La videosorveglianza ed il relativo utilizzo di videocamere, anche in abitazioni private, mostra una notevole difficoltà al rispetto delle norme attinenti alla salvaguardia della privacy e dei dati personali.
Esaminiamo con attenzione, in questo corposo articolo, cosa prevedono le norme in ambito di video sorveglianza e privacy e quali sanzioni si rischiano.
Esaminiamo con attenzione, in questo corposo articolo, cosa prevedono le norme in ambito di video sorveglianza e privacy e quali sanzioni si rischiano.
1. VIDEOSORVEGLIANZA IN AMBITO PRIVATO
Per quanto riguarda la videosorveglianza in ambito privato, Il Garante privacy, ha fornito una serie di informazioni relative alle regole applicabili.
In particolare, ha fissato 6 regole fondamentali:
- che le telecamere utilizzate “siano idonee a riprendere solo aree di propria esclusiva pertinenza”;
- che «vengano attivate misure tecniche per oscurare porzioni di immagini” in tutti i casi in cui, per tutelare adeguatamente la sicurezza propria o dei propri beni, sia «inevitabile riprendere parzialmente anche aree di terzi”. In questi casi, bisogna fare in modo che questa parte di ripresa venga oscurata altrimenti si potrebbe incorrere nel reato di interferenze illecite nella vita privata ex art. 615 bis c.p.;
- che, nei casi in cui sulle aree riprese vi sia una servitù di passaggio, chi vuole attivare un sistema di videosorveglianza privata deve acquisire «formalmente» il consenso di chi esercita tale diritto. È sufficiente che questo assenso venga fornito solo una volta per tutte, ad esempio inizialmente, quando si decide di installare l’impianto, e non c’è necessità di rinnovarlo in seguito;
- che la telecamera privata non deve riprendere «aree condominiali comuni o di terzi», come un negozio al pianterreno o il parcheggio del condominio. Vale, dunque, quanto abbiamo detto nei paragrafi precedenti sull’illegittimità di ogni forma di ripresa “in chiaro”, senza oscuramenti, delle aree comuni da parte del singolo condomino, come i cortili, i pianerottoli, le scale e l’area condivisa del garage. Il Garante ha precisato che le registrazioni debbano essere conservate “per un periodo limitato», indicando per i condomini un «termine congruo di conservazione” non superiore a 7 giorni;
- che i sistemi di videosorveglianza installati da persone fisiche non possono riprendere le “aree pubbliche”, come le vie, strade e piazze pubbliche, e le “aree aperte al pubblico”; tra queste il Garante menziona espressamente le “aree di pubblico passaggio”, quindi le zone che, pur essendo di proprietà privata, sono aperte al pubblico transito, come i portici cittadini ed i passaggi per accedere ai negozi;
- che le immagini riprese dalle telecamere e registrate sui supporti dell’impianto di videosorveglianza non devono essere “oggetto di comunicazione a terzi o di diffusione”. Possiamo infatti affermare che esiste il divieto, sancito dalla normativa sulla privacy, di divulgare in qualsiasi maniera a soggetti non autorizzati i filmati delle telecamere e i supporti magnetici che li contengono: la comunicazione a terzi o la diffusione illecita di dati personali, oltre a costituire un illecito civile che dà diritto al risarcimento del danno ai soggetti coinvolti, integra un reato.
2. VIDEOSORVEGLIANZA IN AMBITO LAVORATIVO E IN LUOGHI PUBBLICI
In regime di vigenza del Codice in materia di protezione dei dati personali, il Garante aveva emanato uno specifico provvedimento, sostanzialmente costituito da due parti: una generale contenente principi, adempimenti, prescrizioni e misure a carico dei soggetti preposti ed una seconda parte disciplinante specifici ambiti, fra cui i luoghi di lavoro.
La premessa è fondamentale poiché viene precisato che: “l’uso di sistemi di videosorveglianza non forma oggetto di legislazione specifica” e, pertanto, si applicano le disposizioni generali in tema di protezione dei dati personali.
La videosorveglianza deve avere finalità chiare, prestabilite e legittime.
Fra le misure di sicurezza, invece, si raccomanda la protezione dei dati raccolti mediane sistemi di videosorveglianza, riducendo al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito.
In merito alla conservazione, l’Authority si esprime in termini massimi di ventiquattro ore successive alla rilevazione, salvo un tempo più dilatato per la particolare rischiosità dell’attività svolta dal titolare del trattamento.
Un’eventuale extension superiore alla settimana richiede, comunque, una verifica preliminare del Garante e comunque è da considerarsi ipotesi eccezionale nel rispetto del principio di proporzionalità.
Inoltre, la nomina degli incaricati deve prevedere vari profili di accesso alle immagini, a seconda delle classi di incarico.
Entrando nel merito dei rapporti di lavoro, il datore può utilizzare le informazioni raccolte tramite l’impianto audiovisivo, installato nel rispetto della normativa vigente, per sanzionare il dipendente, a condizione che sia:
- data al lavoratore adeguata informazione delle modalità di uso degli strumenti e di effettuazione dei controlli
- rispettata la disciplina in materia di privacy.
Il mezzo per informare i lavoratori è il regolamento (o policy), da affiggere in bacheca o da pubblicare nella bacheca elettronica.
È fondamentale, poi, individuare ed attuare le necessarie misure di sicurezza: qualora il sistema preveda la conservazione delle immagini, la durata dovrà essere limitata a poche ore (24 ore dalla rilevazione), fatta salva l’esigenza di ulteriore conservazione in caso di festività o per assolvere a richieste avanzate dall’autorità giudiziaria.
Solo in ipotesi eccezionali e per alcuni tipi di attività particolarmente a rischio, è possibile prevedere un allungamento dei tempi, ma comunque da circoscrivere al massimo ad una settimana.
Devono, inoltre, essere previsti particolari accorgimenti tecnici che garantiscano, ad esempio, di non superare il periodo di conservazione e misure che assicurino l’accesso alle immagini solo ai soggetti autorizzati.
È necessario nominare per iscritto i designati al trattamento, ossia i soggetti interni all’azienda che hanno accesso alle immagini ed ai locali dove sono situate le postazioni di controllo: deve trattarsi di un numero limitato di soggetti, con diversi livelli di accesso.
Il Garante escludeva la possibilità di installare le telecamere per verificare la correttezza nell’esecuzione della prestazione lavorativa, ad esempio orientando la telecamera sul badge.
Sulla specifica fattispecie è intervenuto il Jobs Act, che ha escluso gli strumenti di rilevazione degli accessi e delle presenze dal rispetto delle garanzie previste a tutela del lavoratore, per circoscritte finalità.
Nel 2016 è intervenuto il Regolamento (UE) n. 2016/679 sulla protezione dei dati: il General Data Protection Regulation (meglio noto con la sigla GDPR) che nella sostanza non muta il delicato equilibrio raggiunto fra privacy e videosorveglianza.
Il Regolamento distingue il trattamento dei dati effettuato con sistema di videosorveglianza a circuito chiuso da quello con immagini inviate ad una società che si occupa di videosorveglianza.
In quest’ultimo caso, la conformità in materia di privacy deve essere garantita sia dal soggetto che ha installato il sistema nella propria sede, sia dalla società che riceve le immagini.
Fra gli obblighi del datore di lavoro espressamente sanciti dal GDPR, risalta quello di fornire ai suoi dipendenti un’adeguata informativa sul trattamento dei dati video e sulle tempistiche di conservazione delle immagini registrate, prima ancora che le telecamere vengano installate e che possano, quindi, riprenderli, anche solo “potenzialmente”.
Inoltre, il datore deve nominare per iscritto i responsabili e gli incaricati del trattamento delle immagini, che devono essere appositamente formati sulle modalità di trattamento dei dati.
Occorrerà, poi, inserire la videosorveglianza nel registro dei trattamenti, avendo cura di indicare, tra gli elementi richiesti dall’art. 30 del GDPR, le misure di sicurezza tecniche ed organizzative adottate.
Merita particolare menzione l’art. 35 in materia di valutazione di impatto sulla protezione (cd. DPIA): si tratta di un documento di valutazione preventiva dei rischi derivanti dal trattamento dei dati che si intende effettuare.
Nella sua redazione, il titolare del trattamento è assistito dal responsabile del trattamento dei dati, il quale deve fornire ogni informazione necessaria alla corretta valutazione dei rischi per la privacy.
Rilevati eventuali rischi per gli utenti, il titolare del trattamento deve individuare concrete misure tecnico-organizzative atte a ridurli o ad annullarli del tutto.
Qualora emerga, dal documento, che il trattamento dei dati è causa di un rischio relativamente elevato per gli utenti, sussiste l’obbligo di interpello preventivo al Garante della privacy.
I dati raccolti devono poi essere protetti con misure di sicurezza tecniche, organizzative e preventive che abbattano i rischi di distruzione, perdita, accesso non autorizzato dei dati.
Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB), recentemente, ha diramato le Linee Guida n. 3/2019, interessante documento che argomenta, anche con esempi concreti, il trattamento dei dati in materia di videosorveglianza.
Il Comitato ribadisce, da un lato, che anche nell’utilizzo dei dispositivi video devono essere rispettati i principi applicabili al trattamento di dati personali previsti dal GDPR; dall’altro lato, consente l’impiego della videosorveglianza solo quando non siano rinvenibili altre modalità per ottenere il medesimo scopo.
Le finalità sono sostanzialmente individuate nella protezione della proprietà, la tutela della vita e della salute dell’individuo.
Tuttavia, è possibile procedere all’installazione di impianti di videosorveglianza solo a condizione che il legittimo interesse del titolare (concretamente individuabile) prevalga sugli interessi, i diritti e le libertà dei lavoratori dell’azienda.
Diversamente dal legittimo interesse, in materia di videosorveglianza il consenso è configurato come una base giuridica “residuale”. Il Comitato ritiene necessario procedere con due “misure”:
- una valutazione di impatto sulla protezione dei dati (DPIA), ai sensi dell’art. 35 del GDPR (“sorveglianza sistematica su larga scala di una zona accessibile al pubblico”);
- la nomina di un responsabile della protezione dei dati, in base all’art. 37.1 lett. b) del GDPR, qualora il trattamento comporti, per sua natura, un controllo regolare e sistematico degli interessati su larga scala.
Tuttavia, il Comitato elenca tre esempi in cui è derogata l’applicazione del GDPR, ossia quei casi in cui un soggetto non possa essere identificato, direttamente o indirettamente:
- presenza di telecamere spente, poiché ogni telecamera non funzionante non tratta dati personali;
- registrazioni da un’altitudine elevata, come ad esempio mediante droni;
- telecamere da park assist, a condizione che le stesse non raccolgano alcuna informazione relativa a persone fisiche identificate o identificabili (ad esempio targhe).
Fra i diritti previsti per l’interessato, sono espressamente riconosciuti l’accesso ai dati personali, il diritto di cancellazione e opposizione e il diritto alla trasparenza.
Sembra non esserci più dubbio sulla necessità di effettuare la DPIA quando la videosorveglianza comporta la possibilità di effettuare controlli a distanza dei lavoratori.
Un ultimo aspetto da analizzare concerne il pubblico impiego.
L’art. 2 della l. n. 56/2019 introduce sistemi di verifica biometrica dell’identità e di videosorveglianza degli accessi per i dipendenti delle amministrazioni pubbliche ex art. 1, co.2, D. Lgs. n. 165/2001, ai fini della verifica dell’osservanza dell’orario di lavoro degli accessi.
Occorre precisare che sono escluse dalla previsione normativa numerose categorie di dipendenti pubblici: il personale in regime di diritto pubblico; i dipendenti titolari di un rapporto “agile”, personale docente ed educativo degli istituti e delle scuole di ogni ordine e grado e delle istituzioni educative.
3. QUALI SANZIONI SI RISCHIANO PER IL MANCATO RISPETTO NORME
Per quanto riguarda le sanzioni, il GDPR e il Codice Privacy introducono un apparato sanzionatorio “misto”: il GDPR disciplina le sanzioni amministrative mentre il Codice Privacy le sanzioni penali.
Il GDPR prevede:
- per la violazione degli obblighi, fino a 10.000 € o fino al 2% del fatturato mondiale annuo dell’esercizio precedente;
- per le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso, fino a 20.000 € o fino al 4% del fatturato mondiale annuo dell’esercizio precedente;
- per la violazione dei diritti degli interessati, fino a 20.000 € o fino al 4% del fatturato mondiale annuo dell’esercizio precedente.
Infine, Gli utilizzi impropri dei prodotti di videosorveglianza e videocontrollo violano la legge del 8-4-74 n. 98; art. 615 bis, 617, 617 bis, c.p.; articolo 226 bis c.p.p sulla riservatezza della vita privata e intercettazioni delle comunicazioni.
Come è possibile notare dall’intero approfondimento effettuato con questo articolo, applicare un sistema di videosorveglianza, in particolare in ambito lavorativo o comunque in luogo aperto al pubblico, richiede la conoscenza approfondita delle norme di riferimento.
Un utilizzo di sistemi di videosorveglianza non conforme può portare a dover affrontare pesanti sanzioni.
Affidati ai nostri esperti per avere la certezza di agire conformemente al GDPR ed a tutte le normative di riferimento.
Contattaci subito scrivendo all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.