Videosorveglianza e trattamento dei dati personali: le FAQ del Garante privacy

A cura di Elena Bissoli

Il Garante della privacy, con FAQ (Frequently Asked Questions) dello scorso 2 dicembre, ha fissato i principi fondamentali della disciplina del trattamento dei dati personali raccolti dai sistemi di videosorveglianza installati nelle aziende, alla luce delle norme contenute nel Regolamento Europeo 2016/679.
In tema di videosorveglianza, si rileva, anzitutto, che l’art. 4 della L. 300/1970 (Statuto dei lavoratori) stabilisce che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”; ed in mancanza d’accordo sindacale, previa autorizzazione dell’Ispettorato territoriale del lavoro competente.
Il datore di lavoro, che utilizzi impianti di videosorveglianza, che possono anche controllare la prestazione dei  lavoratori, deve osservare, inoltre, i principi cardine in materia di trattamento dei dati personali dei lavoratori, ossia il principio di minimizzazione dei dati e quello di responsabilizzazione.
Nello specifico, il primo principio attiene alla scelta delle modalità di ripresa e dislocazione dell’impianto, nonché alla gestione dei dati trattati, che devono essere pertinenti e non eccedenti le finalità perseguite; il principio di responsabilizzazione comporta che il titolare del trattamento debba valutare la liceità e la proporzionalità del trattamento, tenuto conto delle finalità e del contesto dello stesso e dell’eventuale rischio di violazione dei diritti e delle libertà delle persone fisiche.
Applicando tali principi all’ambito del trattamento dati raccolti dai sistemi di videosorveglianza sul luogo di lavoro, il Garante della privacy ha fornito precise indicazioni per la gestione degli stessi nel rispetto della normativa nazionale ed europea, chiarendo che ogni soggetto, che possa essere potenzialmente ripreso, va informato della presenza di una zona videosorvegliata tramite apposita informativa, che il datore di lavoro potrà fornire utilizzando un modello semplificato, dal quale si possano evincere informazioni riguardanti il titolare del trattamento, la finalità perseguita e il periodo di conservazione delle immagini; l’informativa, poi, deve rinviare espressamente ad un testo più completo, contenente tutti gli elementi di cui all’art. 13 del Regolamento 2016/679 e facilmente consultabile (ad es., pubblicato sul sito aziendale).
Con riguardo, invece, alla necessità di predisporre la c.d. valutazione d’impatto preventiva, il Garante della privacy ha ribadito che quest’ultima è prevista nel caso in cui il trattamento preveda l’utilizzo di nuove tecnologie che potrebbero presentare un rischio per le persone fisiche, come nel caso in cui siano installati sistemi intelligenti capaci d’analizzare le immagini e rilevare, nonché registrare, automaticamente comportamenti anomali (artt. 35 e 36 del Regolamento cit.).
Infine, per quanto attiene ai tempi di conservazione delle immagini registrate dall’impianto audiovisivo, il Garante ha evidenziato che le stesse possono essere conservate limitatamente al tempo necessario per assolvere agli scopi per i quali sono state acquisite, in ossequio a quanto disposto dall’art. 5 del Regolamento 2016/679; in via generale, comunque, i dati personali raccolti dovrebbero essere cancellati, preferibilmente mediante meccanismi automatici, dopo pochi giorni (uno o due), fatte salve eccezionali esigenze di conservazione prolungata come, ad esempio, a seguito di richieste dell’autorità o della polizia giudiziaria per lo svolgimento di un’attività investigativa.
Sostanzialmente, quanto più prolungato è il periodo di conservazione tanto più il datore di lavoro dovrà essere pronto a giustificare tale scelta, argomentando in modo analitico e dimostrando di aver adottato ogni misura di sicurezza idonea a tutelare i dati personali dei propri dipendenti.