Videosorveglianza e controllo dei dipendenti: gli accorgimenti pratici per la compliance al GDPR

Con un recente provvedimento, il Garante privacy ha sanzionato una ditta individuale che utilizzava un impianto di videosorveglianza effettuando un controllo a distanza dell’attività dei dipendenti senza rispettare le procedure previste dallo Statuto dei lavoratori. Vediamo quali insegnamenti trarre e gli accorgimenti pratici da considerare nei processi di adeguamento e compliance al GDPR.

Recentemente il Garante per la privacy con il Provvedimento n. 178 del 12 maggio 2022 ha sanzionato un’impresa individuale (di seguito anche “Azienda” o “Impresa”) che utilizzava un impianto di videosorveglianza effettuando un controllo a distanza dell’attività dei dipendenti senza rispettare le procedure previste dall’art. 4 dello Statuto dei lavoratori.

Questa decisione rappresenta un’occasione importante per riepilogare gli accorgimenti pratici che le aziende devono osservare nell’effettuazione dei controlli a distanza dell’attività dei lavoratori mediante l’utilizzo di sistemi di videosorveglianza.

In particolare:

1. le telecamere che effettuano anche un controllo a distanza dell’attività dei lavoratori devono essere installate rispettando le garanzie previste dall’art. 4 della L. 20 maggio 1970, n. 300 richiamato dall’art. 114 del D.lgs. n. 196/2003 (come novellato dal D.lgs. n. 101/2018);
2. non è idonea a far venir meno l’obbligo di conformarsi alla citata disciplina la circostanza che i lavoratori siano stati individualmente informati della presenza dell’impianto e abbiano sottoscritto tale informativa;
3. anche il consenso, eventualmente prestato dai singoli dipendenti all’installazione di sistemi di videosorveglianza, non è equivalente alla necessaria attivazione della procedura con le rappresentanze dei dipendenti o, in mancanza, sotto il controllo dell’autorità pubblica;
4. come ribadito dall’EDPB e dal Garante italiano, in ambito lavorativo – fatte salve alcune specifiche eccezioni – il consenso non costituisce base giuridica idonea per il trattamento dei dati personali dei dipendenti.

L’istruttoria del Garante e gli insegnamenti da trarre

La fattispecie considerata nella decisione in commento dal Garante riguardava alcune irregolarità emerse durante l’esecuzione di controlli effettuati il 15 dicembre 2021 dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, presso la sede dell’impresa “Zito Auto di Gianfranco Zito”, con cui veniva accertata la presenza di 14 telecamere funzionanti poste all’interno e all’esterno della sede operativa dell’azienda.

Dall’esame del verbale redatto dagli organi di accertamento e delle immagini riprese dal sistema di videosorveglianza, si evinceva che le telecamere erano in grado di effettuare anche un controllo a distanza dell’attività dei lavoratori e che le stesse erano state installate senza considerare le garanzie previste dall’art. 4 della Legge 300/1970.

Sulla base degli accertamenti eseguiti, l’Ufficio del Garante ravvisava da parte della ditta individuale, pertanto, la violazione dell’art. 5, par. 1, lett. a) del Regolamento e dell’art. 114 del Codice. All’esito dell’esame della documentazione prodotta emergeva che, al momento del controllo, l’impianto di videosorveglianza, installato presso l’impresa individuale era funzionante e che il medesimo era in grado di consentire un controllo a distanza dell’attività dei lavoratori senza che fossero state attivate le procedure previste dall’art. 4 dello Statuto dei lavoratori.

Relativamente ai profili sopra rappresentati, il Garante sottolineava che le attività di trattamento di personali effettuate nell’ambito lavorativo devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del GDPR e, in specie, del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a), cit.).

In tale contesto, va evidenziato che, atteso il contenuto dell’art. 88 del Regolamento (che rinvia alle norme nazionali di maggior tutela con riguardo al trattamento dei dati personali dei lavoratori), il Legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che – tra le condizioni di liceità del trattamento – ha stabilito l’osservanza delle garanzie procedurali previste dall’art. 4, legge 20 maggio 1970, n. 300.

Al riguardo, l’Autorità ribadiva che, atteso il contenuto dell’art. 4 della Legge n. 300 del 1970, gli impianti di videosorveglianza, qualora dagli stessi derivi anche la possibilità di controllo a distanza dell’attività dei dipendenti,

“possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell’Ispettorato del lavoro”.

Sul punto, con specifico riferimento al controllo a distanza dei lavoratori mediante videosorveglianza, anzitutto, occorre tenere presente che – come puntualizzato dal Garante – l’impiego di tali apparati può avvenire esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.

Qualora sussista tale ragione giustificatrice (esigenze produttive e/o di sicurezza), l’installazione degli impianti di videosorveglianza, in ogni caso, può avvenire soltanto:

1. previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali oppure in alternativa;
2. nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, previo accordo stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale;
3. ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro.

L’attivazione e la conclusione di tale procedura di garanzia è condizione necessaria per l’installazione di sistemi di videosorveglianza.

Atteso quanto sopra, l’Authority, pertanto, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ordinava all’impresa individuale, il pagamento della somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria in relazione al trattamento dei dati personali effettuato in violazione dei precetti sopraindicati.

Conclusioni

Concludendo, il messaggio contenuto nel Provvedimento n. 178 del 12 maggio 2022 è di notevole importanza perché ribadisce come la base giuridica del consenso eventualmente prestato dai singoli lavoratori all’installazione di impianti di videosorveglianza non è idonea a sostituire le procedure previste dall’art. 4 della Legge 300/1970 e non vale a scriminare la condotta del datore di lavoro che abbia installato i predetti sistemi in violazione della normativa.

Ecco che, quindi, i rilievi effettuati dal Garante conducono, pertanto, inevitabilmente a soffermare l’attenzione sull’obbligo per tutte le imprese – qualora dagli apparati di videosorveglianza derivi la possibilità di controllo a distanza dei lavoratori – di adempiere puntualmente ai principi e alle regole dettate dalla normativa in materia di data protection e di rispettare la cornice di garanzie previste dall’art. 4 della Legge n. 300/1970, facendo tesoro delle indicazioni fornite dall’Authority sul tema.