L’installazione di telecamere nei luoghi di lavoro, e quindi della videosorveglianza, è disciplinata da una molteplicità di fonti giuridico-normative. L’utilizzo di tali impianti è consentito dalla legge, a patto di rispettare una serie di norme a tutela della dignità, della sicurezza e della privacy dei lavoratori, nonché di accordi con le organizzazioni sindacali. Norme che i datori di lavoro devono conoscere – e che sintetizziamo di seguito – per non incorrere in rilevanti sanzioni.
Le normative per l’installazione di telecamere in una azienda
Esaminiamo in dettaglio quali sono le normative che i datori di lavoro devono osservare per l’installazione di sistemi di videosorveglianza all’interno dei locali dell’azienda.
Statuto dei Lavoratori
È l’art. 4 della legge 300/1970 (cd. “Statuto dei lavoratori”), come riformulato dall’art. 23 del D. Lgs. n. 151/2015, attuativo del cosiddetto “Jobs Act” (ovvero legge delega n. 183/2014) e integrato, in seguito, dal D. Lgs. n. 185/2016, a stabilire le modalità con le quali il datore di lavoro può utilizzare impianti audiovisivi (e altri strumenti di controllo).
In particolare, il datore di lavoro dovrà, prima dell’installazione, o stipulare un accordo con la rappresentanza sindacale unitaria o aziendale, oppure richiedere l’autorizzazione alla sede territoriale dell’Ispettorato Nazionale del Lavoro. Nel caso in cui l’azienda abbia più sedi sul territorio potrà stipulare l’accordo con le associazioni sindacali più rappresentative sul piano nazionale o richiedere un’unica autorizzazione per tutte le unità produttive. La mancata osservanza di queste norme rende l’installazione del sistema illegittima e prevede sanzioni, secondo le disposizioni dell’art. 171 del D.lgs. 196/2003 dall’art. 38 dello Statuto, nonché per condotta antisindacale dall’art. 28 sempre dello Statuto.
Ispettorato Nazionale del Lavoro
Se l’autorizzazione è richiesta presso l’INL, l’oggetto dell’attività valutativa riguarderà la validità del presupposto posto a base della richiesta, come chiarito dall’Ispettorato stesso con la circolare 5/2019. In questo caso non è di fondamentale importanza specificare il posizionamento predeterminato e il numero delle telecamere, bensì viene considerata, in sede di valutazione e ispezione, la loro coerenza e necessità in rapporto con le ragioni dichiarate nell’istanza.
GDPR
Vi sono poi gli adempimenti privacy che il datore di lavoro è tenuto a mettere in atto. Secondo l’articolo 25 del GDPR, il titolare del trattamento è tenuto ad attuare misure tecniche e organizzative adeguate a garantire la protezione dei dati già al momento della pianificazione dell’attività di videosorveglianza, ovvero prima di iniziare la raccolta e l’elaborazione dei filmati video. È necessario, pertanto, adottare tecnologie che garantiscano la tutela della privacy degli interessati tramite impostazioni predefinite e l’utilizzo di strumenti che assicurino la privacy “by design” (ossia dal momento della progettazione), la massima protezione possibile dei dati personali. Di ciò il datore di lavoro dovrà tenere conto in sede di acquisto del sistema di videosorveglianza.
Le Linee guida 3/2019 dell’EDPB
Queste forniscono esempi pratici di tecnologie privacy-friendly, ad esempio i sistemi che consentono di mascherare aree che non sono rilevanti per la sorveglianza o di oscurare i volti degli interessati quando si vogliano mostrare le riprese video a soggetti terzi. I sistemi, inoltre, non devono fornire funzioni non necessarie ed eccessive rispetto alle reali necessità (ad esempio, per alcuni casi specifici, il movimento a 360 gradi delle telecamere, capacità di zoom, analisi e registrazioni audio). Le Linee guida richiedono poi misure di sicurezza fisiche (ad es. per sovratensioni elettriche, temperature estreme), protezione contro interferenze intenzionali e non intenzionali delle normali operazioni (ad es. utilizzo di soluzioni basate su hardware e software come firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici) e controllo accessi (ad es. metodi e mezzi di autenticazione e autorizzazione dell’utente, incluse la lunghezza delle password e la frequenza di modifica).
Garante per la protezione dei dati
Se attraverso la videosorveglianza si realizza un monitoraggio sistematico e automatizzato di uno spazio specifico, che comporta la raccolta e la conservazione di immagini o videoriprese dei soggetti che entrano nello spazio monitorato, identificabili sulla base del loro aspetto o di altri elementi specifici, è necessaria una valutazione d’impatto (Dpia).
Il Garante per la protezione dei dati ha pubblicato (in data 11 ottobre 2018), in base a quanto previsto dall’art. 35 par. 4 del GDPR, l’elenco delle tipologie di trattamenti dati da sottoporre a Dpia, tra le quali sono elencati anche i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti. Di conseguenza, il datore di lavoro, prima di installare l’impianto di videosorveglianza, è tenuto a effettuare la Dpia, poiché il trattamento dei dati effettuato potrebbe comportare un rischio elevato per i diritti e le libertà degli interessati.
Se, nonostante le misure di sicurezza pianificate dal titolare, a seguito della Dpia il rischio derivante dal trattamento risultasse ancora elevato sarà necessario consultare l’Autorità Garante prima di procedere al trattamento, come indicato all’art. 36 del GDPR.