Sicurezza

Telecamere e controllo dipendenti: cosa si può e non si può fare

Per installare telecamere sul posto di lavoro si passa dallo Statuto dei Lavoratori agli accordi sindacali e alle circolari dell’ispettorato nazionale del lavoro, dagli adempimenti privacy contenuti nel GDPR, Codice Privacy, Linee guida dell’EDPB al 2010 del Garante per la protezione dei dati personali. Ecco cosa è consentito e cosa è vietato nella videosorveglianza in azienda

Pubblicato il 28 Set 2021

videosorveglianza-160217144956

La videosorveglianza sul posto di lavoro ha due colonne d’Ercole: la privacy e i diritti dei lavoratori, e le rispettive normative. L’utilizzo di telecamere per il controllo dei dipendenti si basa sul principio dell’accountability, limitato da tre paletti: necessità; pertinenza; proporzionalità.

Si possono usare le telecamere per controllare i dipendenti?

Non è permesso l’uso di telecamere per controllare l’attività dei lavoratori, ma la videosorveglianza nei luoghi di lavoro è consentita solo “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, purché avvenga sempre nel rispetto delle altre garanzie previste dalla normativa di settore in materia di installazione di impianti audiovisivi e altri strumenti di controllo (art. 4 dello Statuto dei lavoratori, Legge 300/1970). Le immagini oggetto di riprese attraverso i sistemi di videosorveglianza rientrano sotto l’ombrello dei dati personali, secondo la definizione dell’articolo 4 del GDPR .

Telecamere e controllo dipendenti: cosa si può e non si può fare

Lo Statuto dei lavoratori vieta categoricamente l’utilizzo delle telecamere per controllare i dipendenti, a meno che non sia stato raggiunto uno specifico accordo con i sindacati o, in assenza di questi ultimi, con l’ispettorato del lavoro. Inoltre l’articolo 4 dello Statuto dei lavoratori, aggiornato con il Jobs Act, stabilisce che le telecamere negli ambienti di lavoro possono essere impiegate, esclusivamente nei seguenti casi: per particolari esigenze organizzative o produttive; per garantire la sicurezza dei dipendenti; per tutelare il patrimonio ambientale. In quest’ultima categoria ricadono i controlli difensivi, concetto che è poi stato chiarito da una sentenza della Cassazione che ha stabilito che il datore di lavoro può istallare le telecamere, anche occulte, per sorvegliare i propri dipendenti solo nel caso in cui vi sia fondato sospetto di illecito, cioè che un lavoratore possa commettere azioni fraudolente a danno del datore di lavoro.

Videosorveglianza sui luoghi di lavoro, cosa dice la normativa?

La normativa afferma che la videosorveglianza sui luoghi di lavoro deve rispettare la disciplina in materia di protezione dei dati personali e le disposizioni in materia di controllo a distanza dei lavoratori:

  • art. 4 dello Statuto dei lavoratori (Legge n. 300/1970), riformulato dall’art. 23 del D.Lgs. n. 151/2015, attuativo del cosiddetto Jobs act (ovvero legge delega n. 183/2014) e integrato, in seguito, dal D.Lgs. n. 185/2016;
  • accordi sindacali o richiesta di autorizzazione dell’Ispettorato nazionale del lavoro;
  • Regolamento Europeo 679/2016 (General Data Protection Regulation o GDPR (compreso art. 28 sul responsabile esterno);
  • Codice Privacy;
  • Linee guida 3/2019 del Comitato europeo per la protezione dei dati (EDPB) adottate lo scorso 29 gennaio;
  • Provvedimento 8 aprile 2010 del Garante per la Protezione dei dati personali (art. 2 del provvedimento: bisogna tener conto della utilità del controllo mediante sistemi di videosorveglianza e i risvolti quali protezione e incolumità degli individui, protezione della proprietà, rilevazione e controllo delle infrazioni, acquisizione di prove), aggiornato dal Regolamento 679/2016 laddove il  provvedimento del 2010 conteneva prescrizioni in parte superate;
  • Corte di Cassazione con sentenza n.3255/21.

Statuto dei lavoratori e Jobs act

L’articolo 4 dello Statuto dei lavoratori, integrato col Jobs act, stabilisce che le telecamere negli ambienti di lavoro possono essere utilizzate solo per: particolari esigenze produttive o organizzative; assicurare la sicurezza sul lavoro dei dipendenti; tutelare il patrimonio ambientale (controlli difensivi).

La legge prevede che non possano essere inquadrate postazioni di lavoro fisse o aree dedicate all’attività lavorativa: le immagini non devono concentrarsi sui dipendenti, che possono essere ripresi con criteri di occasionalità. Le telecamere possono essere orientate anche su ingressi o zone di passaggio di pertinenza dell’azienda (per esempio, corridoi, parcheggi, eccetera).

Non è possibile sorvegliare, attraverso telecamere, i lavoratori o installarle in luoghi che, per loro natura, produrrebbero immagini lesive dell’intimità e della dignità della persona, come spogliatoi, docce o servizi igienici.

Gli interessati devono sempre essere informati (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata, anche tramite semplice cartello. I cartelli di area videosorvegliata devono contenere le indicazioni sul titolare del trattamento e sulla finalità perseguita e devono essere collocati prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti. L’informativa deve rinviare a un testo completo contenente tutti gli elementi dell´art. 13 del Regolamento, spiegando come e dove trovarlo (per esempio un link sul sito Internet del titolare del trattamento o affisso in bacheche o nei locali).

La violazione delle prescrizioni è disciplinata e penalmente sanzionata dal combinato disposto degli articoli 4 e 38 dello Statuto dei lavoratori.

videosorveglianza

La sentenza della Cassazione n.3255/21

La sentenza della Cassazione n.3255/21 ha stabilito che il datore di lavoro può istallare le telecamere, anche occulte, per sorvegliare i propri dipendenti solo nel caso in cui vi sia fondato sospetto di illecito, cioè che un lavoratore possa commettere azioni fraudolente a danno del datore di lavoro.

La telecamera-spia (con l’intento difensivo se non ci sono validi sospetti di reato da parte del dipendente) in funzione “preventiva”, ossia volta a saggiare la fedeltà del dipendente, è però illegale.

Le telecamere devono essere evidenziate con appositi cartelli e tutto il personale deve essere adeguatamente informato, attraverso accordi sindacali o coinvolgimento dell’ispettorato del lavoro. Gli interessati devono sempre sapere (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata. Se queste regole non vengono rispettate, anche nel caso di eventuale illecito, le prove raccolte non sono utilizzabili in sede di giudiziaria.

Videosorveglianza e Regolamento Europeo 679/2016 (GDPR)

Il Regolamento 2016/679 (GDPR) ha aggiornato un provvedimento del Garante Privacy che risaliva al 2010 e che conteneva prescrizioni in parte superate. Inoltre, in tema di videosorveglianza, sono state adottate le linee guida (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”) messe a punto dal Comitato europeo per la protezione dei dati (EDPB).

Le immagini oggetto di riprese attraverso i sistemi di videosorveglianza rientrano in ciò che l’art. 4 del GDPR definisce dati personali. Il Regolamento 2016/679 è permeato dal principio di accountability, che assegna al titolare del trattamento l’obbligo di adottare tutte le misure adeguate ed efficaci per rispettare i dettami di tutela dei dati, dimostrando sempre la conformità delle attività di trattamento con il regolamento.

In considerazione della possibilità di identificazione dei soggetti ripresi dai sistemi di videosorveglianza, cui sottende la evidente necessaria tutela, i titolari dei trattamenti devono porre in essere le attività di pianificazione di tali strumenti nel rispetto di quanto previsto dal Regolamento 679 e del vigente Codice privacy, così come aggiornato con il D.Lgs 101/2018.

Nella videosorveglianza, il Gdpr introduce i principi di privacy by design e by default.

Telecamere e Linee guida 3/2019 di EDPB

Le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” messe a punto dal Comitato europeo per la protezione dei dati (EDPB) contengono anche un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Le Faq del Garante Privacy

Le Faq del Garante Privacy spiegano poi che la videosorveglianza in azienda si basa sul principio di accountability ovvero responsabilizzazione (art. 5, par. 2, del Regolamento), secondo cui spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista eccetera) “valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”. L’impresa deve anche “valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento”.

La normativa in materia di protezione dati “non si applica al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente, come nel caso delle riprese ad alta quota (effettuate, ad esempio, mediante l’uso di droni)”.

Il principio di minimizzazione dei dati e limitazione della conservazione

Inoltre, l’attività di videosorveglianza deve rispettare il cosiddetto “principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento. I dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite”.

I principi di minimizzazione dei dati e limitazione della conservazione stabiliscono che “i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici in un piccolo esercizio commerciale) – cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici”.

Le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (art. 5, paragrafo 1, lett. c) ed e), del Regolamento). Il principio di responsabilizzazione (art. 5, paragrafo 2, del Regolamento) stabilisce che “spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.

Se si prolunga il periodo di conservazione previsto (superiore a 72 ore), l’analisi – riferita alla legittimità dello scopo e alla necessità della conservazione – deve essere opportunamente argomentata.

L’art. 28 del GDPR si occupa del trattamento dei dati con eventuali responsabili esterni, per esempio società che forniscono servizi di manutenzione dell’impianto di videosorveglianza e/o hanno la possibilità di accedervi anche da remoto.

Chi può controllare le registrazioni delle telecamere sul posto di lavoro

Le registrazioni delle telecamere e sistemi di videosorveglianza non possono essere visionate indiscriminatamente e con libero accesso, ma solo da parte personale designato e autorizzato, istruito con formazione almeno annuale. Il titolare del trattamento è infatti tenuto a nominare, per iscritto, l’incaricato all’accesso alle immagini.

Telecamere e controllo dipendenti: cosa si può e non si può fare

Dopo essersi dotato di un regolamento di accesso alle immagini, il titolare deve formare opportunamente l’incaricato affinché rispetti gli obblighi relativi al trattamento. Misure organizzative e tecnologiche devono consentire il corretto accesso alle immagini, nell’ottemperanza di legittime condizioni. Infatti, se chi richiede l’accesso (compresi privati cittadini ed organi di pubblica sicurezza) non dimostra la necessità e la pertinenza della richiesta, il titolare deve rifiutare l’accesso.

Il GDPR introduce la figura del Data protection officer (Dpo)

Il Data protection officer (Dpo) è una figura introdotta dal Gdpr, il regolamento generale sulla protezione dei dati 2016/679. Il Dpo ​è un professionista, sia interno che esterno, che ricopre un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi. Ha il compito di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Le registrazioni devono essere custodite nel rispetto di tutti gli obblighi previsti per la tutela dei dati trattati, mediante adeguate custodia informatica (hardware adeguato, ciclicità di cancellazione automatica delle immagini conservate, prevenzione accessi illegali con firewall e antimalware, backup eccetera) e logistica (luogo sicuro con divieto di accesso ai non addetti ai lavori).

In caso di fornitori esterni, il titolare deve stipulare un accordo sul trattamento dei dati con il proprio responsabile esterno nel caso in cui questo abbia accesso ai dati acquisiti tramite l’impianto di videosorveglianza, per esempio nel caso di manutenzione o collegamento con la centrale operativa di società di sicurezza privata. In base all’art. 28 del Gdpr, il titolare è tenuto a scegliere il fornitore/responsabile tra quei soggetti che presentino garanzie sufficienti per adottare misure tecniche e organizzative adeguate e a disciplinare i trattamenti svolti dal responsabile attraverso un contratto o altro atto giuridico.

Quali sono le tecnologie di videosorveglianza utilizzabili

In base all’articolo 25 della GDPR, le tecnologie di videosorveglianza utilizzabili devono garantire la tutela della privacy by design e by default degli interessati mediante impostazioni predefinite. Solo l’utilizzo di strumenti che assicurino offrono la massima protezione possibile dei dati personali dal momento della progettazione. Nel caso in cui il titolare acquisti il sistema di videosorveglianza, dovrà scegliere un impianto che tuteli il rispetto di questi principi.

Le tecnologie di videosorveglianza utilizzabili devono essere privacy-friendly. Sono consigliati dalle Linee guida 3/2019, i sistemi che permettono di mascherare aree che non sono rilevanti per la sorveglianza o di oscurare i volti degli interessati quando si mostrino le riprese video a soggetti terzi.

Non sono consentite tecnologie con funzionalità eccessive: vietati il movimento delle telecamere a 360 gradi, capacità di zoom extra, analisi e registrazioni audio. Se queste opzioni sono presenti sul sistema di videosorveglianza, bisogna disattivarle.

Le Linee guida richiedono poi misure di sicurezza: fisiche (per sovratensioni elettriche e temperature estreme), protezione contro interferenze intenzionali e non intenzionali delle normali operazioni (utilizzo di firewall, antivirus o sistemi di rilevamento delle intrusioni contro attacchi informatici) e controllo accessi (autenticazione e autorizzazione dell’utente, compresa la lunghezza delle password e la frequenza di modifica).

L’accountability prevede che ogni trattamento venga attuato in base a un’attenta valutazione del rischio, compreso il rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve poter dimostrare l’efficacia delle misure implementate, in base all’ambito e alla natura di applicazione, al contesto, alle finalità.

Durante l’emergenza sanitaria determinata dalla pandemia Covid-19, è stata aggiunta la possibilità di introdurre termocamere in azienda per effettuare controlli della temperatura corporea per contenere l’epidemia.

videosorveglianza

Cosa serve per installare un impianto di video sorveglianza in azienda

In azienda è possibile installare telecamere a circuito chiuso collegate all’intranet aziendale o via Internet a postazione remota.

Gli strumenti di videosorveglianza, provvisti di rete IP, possono sfruttare tecnologia essere cablata oppure wireless per consentire il trasporto di dati video e audio da un PC all’altro attraverso l’utilizzo di Internet.

L’accesso da postazione remota alle immagini in tempo reale richiede un’autorizzazione, possibile solo in casi eccezionali e adeguatamente motivati.

L’accesso alle immagini registrate richiede necessariamente il tracciamento per un congruo periodo non inferiore a 6 mesi tramite funzionalità ad hoc che permettano la conservazione dei log di accesso.

L’installazione di una telecamera diretta verso il luogo di lavoro dei propri dipendenti (o su spazi dove essi hanno accesso anche occasionalmente) necessita di autorizzazione preventiva, mediante uno specifico accordo con le organizzazioni sindacali o da un provvedimento dell’Ispettorato del Lavoro.

La circolare n. 5 del 19 febbraio 2018 dell’Ispettorato nazionale del lavoro fornisce indicazioni operative al personale ispettivo su norme e prassi riguardanti l’installazione e l’utilizzo a norma di impianti audiovisivi e altri strumenti di controllo, ai sensi dell’art. 4 della legge n. 300/1970.

Nello specifico, ci si rivolge all’ITL o all’INL in tre casi:

  • quando ci sono lavoratori dipendenti o figure professionali simili;
  • quando non sono stati eletti rappresentanti sindacali aziendali o unitari;
  • quando è stato sottoscritto un verbale di mancato accordo in relazione all’uso dell’impianto di videosorveglianza, pur in presenza dei rappresentati sindacali.

L’installazione delle telecamere nei luoghi di lavoro richiede le “ragioni giustificatrici”:

  • esigenze organizzative e produttive (per esempio, il controllo della qualità produttiva attraverso i video);
  • esigenze di sicurezza sul lavoro (per esempio, lavoratori che operano in luoghi isolati);
  • tutela del patrimonio aziendale (per esempio, la presenza di componenti o materiale di elevato valore).

Le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” introducono il cartello di avviso di videosorveglianza che deve contenere più informazioni di quelle contenute nel modello precedente. Oltre alle informazioni essenziali (finalità del trattamento, estremi identificativi del titolare e i diritti degli interessati), sul cartello sono indicati anche i dati di contatto del Dpo, il riferimento al legittimo interesse del titolare o di terze parti, il QR code e le modalità che si riferiscono all’informativa di “secondo livello”, eventuale trasferimento di dati extra-UE e il periodo di conservazione.

L’art. 35 richiede che il trattamento sia sottoposto preventivamente a una valutazione di impatto sulla protezione dei dati ovvero un documento di valutazione preventiva dei rischi derivanti dal trattamento dei dati che si intende effettuare. Gli articoli 75, 84, 89-93 forniscono le indicazioni e concise motivazioni.

Nel caso di individuazione di rischi per gli utenti, il titolare del trattamento deve adottare misure tecnico-organizzative volte a ridurli o ad azzerarli. Ma se il trattamento dei dati è causa di un rischio relativamente elevato per gli utenti, il titolare ha l’obbligo di interpellare preventivamente il Garante della privacy.

Credenziali di autenticazione adeguate devono proteggere i dati raccolti. Misure tecniche, organizzative e preventive devono minimizzare i rischi di distruzione, perdita, accesso non autorizzato dei dati.

Il principio di minimizzazione impone al titolare di porre attenzione “alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento”. I dati trattati devono essere sempre pertinenti e non eccedenti rispetto alle finalità perseguite.

La minimizzazione riguarda anche i tempi di conservazione: “In via generale gli scopi legittimi della videosorveglianza sono spesso la sicurezza e la protezione del patrimonio. Solitamente è possibile individuare eventuali danni entro uno o due giorni” (Faq del Garante della Privacy). E poi, “quanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione”.

Quando è necessaria la valutazione d’impatto (DPIA)

Il Comitato europeo per la protezione dei dati ritiene necessari:

  • la valutazione di impatto sulla protezione dei dati (DPIA), ai sensi dell’art. 35 del GDPR (“sorveglianza sistematica su larga scala di una zona accessibile al pubblico”);
  • la nomina di un responsabile della protezione dei dati, in base all’art. 37.1 lett. b) del GDPR, qualora il trattamento comporti, per sua natura, un controllo regolare e sistematico degli interessati su larga scala.

I trattamenti soggetti a DPIA sono:

  • la videosorveglianza con controlli a distanza dei lavoratori;
  • i trattamenti “effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dei dipendenti”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 5