza in Italia

GDPR e Videosorveglianza

In questo articolo ci occuperemo di approfondire gli aspetti legati all'installazione di telecamere e altri dispositivi di videosorveglianza da parte di un'azienda e all'impatto che l'entrata in vigore del nuovo Regolamento Europeo per la Protezione dei Dati (GDPR, 2016/679) ha sugli oneri, obblighi e adempimenti normativi a carico dei Titolare.

Prima di addentrarci nelle specificità del nuovo Regolamento è opportuno riassumere lo status quo, ovvero la sommatoria delle disposizioni normative previgenti in materia di videosorveglianza sul posto di lavoro: si tratta di un argomento da sempre di grande interesse per il diritto del lavoro, per il Garante della Privacy e per le rappresentanze sindacali, per via delle inevitabili implicazioni su temi delicati come la sicurezza, la riservatezza e i diritti della persona.

Statuto dei lavoratori (1970) e Codice Privacy (2003)

Da un punto di vista strettamente normativo, l'installazione di telecamere e la videosorveglianza da parte di un'azienda, qualora interessi i lavoratori presenti, deve essere attuata nel rispetto delle norme dello Statuto dei lavoratori (Legge 300/1970) e del Codice in materia di protezione dei dati personali, c.d. Codice Privacy (D.Lgs n.196/2003), nonché del successivo Provvedimento generale sulla Videosorveglianza emanato dal Garante nel 2004. I dispositivi non devono essere utilizzati per effettuare un controllo a distanza dell'attività dei lavoratori, ma possono essere installati solo (ex Art 4. Legge 300/1970) a fini organizzativi e produttivi, a tutela della sicurezza del lavoro o a tutela del patrimonio aziendale. Inoltre, i dispositivi possono essere installati soltanto a seguito di un accordo collettivo stipulato dalle rappresentanze sindacali oppure, se non presenti o in mancanza di accordo, previa autorizzazione INL. 

L'impianto normativo di queste norme è oggi ancora in vigore (con l'eccezione del provvedimento del 2004, come avremo modo di vedere tra poco) e continueranno dunque ad essere applicate anche a seguito dell'introduzione del GDPR, che peraltro - pur non contenendo alcun riferimento specifico alla videosorveglianza o all'installazione di telecamere - risulta pienamente compatibile con la normativa previgente (cfr. Provvedimento sulla Videosorveglianza del 2004) richiedendo il rispetto dei medesimi principi di liceità, necessità, proporzionalità e finalità.

Il passo successivo, ovvero la contestualizzazione dei summenzionati principi all'ambito degli impianti di videosorveglianza, è paradossalmente ricavabile proprio a partire dal testo dell'ormai obsoleto provvedimento del 2004 e può essere riassunto in questo modo:

  • Liceità: l'utilizzo dei sistemi di videosorveglianza è consentito soltanto se la registrazione delle immagini è ad obblighi di legge o per tutelare un interesse legittimo;
  • Necessitàle riprese devono limitarsi solamente a ciò che è necessario per raggiungere gli scopi prefissati;
  • Proporzionalità: l’impianto va impiegato solo in luoghi dove è realmente necessario, limitando le riprese alle sole aree interessate ed escludendo la visuale su quelle circostanti;
  • Finalità: lo scopo della videosorveglianza deve essere esplicito e legittimo nonché limitato alle finalità di pertinenza dei titolari dei dati.

Provvedimento Generale sulla Videosorveglianza (2010)

L'8 aprile del 2010 (con pubblicazione in G.U. n. 99 del 29 aprile 2010) il Garante per la protezione dei dati personali ha varato nuove regole per i soggetti pubblici e privati che intendono installare telecamere e sistemi di videosorveglianza. Il nuovo provvedimento generale, che sostituisce quello emanato nel 2004, ha introdotto importanti novità in conseguenza dei seguenti aspetti legati all'evoluzione tecnologia del periodo recente:

Ecco una sintesi delle regole contenute nel provvedimento generale del 2010 che è opportuno tenere presente alla luce dell'entrata in vigore del Regolamento UE 2016/679 (GDPR).

Principi generali

  • Informativa: i cittadini che transitano nelle aree sorvegliate devono essere informati con cartelli della presenza delle telecamere; tali cartelli devono essere resi visibili anche quando il sistema di videosorveglianza è attivo in orario notturno. Nel caso in cui i sistemi di videosorveglianza installati da soggetti pubblici e privati (esercizi commerciali, banche, aziende et al.) siano collegati alle forze di polizia, è necessario apporre uno specifico cartello (cfr. allegato n. 2), sulla base del modello elaborato dal Garante. Le telecamere installate a fini di tutela dell´ordine e della sicurezza pubblica non devono essere segnalate, ma il Garante auspica comunque l´utilizzo di cartelli che informino i cittadini.
  • Conservazione: le immagini registrate possono essere conservate per periodo limitato e fino ad un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini. Per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che non può superare comunque la settimana. Eventuali esigenze di allungamento dovranno essere sottoposte a verifica preliminare del Garante.

Settori di particolare interesse

  • Sicurezza urbana: i Comuni che installano telecamere per fini di sicurezza urbana hanno l´obbligo di mettere cartelli che ne segnalino la presenza, salvo che le attività di videosorveglianza siano riconducibili a quelle di tutela specifica della sicurezza pubblica, prevenzione, accertamento o repressione dei reati. La conservazione dei dati non può superare i 7 giorni, fatte salve speciali esigenze.
  • Sistemi integrati: per i sistemi che collegano telecamere tra soggetti diversi, sia pubblici che privati, o che consentono la fornitura di servizi di videosorveglianza "in remoto" da parte di società specializzate (es. società di vigilanza, Internet providers) mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza (es. contro accessi abusivi alle immagini). Per alcuni sistemi è comunque necessaria la verifica preliminare del Garante.
  • Sistemi intelligenti: per i sistemi di videosorveglianza "intelligenti" dotati di software che permettono l´associazione di immagini a dati biometrici (es. "riconoscimento facciale") o in grado, ad esempio, di riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (es. "motion detection") è obbligatoria la verifica preliminare del Garante.
  • Violazioni al codice della strada: obbligatori i cartelli che segnalino i sistemi elettronici di rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo (non quindi conducente, passeggeri, eventuali pedoni). Le fotografie o i video che attestano l´infrazione non devono essere inviati al domicilio dell´intestatario del veicolo.
  • Deposito rifiuti: lecito l´utilizzo di telecamere per controllare discariche di sostanze pericolose ed "eco piazzole" per monitorare modalità del loro uso, tipologia dei rifiuti scaricati e orario di deposito.

Settori specifici

  • Luoghi di lavoro: le telecamere possono essere installate solo nel rispetto dello norme in materia di lavoro. Vietato comunque il controllo a distanza dei lavoratori, sia all´interno degli edifici, sia in altri luoghi di prestazione del lavoro (es. cantieri, veicoli).
  • Ospedali e luoghi di cura: no alla diffusione di immagini di persone malate mediante monitor quando questi sono collocati in locali accessibili al pubblico. E' ammesso, nei casi indispensabili, il monitoraggio da parte del personale sanitario dei pazienti ricoverati in particolari reparti (es.rianimazione), ma l´accesso alle immagini deve essere consentito solo al personale autorizzato e ai familiari dei ricoverati.
  • Istituti scolastici: ammessa l'installazione di sistemi di videosorveglianza per la tutela contro gli atti vandalici, con riprese delimitate alle sole aree interessate e solo negli orari di chiusura.
  • Taxi: le telecamere non devono riprendere in modo stabile la postazione di guida e la loro presenza deve essere segnalata con appositi contrassegni.
  • Trasporto pubblico: lecita l'installazione su mezzi di trasporto pubblico e presso le fermate, ma rispettando limiti precisi (es.angolo visuale circoscritto, riprese senza l´uso di zoom).
  • Webcam a scopo turistico: la ripresa delle immagini deve avvenire con modalità che non rendano identificabili le persone.

Soggetti privati

  • Tutela delle persone e della proprietà: contro possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc. si possono installare telecamere senza il consenso dei soggetti ripresi, ma sempre sulla base delle prescrizioni indicate dal Garante.
GDPR e Videosorveglianza
Modello di cartello "Area Videosorvegliata" nel caso in cui l'impianto sia collegato alle Forze di Polizia - allegato n.2 del Provvedimento Generale in materia di videosorveglianza, sistemi integrati e telecamere intelligenti del 27 aprile 2010

Nel 2010, l'urgenza del Garante era quella di determinare nel provvedimento la sussistenza del legittimo interesse, non potendo quest'ultimo ancora determinarsi se non ex lege o mediante provvedimento apposito. Scompare inoltre nella formulazione del 2010 la possibilità, presente nella pubblicazione del 2004, di installare un sistema di videosorveglianza in presenza di luoghi di culto:

4.4. Luoghi di culto e di sepoltura

 

L´installazione di sistemi di videosorveglianza presso chiese o altri luoghi di culto o di ritrovo di fedeli deve essere oggetto di elevate cautele, in funzione dei rischi di un utilizzo discriminatorio delle immagini raccolte e del carattere sensibile delle informazioni relative all´appartenenza ad una determinata confessione religiosa. Al fine di garantire il rispetto dei luoghi di sepoltura, l´installazione di sistemi di videosorveglianza deve ritenersi ammissibile all'interno di tali aree solo quando si intenda tutelarle dal concreto rischio di atti vandalici.

Le motivazioni legate alla rimozione di quanto sopra nascono certamente dalla volontà del Garante di tutelare gli interessati dal trattamento di quella particolare tipologia di dati sensibili, evidentemente non rispettoso del principio di necessità.

Novità introdotte dal GDPR

L'entrata in vigore del GDPR e della conseguente possibilità di determinare il legittimo interesse (art. 6, comma 1, lettera f) cambia le carte in tavola, rendendo di fatto possibile per il Titolare del trattamento determinare delle condizioni di liceità in modo autonomo secondo il principio di accountability (art. 5, comma 2). Tale possibilità resta comunque subordinata a una serie di oneri a carico del Titolare, ovvero:

  • rispetto dei principi di adeguatezza, trasparenza e pertinenza, che si aggiungono ai previgenti principi di liceità, necessità, proporzionalità e finalità, determinabili a seconda del caso specifico;
  • recepimento delle necessarie autorizzazioni a norma di legge, con tutto ciò che ne consegue a livello di adempimenti normativi (accordi sindacali et al.) e non solo.
  • somministrazione delle informative adeguate a tutti i soggetti interessati.

A tale proposito, è fondamentale ricordare che:

  • il rispetto dei Codici di Condotta formulati dal garante prima del 25 maggio 2018 non costituisce condizione di liceità;
  • il consenso non è necessario se la videosorveglianza esaurisce il suo scopo nella tutela della sicurezza delle persone e dei beni (aggressioni, furti, rapine, vandalismi, prevenzione di incendi o sicurezza del lavoro); del resto, in tutti gli altri casi - come abbiamo chiarito poc'anzi - la videosorveglianza è proibita.

Attività in carico al Titolare

Una azienda che vuole installare telecamere di sorveglianza sul posto di lavoro ed essere conforme a tutte le normative vigenti, compreso quanto previsto dal GDPR, deve effettuare le seguenti attività prima di poter mettere in funzione l’impianto:

  1. Informare i lavoratori interessati mediante un'informativa privacy adeguata alle finalità del trattamento;
  2. Nominare un responsabile alla gestione dei dati registrati;
  3. Posizionare le telecamere soltanto nelle zone a rischio, evitando di riprendere in maniera unidirezionale i lavoratori;
  4. Affiggere dei cartelli visibili che informino i dipendenti ed eventuali clienti, ospiti o visitatori della presenza dell’impianto di videosorveglianza (cfr. i summenzionati provvedimento generale dell'8 aprile 2010 e, ove applicabile, il relativo allegato n. 2);
  5. Conservare le immagini per un limitato periodo di tempo (24-48 ore);
  6. Formare il personale addetto alla videosorveglianza;
  7. Predisporre le misure minime di sicurezza;
  8. Predisporre misure idonee di sicurezza atte a garantire l’accesso alle immagini solo al personale autorizzato;
  9. Nel caso in cui le videocamere riprendano uno o più dipendenti mentre lavorano, stipulare un accordo con le rappresentanze sindacali aziendali o con la Direzione Provinciale del Lavoro e ottenere l'autorizzazione all’installazione dei dispositivi elettronici di controllo a distanza (cfr. sezione modulistica del sito web dell'Ispettorato Nazionale del Lavoro).
  10. Aggiornare il Registro dei Trattamenti (art. 30 GDPR)
  11. Nel caso in cui la sorveglianza sia sistematica ed effettuata su larga scala di una zona accessibile al pubblico, provvedere a effettuare un Data Protection Impact Assessment (Valutazione d'impatto sulla protezione dei datiPIA - art. 32 GDPR).
Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.

Hai bisogno di organizzare un corso per te o per la tua azienda? Consulta il programma del nostro Corso di Formazione su GDPR e Privacy e/o chiedici un preventivo senza impegno!

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Il periodo di verifica reCAPTCHA è scaduto. Ricaricare la pagina.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.