Provvedimento del Garante francese
La Commissione nazionale di informatica e libertà (di seguito CNIL) ha imposto una sanzione di 20.000 euro ad una società per aver istituito un sistema di videosorveglianza che poneva i suoi dipendenti sotto costante sorveglianza.
Vediamo il caso.
Il titolare sanzionato è una società molto piccola (TPE) con nove dipendenti e specializzata in traduzione.
Tra il 2013 e il 2017, la CNIL ha ricevuto reclami da diversi dipendenti della società che sono stati ripresi nella loro postazione di lavoro. In due occasioni, ha avvisato l’azienda delle regole da osservare durante l’installazione delle telecamere sul posto di lavoro, in particolare, che i dipendenti non dovrebbero essere filmati continuamente e che le informazioni sulla presenza le macchine fotografiche dovrebbero essere fornite a loro.
Un controllo è stato condotto nei locali della società nel febbraio 2018. Nel corso di tale controllo è stato rilevato che:
– la telecamera presente nell’ufficio dei sei traduttori li ha filmati senza interruzioni sulla loro postazione di lavoro;
– nessuna informazione soddisfacente è stata fornita ai dipendenti;
– le workstation del computer non erano protette da password e i traduttori hanno avuto accesso all’e-mail aziendale condivisa con una password univoca.
Nel luglio 2018, il Presidente della CNIL ha invitato la società a conformarsi alla legge sulla protezione dei dati, chiedendole di:
– spostare la telecamera per non più filmare i dipendenti in modo coerente;
– informare i dipendenti sulla presenza di telecamere;
– implementare misure di sicurezza per l’accesso alle postazioni informatiche e per la tracciabilità dell’accesso all’e-mail professionale.
In assenza di misure soddisfacenti al termine del termine fissato nella comunicazione formale, la CNIL ha effettuato una seconda verifica nell’ottobre 2018, che ha confermato la persistenza delle carenze nonostante le affermazioni contrarie della società. Pertanto, il presidente della CNIL ha avviato una procedura sanzionatoria a seguito della quale è stata imposta la sanzione amministrativa di 20 000 euro, considerando che persistevano le carenze constatate dal Presidente. In particolare, ha tenuto conto delle dimensioni e della situazione finanziaria della società, che ha presentato un risultato netto negativo nel 2017, per mantenere un’ammenda amministrativa dissuasiva ma proporzionata.
Il caso sanzionato dalla CNIL ci da lo spunto per ricordare i principali adempimenti per il trattamento di tali dati che le aziende italiane dovranno applicare.
1. ACCOUNTABILITY
Il soggetto pubblico o privato che tratta dati personali mediante videosorveglianza è titolare del trattamento dei dati, ossia la persona (fisica o) giuridica che determina le finalità e le modalità del trattamento. Su questa “carica” si innesta il principio di responsabilizzazione (o di “accountability”), introdotto dal GDPR, che entra a gamba tesa anche in materia di videosorveglianza.
È un concetto fondamentale in quanto il titolare del trattamento è pienamente responsabile delle scelte e delle azioni messe in campo (art. 5.2 GDPR), e deve “darne conto” a tutti i soggetti ai quali appartengono i dati trattati (interessati), nonché in determinati casi al Garante privacy e all’autorità giudiziaria. Con il GDPR si è responsabili di ogni scelta messa – o non messa – in campo, e si diventa ipso iure unico centro di imputazione per qualsiasi trattamento non a norma di legge.
2. LE INFORMAZIONI SUL TRATTAMENTO DEI DATI
La materia della videosorveglianza è caratterizzata dalla particolarità della doppia informativa: un’informativa minima (il cartello “Area videosorvegliata”, si veda Provvedimento Garante 2010) ed un’informativa completa che deve essere resa conformemente a quanto disposto dal GDPR.
La ratio dell’informativa minima è molto semplice. Il Garante privacy ha voluto fare in modo che gli interessati dovessero essere sempre informati al momento dell’accesso ad una zona videosorvegliata. E siccome rendere un’informativa completa all’accesso ad una zona videosorvegliata non avrebbe sortito effetti positivi, venne creata una sorta di “pre-informativa”, ossia un cartello che recasse le informazioni più utili ed immediate per l’interessato (indicazione del titolare e della finalità del trattamento). Se l’interessato avesse voluto approfondire il trattamento dei suoi dati personali, il titolare del trattamento avrebbe dovuto fornire tempestivamente l’informativa completa, senza oneri.
3. LA BASE GIURIDICA DEL TRATTAMENTO
La base giuridica che legittima il trattamento mediante videosorveglianza è l’interesse legittimo (art. 6, comma 1, lettera f del GDPR), una tra le più particolari condizioni di liceità del GDPR. Il provvedimento del 2010 al punto 6.2.2. – richiamato da un (più) recente provvedimento del Garante del 22 Febbraio 2018 – afferma che “la rilevazione delle immagini può avvenire senza consenso, qualora, con le modalità stabilite in questo stesso provvedimento, sia effettuata nell´intento di perseguire un legittimo interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro”.
4. LE MISURE DI SICUREZZA PER LA PROTEZIONE DEI DATI
Le misure di sicurezza da adottare in materia di videosorveglianza devono rispettare l’art. 32 GDPR. Riprendendo il provvedimento generale del 2010, i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con adeguate misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini.
Il provvedimento del 2010 al punto 3.3. dispone che devono essere adottate specifiche misure tecniche ed organizzative che consentano al titolare del trattamento di verificare l’attività svolta da parte di chi accede alle immagini o controlla i sistemi di ripresa. È fatta salva la necessità di avere differenti livelli di visibilità e trattamento delle immagini (rilevazione, anche mediante videocitofono).
Per quanto riguarda il periodo di conservazione delle immagini le immagini dovrebbero essere trascritte nelle 24, salvo esigenze specifiche, ma comunque non devono mai superare la settimana.
Nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele: i soggetti preposti alle operazioni possono accedere alle immagini solo se ciò è indispensabile al fine di effettuare le verifiche tecniche ed in presenza dei soggetti dotati di credenziali abilitanti alla visione delle immagini.
Qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all´art. 615-ter del codice penale.
L’art. 32 GDPR dispone che per approntare delle adeguate misure di sicurezza bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati). Il tutto per garantire un livello di sicurezza adeguato al rischio.
Tra le “soluzioni” che l’art. 32 elenca – in maniera non esaustiva – si ricordano: la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire), la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (es. backup / disaster recovery).
Infine, si rammenta che anche in ambito videosorveglianza – che il titolare del trattamento può subire un data breach (violazione di dati personali – Artt. 33 e 34 GDPR) che dovrà quindi trattare come qualsiasi altro data breach.
5. SOGGETTI AUTORIZZATI AL TRATTAMENTO DATI
Per il provvedimento del 2010, il titolare del trattamento deve designare per iscritto tutte le persone fisiche autorizzate sia ad accedere ai locali dove sono situate le postazioni di controllo, sia ad utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini. Deve trattarsi di un numero delimitato di soggetti, specie quando il titolare si avvale di collaboratori esterni.
6. VIDEOSORVEGLIANZA AFFIDATA AD UN FORNITORE ESTERNO
Qualora il titolare del trattamento abbia necessità di “appaltare” il trattamento di videosorveglianza ad altro soggetto, quest’ultimo rivestirà la “carica” di responsabile del trattamento e il rapporto tra titolare e responsabile dovrà essere regolamento da un contratto.
7. PROBLEMATICHE GIUSLAVORISTICHE
In caso di attività lavorativa è necessaria una particolare “convergenza” tra la disciplina in materia di protezione dei dati personali e la materia giuslavoristica. Come tale si applica quanto disposto dal punto 4.1 del provvedimento del 2010 e dallo Statuto dei Lavoratori (L. 300/1970).
In particolare, con la videosorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa; è vietata, quindi, l’installazione di apparecchiature specificatamente preordinate alla predetta finalità. Non devono essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa.
Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza è resa necessaria da esigenze organizzative o produttive, ovvero è richiesta per la sicurezza del lavoro: in tali casi, ai sensi dell´art. 4 della Legge 300/1970 (modificata dal D.lgs. 151/2015), gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro.
8. IL REGISTRO DEI TRATTAMENTI E LA VALUTAZIONE DI IMPATTO
Infine, non bisogna dimenticare che anche in ambito videosorveglianza trovano largo spazio il registro dei trattamenti e la valutazione di impatto (DPIA), capisaldi del nuovo corso europeo.
Il titolare e/o il responsabile possono/devono costituire apposito registro – ovvero inserire un’apposita sezione per il trattamento dati videosorveglianza nel Registro preesistente – per la disciplina di tale particolare aspetto.
La valutazione di impatto – artt. 35-36 GDPR – invece, si configura come un’autonoma valutazione che il titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche. È importante per tutti quei trattamenti dati in materia di videosorveglianza che possano essere un rischio per i diritti e le libertà delle persone fisiche.
L’art. 35.3 c) GDPR obbliga la conduzione di una valutazione di impatto in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (caso tipico, la videosorveglianza su larga scala).
Secondo le Linee Guida del Comitato Europeo per la Protezione dei Dati (già “Gruppo dei Garanti Privacy europei”, WP29) per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento. In parole povere, se il titolare tratta dati particolari su larga scala, è tenuto a porre in essere una valutazione d’impatto.