Come gestire videosorveglianza e GDPR
Botta e risposta sull’argomento
Come si gestisce la videosorveglianza a norma GDPR?
Il tema è uno dei più controversi in materia di Regolamento europeo per la protezione dei dati personali e riguarda una delle attività più sanzionate dalle Autorità Garanti.
Di seguito un estratto del botta e risposta tra Andrea Chiozzi e l’Avvocato Barbara Sabellico.
Informativa estesa o cartello: servono entrambi o uno esclude l’altro?
Andrea Chiozzi: Informativa estesa o cartello? Se c’è uno non serve l’altro? Se c’è il cartello, posso non avere una normativa più complessa o viceversa? Dove metto il cartello? Cartello e informativa sono la stessa cosa?
Avvocato Sabellico: È come quando la sarta fa un vestito. C’è la forma e poi ci sono le rifiniture. Col GDPR è la stessa cosa: ci sono dei princìpi generali che non vanno mai dimenticati e poi ci sono le rifiniture. Quello che il Regolamento ripete sempre è che non dobbiamo dimenticarci le persone a cui ci rivolgiamo e quindi di avere un approccio semplice, che non significa essere carenti, ma va vuol dire che le cose vanno spiegate in modo che siano intuibili e semplici da capire. Questo vale anche per la videosorveglianza, per cui il pannello col simbolo della telecamera non va mai dimenticato, perché è il primo contatto. È l’inizio della videosorveglianza.
Il simbolo delle telecamere infatti è facilmente intuibile da qualsiasi persona e dà il primo segnale. Ti dice: “Guarda che se metti il piede qui, sei videosorvegliato”. È un’informativa breve, ma non è detto che sia sufficiente, per cui è necessario accompagnare al pannello l’informativa estesa, dove indichi: che tipo di dati raccogli, come li raccogli, chi li raccoglie, per quanto tempo li conservi, quali sono i diritti dell’interessato.
L’informativa estesa deve essere resa disponibile.
Cosa vuol dire? Vuol dire che l’utente deve essere messo nelle condizioni di poter avere l’informativa estesa, alla bisogna. Ed è importante che l’utente sappia cosa sta succedendo.
Il cartello è il primo campanello – la lampadina che lampeggia – che ti dice “Guarda, qui succederanno cose. Chiedi. Così ti facciamo vedere come trattiamo i tuoi dati raccolti col sistema di videosorveglianza”.
Lo scopo è informare l’interessato.
Come vuoi farlo, decidi tu. Poi anche mettere 2 persone fuori dalla porta che dicono a tutti: “Guarda che verrai ripreso”. Lo scopo è raggiunto.
L’informativa per presa visione va firmata?
Andrea Chiozzi: Spesso si chiede di firmare l’informativa sulla videosorveglianza per presa visione. Come la vedi la firma sulla videosorveglianza? Secondo te ha senso?
Avvocato Sabellico: Il consenso deve essere esplicitato. Ma non c’è scritto da nessuna parte che si debba chiedere la firma. Il fatto di chiedere delle firme è perché è così che noi italiani siamo abituati. E se seguiamo la strada della formalizzazione, diventa difficile, perché un avvocato potrebbe dirti “Bene, hai raccolto la firma? Ma senza un documento la firma non vale nulla.”
L’affanno del titolare – raccolgo la firma che sono a posto – è inutile. Perché uno all’ingresso potrebbe firmare Peppino Rossi, quando si chiama Antonio Bianchi.
Perché continuare a chiedere firme per far vedere che l’utente ha preso visione dell’informativa? Perché è il frutto del nostro sistema giuridico. Il GDPR va in direzione completamente opposta.
Anche perché hai messo fuori il cartello. Quindi la persona che vuole entrare sa che, nel momento in cui mette piede dentro, viene ripresa. È consenso o no? Sì. Altrimenti non metteva il piede dentro.
Il GPDR chiede un consenso esplicito non scritto. E come si manifesta? Entrando dentro e poi andando a manifestare il proprio dissenso.
Accordi sindacali o Ispettorato del lavoro: come si gestisce?
Andrea Chiozzi: Accordi sindacali o richiesta fatta all’Ispettorato del lavoro. Come si può gestire questa cosa con buon senso?
Avvocato Sabellico: Il problema della videosorveglianza è dovuto al fatto che, in passato, il datore di lavoro la usava per controllare il lavoratore durante l’orario di lavoro. Per quanto riguarda gli accordi e le richieste invece, l’accordo interno con l’RSU è il più auspicabile perché più veloce e fatto con i rappresentanti sindacali interni, che sanno che è un passaggio formale, in cui dici che da domani ci sono le telecamere e sei a posto. Anche la richiesta all’Ispettorato adesso è più semplice, una volta dovevi chiamare un geometra, fare la piantina, il cono di ripresa della telecamera eccetera eccetera. Era costoso e sfociava con l’uscita dell’ispettore che andava in azienda e guardava come venivano messe le telecamere. E avere l’ispettore non è mai piacevole. Quando poi sono entrate in vigore le sanzioni del GDPR, la richiesta è stata snellita – non bisogna più indicare dove e come le metti, ma basta dire il numero di telecamere – e i visi possono essere ripresi.
Dall’avvio delle sanzioni, le richieste sono state talmente tante che poi l’ispettore ha smesso di andare in azienda. In più, col Jobs Act, è stata introdotta un’ulteriore modifica sulla videosorveglianza che dice che se le telecamere vengono installate su perimetro aziendale per la tutela del patrimonio, non sarebbe necessaria la richiesta di autorizzazione.
Però io consiglio la regolarizzazione della videosorveglianza in azienda perché, anche se le telecamere sono nel perimetro aziendale, molta giurisprudenza considera luoghi di lavoro anche le zone di carico e di scarico. Pensiamo all’azienda di produzione dove arriva il corriere e l’operaio carica e scarica il materiale. E poi c’è un altro aspetto: se arriva l’ispettorato per un controllo qualunque, come il Covid o qualsiasi altra cosa e vede il cartello della videosorveglianza, chiede all’azienda se ha l’autorizzazione dell’Ispettorato o l’accordo con il sindacato interno. Se non ce l’ha, sanziona.
Quindi è meglio mandare il modulo all’Ispettorato del lavoro.
Le videocamere sono state installate ma l’azienda non ha fatto nulla
Andrea Chiozzi: Ho la videosorveglianza installata da 3 anni e non ho mai mandato nulla. Cosa faccio? Mi autodenuncio?
Avvocato Sabellico: L’azienda che ha su le telecamere da 3 anni è in violazione della normativa.
Cosa fare?
- Ipotesi 1: smonta le telecamere, fa la richiesta e le rimonta.
- Ipotesi 2: se le ha installate, ce le ha nei cespiti o no? Chiama l’impresa che ha installato il sistema, fa un aggiornamento, manda la richiesta, prende un po’ di rischio, ma almeno si regolarizza perché l’alternativa è smontarle. Anche perché anche se le telecamere sono su e sono spente, ti becchi la multa lo stesso.
Legittimo interesse e videosorveglianza
Andrea Chiozzi: Base giuridica del trattamento. Nel caso della videosorveglianza è il legittimo interesse. Ma per poter usare il legittimo interesse come base giuridica, bisogna aver fatto un’analisi preventiva ed un calcolo sull’interesse dell’interessato e dell’interesse legittimo dell’azienda. Bisogna rendere evidente il calcolo e quindi far sì che questa evidenza sia resa palese.
Ti chiedo: una volta che ho la videosorveglianza, devo fare DPIA e tutto il resto e basta quello o devo dare evidenza del calcolo del legittimo interesse?
Avvocato Sabellico: A me in generale il legittimo interesse come base giuridica piace poco. Prendo atto che posso applicare la questione del legittimo interesse. Però dipende. Ti faccio un esempio. Il convento delle suore di clausura del paesino con 10 abitanti mette le telecamere perché le suore temono possibili aggressioni. Un magistrato potrebbe dire: “Quante aggressioni ha ricevuto il convento? Zero. Bene, allora perché metti le telecamere?”
Puoi anche fare la DPIA e l’analisi dei rischi, ma preventivamente devi dare evidenza di come sei andato a dire che c’è un legittimo interesse e che è prevalente rispetto a quello dell’interessato.
Se nel paese di 10 abitanti non c’è mai stata un’aggressione e le suore mettono le telecamere, si prendono la sanzione, perché hanno protetto solo il loro interesse, non anche quello dell’interessato. Diverso è se sei in una città con un numero elevato di aggressioni. Quindi non è detto che per installare le telecamere della videosorveglianza ci si debba basare sul legittimo interesse. Va comunque valutato il contesto.
Ho l’accordo, il via libera dell’Ispettorato, i cartelli e le informative. Sono a posto? No, non sei a posto!
Andrea Chiozzi: “Ho fatto l’accordo sindacale, ho i cartelli, ho le informative… sono a posto con la videosorveglianza!” No, non è vero. Non basta. Devi sapere anche chi può vedere le registrazioni, come può accedere e con quali strumenti. Sei d’accordo?
Avvocato Sabellico: Qui c’è un peccato originale dei consulenti privacy e GDPR. Perché bisogna mettere il titolare del trattamento nelle condizioni di capire qual è il perimetro in cui si trova.
Altrimenti si finisce per applicare il GDPR nella forma e non nella sostanza. Tanto che spesso vengono fatti errori grossolani. Per esempio, in un’azienda i monitor della videosorveglianza sono visibili non solo alla signora della reception ma anche a chi entra, perché sono a vista e restano accesi tutto il giorno. Oppure la situazione in cui, in ogni piano dell’azienda, ci sono telecamere che mostrano tutto. Tutti i dipendenti vedono tutto. Non va bene. Il GDPR ci consente di far le cose, purché abbiano senso. Se la spiegazione è: la città è popolosa, siamo vicino alla stazione, i dipendenti spesso fanno tardi e la sera, grazie alle telecamere, prima di uscire, vedono se ci sono dei pericoli, se c’è uno appostato dietro alla porta, non è sufficiente. Primo, perché se lavoro fino a tardi non mi metto a guardare le telecamere. Secondo, perché se una persona è appostata da un’ora, non me ne accorgo certo gli ultimi 10 minuti prima di uscire dall’ufficio. Questa non è una spiegazione valida.
Gli incaricati: tutti possono vedere tutto? Non va bene!
Andrea Chiozzi: Le persone devono essere incaricate e non tutti possono essere incaricati di vedere tutto. Sei d’accordo?
Avvocato Sabellico: Sì. Bisogna fare un incarico dettagliato, dare le modalità di accesso e le credenziali, spiegare che le credenziali non vanno assolutamente cedute. L’incaricato va istruito e gli va spiegato che, quando va in bagno o si alza per fare la pausa, i computer devono essere bloccati. Se si incarica un esterno, bisogna preoccuparsi di come questo esterno si muove e chi sono i soggetti che vedono le immagini sulle telecamere. Perché non ci dimentichiamo che, soprattutto in certe realtà, che tu guardi Mario o Maria può cambiare la situazione. Quindi se c’è un soggetto terzo, devi sapere chi visionerà le immagini e con chi hai a che fare.
Per esempio, se sono la Maserati, la Ferrari, la Barilla – aziende con interessi e affari – sapere che i miei affari sono visti da Peppino Rossi, è un problema. Perché può succedere che uno si faccia assumere dall’azienda di videosorveglianza per fare spionaggio. È successo e può succedere ancora.
Andrea Chiozzi: Quindi la nomina agli incaricati va fatta e se si dà l’incarico ad un responsabile esterno, non si può dire “Ma tanto è un’agenzia autorizzata, si arrangeranno loro…” No!
Avvocato Sabellico: La verifica di compliance e di adeguatezza deve essere fatta anche sul fornitore esterno. E poi c’è anche il patto di segretezza. Perché è sempre un soggetto terzo che mi guarda dentro casa. Non scordiamoci che, ad oggi, la stragrande maggioranza dei Data Breach sono dovuti a: 1) incuranza (Peppino esce e lascia il PC acceso che non va in blocco, e c’è un progetto aperto sul computer); 2) per dolo e quindi la violazione è voluta.
Andrea Chiozzi: E per chiudere la quadra: l’80% dei sistemi di videosorveglianza non è adeguato al GDPR. Alcuni hanno ancora le videocassette: non va bene!
Avvocato Sabellico: Sì, sulla questione della videosorveglianza ci sono le sanzioni più cattive del GDPR. Non si scherza!
FONTE ARTICOLO: PrivacyLab