Skip to main content

Protezione dei dati personali e sistemi di controllo nei contesti aziendali: posta elettronica, geolocalizzazione e videosorveglianza

di Paolo Palmieri e Raffaele Riccio


Introduzione

Oltre agli ordinari adempimenti previsti dal Reg. UE 2016/679 e dal novellato Codice Privacy, incombono sul datore di lavoro ulteriori obblighi a garanzia della riservatezza dei dati personali dei lavoratori[1] a fronte delle rivoluzionarie trasformazioni dell’organizzazione aziendale attuale e dell’incidenza tecnologica sull’attività lavorativa. La vigente normativa sulla protezione dei dati personali s’interseca, dunque, con la speciale disciplina giuslavoristica relativa ai controlli esercitabili dal datore di lavoro sui propri lavoratori[2].

La raccolta e la memorizzazione delle comunicazioni in transito sugli account di posta aziendale o delle indicazioni di ubicazione dei veicoli e dei dispositivi informatici aziendali concessi in dotazioni ai lavoratori per finalità connesse al rapporto di lavoro, nonché l’uso di sistemi di videosorveglianza aziendale, consentono al datore di lavoro di effettuare potenzialmente monitoraggi e controlli dell’attività dei lavoratori, così come l’utilizzo di badge e sistemi di riconoscimento biometrico per l’autenticazione degli utenti.

Il datore di lavoro, pur avendo la facoltà di verificare l’esatto adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso rispettare specifiche condizioni di liceità, al fine di tutelare la libertà e la dignità del lavoratore, senza realizzare controlli massivi, prolungati e indiscriminati dell’attività del lavoratore e illegittime intrusioni nella sfera privata di quest’ultimo.

Il legislatore, dunque, interviene a definire i limiti al potere di controllo del datore di lavoro, contemperando da un lato le ragioni d’impresa e dall’altra il diritto dei lavoratori al rispetto della loro riservatezza e della dignità personale.

I controlli del datore di lavoro

L’attuale formulazione dell’art. 4 dello Statuto dei Lavoratori (l. 300/1970)[3], a differenza del precedente divieto generalizzato di controlli sul datore di lavoro[4], riconosce al datore la possibilità di utilizzare apparecchiature o strumenti funzionali allo svolgimento dell’attività lavorativa dai quali derivi anche solo la possibilità di un controllo a distanza dell’attività lavorativa (il controllo preterintenzionale) per le sole finalità di sicurezza del lavoro, esigenze organizzative e produttive e tutela del patrimonio aziendale. Per il legittimo utilizzo di tali strumenti di controllo è necessario il preventivo accordo con le RSA/RSU ove presenti, o l’autorizzazione preventiva dell’Ispettorato Territoriale del Lavoro[5].

L’accordo o l’autorizzazione preventiva non sono necessari, invece, nel caso in cui i medesimi strumenti siano personalmente assegnati ai singoli lavoratori e impiegati per eseguire concretamente la prestazione lavorativa. In tali casi, tuttavia, è opportuno che il datore rispetti alcune condizioni di legittimità stabilite dal legislatore.

Da ultimo, l’Ispettorato Nazionale del Lavoro ha fornito indicazioni operative[6]sulle procedure di autorizzazione all’utilizzo degli strumenti di controllo, specificando che esse debbono mirare esclusivamente a valutare le motivazioni che ne legittimano l’uso da parte del datore di lavoro.

a.    Posta elettronica aziendale

L’account di posta elettronica aziendale, in base a quanto definito finora, costituisce un vero e proprio strumento di lavoro per il lavoratore. In via generale il datore di lavoro può controllare il contenuto delle comunicazioni in transito sulle email dei lavoratori senza alcuna preventiva autorizzazione, per ragioni strettamente aziendali. La liceità del controllo è giustificata in base all’assunto che la posta elettronica aziendale costituisce un mezzo di proprietà del datore di lavoro messo a disposizione del lavoratore per il solo svolgimento della prestazione lavorativa[7].

Tuttavia, questa possibilità è soggetta a ferree condizioni tassativamente evidenziate dal Garante per la protezione dei dati già dal 2007[8].

Il datore di lavoro,con apposita policy o regolamento informatico, deve informare i lavoratori in modo chiaro sulle finalità e modalità di utilizzo della posta elettronica e su eventuali controlli da lui effettuati. Il controllo, dunque, non può mai essere segreto. Le eventuali prove così acquisite non possono essere usate in un eventuale giudizio contro il lavoratore. Se il controllo delle email avviene di nascosto e senza previa informativa non solo è illegittimo – e quindi le prove eventualmente acquisite contro il dipendente sono inutilizzabili ai fini di un’eventuale sanzione disciplinare – ma costituisce illecito sanzionabile.

Il datore deve, altresì, osservare scrupolosamente le indicazioni fornite ai lavoratori sulle modalità di controllo e non può superare i limiti imposti dalla finalità del trattamento, pena un’intollerabile intromissione nella privacy del lavoratore. Questo significa che non qualsiasi email può essere letta ma solo quelle inviate e attinenti a questioni che coinvolgono l’azienda. Il dipendente può inviare dall’account aziendale messaggi privati, senza che questi possano essere aperti dal datore.

Infine, è compito del datore di lavoro adottare gli accorgimenti per la conservazione ed il trattamento dei dati ricavabili a seguito dell’utilizzo di tali tecnologie, consentendo soprattutto la “tracciabilità dei controlli”, in modo da rendere chiaro quanti e quali email sono state monitorate, per quanto tempo, e quante persone hanno avuto accesso ai dati.

Il datore di lavoro, quindi, può controllare la posta elettronica dei lavoratori nel rispetto dei principi di pertinenza e di non eccedenza. Va esclusa l’ammissibilità di controlli prolungati, costanti o indiscriminati.

Dopo la cessazione del rapporto di lavoro, il datore di lavoro è tenuto a rimuovere gli account riconducibili ai lavoratori, previa disattivazione degli stessi effettuata in modo da impedire la ricezione di messaggi indirizzati all’account in oggetto, contestualmente deve adottare un sistema automatico per informare i terzi e indicare loro indirizzi alternativi verso cui inoltrare le comunicazioni rivolte al Titolare del trattamento[9].

Recenti pronunce del Garante, oltre che sentenze della giurisprudenza nazionale ed europea, hanno confermato tali posizioni[10].

b.    Dispositivi aziendali geolocalizzati

Secondo l’Ispettorato Nazionale del lavoro[11], i dispositivi aziendali muniti di sistemi di geolocalizzazione satellitare generalmente non sono indispensabili per l’adempimento della prestazione lavorativa e, se utilizzati indistintamente e genericamente da tutti i lavoratori, possono fornire al datore di lavoro una serie di dati sull’ubicazione geografica dei medesimi e, quindi, riconducibili – direttamente o indirettamente – ai lavoratori, con la possibilità di consentire al datore di effettuare anche monitoraggi e controlli sulla geolocalizzazione degli incaricati (si pensi a smartphone e veicoli aziendali condivisi o all’utilizzo di badge per il conteggio delle ore lavorative). In questo caso, il datore di lavoro, per agire in modo legittimo, è vincolato alla stipula dell’accordo sindacale o a richiedere l’autorizzazione preventiva. Solo eccezionalmente invece (per categorie particolari di lavori o per obblighi di legge), tali dispositivi costituiscono strumenti di lavoro a tutti gli effetti e, cioè, quando sono impiegati personalmente da ciascun lavoratore per la concreta ed effettiva esecuzione della prestazione lavorativa (si pensi a tablet, smartphone o veicoli attribuiti specificamente al singolo lavoratore).

Al di là dei casi di preventivo accordo o autorizzazione, secondo il Garante[12]è necessaria in ogni caso l’adozione di specifiche misure di sicurezza. In particolare, il datore di lavoro deve informare adeguatamente i lavoratori geolocalizzabili, specificando finalità e modalità del trattamento e tempi di conservazione dei dati raccolti. I veicoli geolocalizzati devono essere contraddistinti da vetrofanie, alla stregua del cartello indicativo della videosorveglianza. È opportuno che il datore di lavoro definisca una policy aziendale che delinei le modalità di accesso a tali tipologie di dati e di controllo dei dispositivi geolocalizzati e dei relativi utenti che ne fanno uso.

La posizione geografica dei dispositivi aziendali non può essere monitorata in modo continuato, ma solo nel momento di utilizzo dei medesimi per l’esecuzione della prestazione lavorativa. Nel rispetto dei princìpi di pertinenza, non eccedenza e minimizzazione, sui display di tablet e smartphone aziendali deve essere presente un’icona indicativa dell’attività/inattività della funzione di geolocalizzazione, soprattutto durante le pause lavorative, dandone comunicazione ai lavoratori o, in alternativa, un sistema di oscuramento dell’ubicazione geografica dei lavoratori, decorso un tempo di inattività dell’utente.

Il datore deve preoccuparsi di nominare gli incaricati che possono avere accesso a tali tipologie di dati e nominare come responsabili esterni i fornitori dei software sui quali vengono conservati i dati o dei servizi di assistenza tecnica che possono accedere alle informazioni.

Per impostazione predefinita, tali software devono raccogliere e conservare solo i dati personali strettamente necessari per le finalità per cui sono utilizzati tali dispositivi.

Il datore di lavoro, infine, è tenuto a dare atto, all’interno del registro dei trattamenti (art. 30 Reg. UE) della presenza di tali operazioni di trattamento di dati personali, in forza delle peculiarità evidenziate; egli, inoltre, è obbligato a effettuare una valutazione d’impatto (Data Protection ImpactAssessment) sulla sicurezza di un simile trattamento di dati, analizzandone gli eventuali rischi per i diritti e le libertà degli interessati in base alle misure di sicurezza concretamente adottate[13].

c.    Uso dei sistemi di videosorveglianza

Anche il tema dell’uso di sistemi di videosorveglianza in ambito aziendale è strettamente legato alla disciplina in materia di protezione dei dati personali, oltre che alla disciplina sul controllo a distanza dei lavoratori di cui alla l. 300/1970.

Il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza non gode di legislazione specifica e, pertanto, trovano applicazione le disposizioni generali in tema di protezione dei dati personali, rappresentate dal Reg. Ue 2016/679 e dal d.lgs. 196/2003, come modificato dal d.lgs. 101/2018.

Alla disciplina generale, negli anni, si sono aggiunti diversi provvedimenti specifici del Garante per la protezione dei dati personali[14], fino ad arrivare al Provvedimento in materia di videosorveglianza dell’8 aprile 2010[15].

È essenziale chiarire subito che il datore di lavoro non può procedere all’istallazione di telecamere per sorvegliare l’attività dei propri dipendenti, se non per indispensabili necessità di tutela e sicurezza degli stessi (in caso di svolgimento di attività pericolose che richiedono in modo inevitabile il monitoraggio degli addetti ai lavori).

Pur se installate per scopi leciti (tutela del patrimonio aziendale, esigenze organizzative e produttive, sicurezza sul lavoro), simili strumenti possono consentire al datore di lavoro (anche solo in modo incidentale o sporadico) di effettuare dei controlli a distanza sui lavoratori. Ragion per cui, ai fini del corretto utilizzo di simili strumenti, è sempre necessario che il datore di lavoro sia munito del preventivo accordo sindacale o dell’autorizzazione dell’Ispettorato del Lavoro. In assenza di uno dei due requisiti appena indicati, le telecamere già installate dovrebbero essere coperte e non funzionanti; diversamente, le registrazioni e la conservazione delle immagini riprese costituiscono un illecito trattamento di dati personali.

Le operazioni di raccolta, registrazione, conservazione, estrazione, o consultazione delle immagini ottenute tramite sistemi di videosorveglianza costituiscono forme di trattamento dei dati personali ai sensi dell’art. 4 Reg. UE 2016/679. Occorre, però, valutare come gli innovativi principi del GDPR, di accountability ed in generale di responsabilizzazione, abbiano inciso sulla disciplina di questo particolare tipo di trattamento dei dati personali.

                  i.    L’analisi dei rischi e la valutazione di impatto

Com’è noto, con il Reg. UE 2016/679 si è passati da una normativa focalizzata sui diritti dell’interessato, ad una opposta che ha come chiave di volta i doveri del titolare e del responsabile del trattamento: sono questi ultimi a dover predisporre tutti gli accorgimenti necessari a proteggere i dati personali oggetto di trattamento[16].

Il vecchio d.lgs. 196/2003 prevedeva l’effettuazione di un’analisi del rischio e l’adozione di misure per ridurre i rischi individuati. Oggi, ai sensi dell’art. 35, par. 1, Reg. UE 2016/679, il titolare del trattamento è tenuto a realizzare una valutazione d’impatto sulla protezione dei dati quando la tipologia di trattamento “… può presentare un rischio elevato per i diritti e le libertà delle persone fisiche …” “… allorché preved[a] in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità […]”.

Con il Provvedimento n. 467 dell’11 ottobre 2018[17], il Garante ha individuato un elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto, riportate nell’allegato 1[18]del medesimo provvedimento, al cui punto 5 figurano anche i “Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”[19].

Il titolare ed il responsabile del trattamento, di concerto con il responsabile per la protezione dei dati personali (ove presente), devono valutare, dunque, l’impatto che il sistema di videosorveglianza ha sui dati personali trattati. In particolare devono valutare la natura, la finalità e il contesto di tale trattamento; devono individuare se il trattamento riguardi clienti e/o lavoratori; se il trattamento comporti anche la registrazione e la conservazione su server e la durata di tale conservazione; se ricomprende zone estranee alla tutela del patrimonio aziendale; se garantisce l’accesso ai dati nelle 24 ore prima dell’integrale cancellazione (vedi infra); se l’accesso alle riprese è consentito solo a personale autorizzato.

I dati raccolti devono essere protetti con idonee misure di sicurezza, con pochi rischi di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta. Il datore di lavoro deve verificare costantemente chi accede alle immagini o controlla i sistemi di ripresa e può autorizzare esclusivamente l’eventuale incaricato/delegato alla visione delle immagini, senza avvalersi di altri collaboratori esterni.

Tra le novità di maggior rilievo introdotte dal GDPR vi è sicuramente l’obbligo della tenuta del Registro dei Trattamenti[20], che serve a censire in maniera ordinata la gestione dei dati personali, oltre che a dimostrare l’accountabilityaziendale: l’attività di videosorveglianza rientra certamente tra gli elementi da inserire nel registro dei trattamenti, assieme all’indicazione delle misure di sicurezza tecniche ed organizzative adottate.

                 ii.    Conservazione delle immagini, misure di sicurezza e informativa

La raccolta dei dati personali mediante sistemi di videosorveglianza fa sorgere l’esigenza di individuare compiutamente, nel contesto aziendale, le figure in grado di interfacciarsi con gli stessi.

Il GDPR individua la figura del “controller”, ossia il titolare del trattamento; del “processor”, ossia il responsabile del trattamento; e del “third party”, il terzo[21]. Il nuovo art. 2 quaterdeciesdel Codice Privacy, introdotto dal legislatore delegato con il d.lgs. 101/2018, consente al titolare e al responsabile di prevedere, sotto la loro responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità[22].

Questa premessa è necessaria per chiarire che il datore di lavoro che tratta dati tramite sistemi di videosorveglianza è tenuto a nominare per iscritto i soggetti designati (o incaricati), ossia i soggetti interni all’azienda che hanno accesso alle immagini ed ai locali dove sono situate le postazioni di controllo in grado di accedere ai diversi livelli, oltre che a istruirli adeguatamente sulle modalità del trattamento dei dati.

A questi possono aggiungersi i responsabili del trattamentoexart. 28 del GDPR, ossia quei soggetti esterni all’azienda che possono avere accesso alle immagini, in primis la società che si occupa della manutenzione dell’impianto.

Particolare menzione merita anche l’amministratore di sistema, ossia l’esperto chiamato a svolgere quelle delicate funzioni che comportano la capacità di accedere a tutti i dati in transitano sulle reti aziendali. Il GDPR non interviene sul punto, per cui dovrebbero continuare ad applicarsi i provvedimenti del Garante[23]. Per quel che qui interessa, il titolare deve designare individualmente per iscritto i singoli amministratori di sistema, con l’elenco delle funzioni ad essi attribuite; infine, deve informare i lavoratori sull’identità degli stessi, qualora essi trattino i loro dati[24].

In merito ai tempi di conservazione delle immagini riprese dal sistema di videosorveglianza, i principi di proporzionalità e di limitazione della conservazione[25], consentono di ritenere che la stessa debba essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, tranne nei casi in cui ricorrano speciali esigenze di ulteriore conservazione in relazione[26].

Come ampiamente chiarito, spetta al datore di lavoro valutare i rischi per i diritti e le libertà degli interessati e individuale le misure previste per attenuare tali rischi. I dati raccolti mediante sistemi di videosorveglianza devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini[27].

Infine, tutti i soggetti esterni al contesto aziendale (es. visitatori, clienti), devono essere preventivamente informati circa la presenza di un sistema di videosorveglianza e circa le finalità per cui è attivo tale sistema. Il Provvedimento del Garante dell’8 aprile 2010 consente di utilizzare un’informativa breve corredata da immagini, da esporre prima del raggio di azione delle telecamere[28]; tale informativa, però, deve rinviare, a sua volta, a un’informativa completa, redatta con tutti i requisiti richiesti dall’art. 13 del GDPR.

L’informativa breve deve essere esposta non solo in caso di installazione di telecamere all’esterno dei locali aziendali, ma anche nei casi in cui le esse siano presenti all’interno dei locali medesimi o nelle relative pertinenze.

Conclusioni

In conclusione, incombono sul datore di lavoro numerosi adempimenti volti al rispetto della normativa giuslavoristica e di quella in materia di protezione dei dati personali. Essenziale diventa, dunque, la costruzione di un vero e proprio progetto di conformità in grado di garantire al datore di lavoro non solo il pieno adempimento di tutto ciò che è attualmente previsto dalle citate normative ma, altresì, la tutela dei diritti dei lavoratori e di tutti i soggetti che ruotano attorno al contesto aziendale. La corretta gestione di un simile progetto, anche se dispendiosa in termini di risorse, può senza dubbio costituire una fonte di vantaggi e di garanzie per l’intera azienda in termini di trasparenza, correttezza, conformità e buona reputazione.


[1]D’Orazio R., La tutela dei dati personali nel rapporto di lavoro, in Mantalero A., Poletti D. (a cura di), Regolare la Tecnologia: il Regolamento UE 2016/679 e la protezione dei dati personali. Un Dialogo tra Italia e Spagna, pp. 423 ss.

[2]Sui rapporti tra le due normative si veda, in particolare: Tullini P., Controlli a distanza e tutela dei dati personali del lavoratore, Torino, Giappichelli, 2017; Colapietro C., Tutela della dignità e riservatezza del lavoratore nell’uso delle tecnologie digitali per finalità di lavoro, in Giorn. dir. lav. rel. ind., 2017, p. 439.

[3]Bonacossa P., Datori di lavoro, nuove regole per effettuare controlli in linea con la privacy, in Privacy – La nuova disciplina europea – Guida normativa, Il Sole 24 Ore.

[4]Per una specifica ricostruzione: Soffientini M., Privacy. Protezione e trattamenti dati, Ipsoa, 2018.

[5]Non sono dunque ammesse riprese finalizzate alla verifica dell’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa. I dati raccolti per i fini consentiti dalla legge, non possono essere utilizzati per finalità diverse o ulteriori (come, ad esempio, pubblicità, analisi dei comportamenti di consumo), salvo le esigenze di polizia o di giustizia.

[6]Con la Circolare INL n. 5/2018, avente ad oggetto “Indicazioni operative sull’installazione e utilizzazione di impianti audiovisivi e di altri strumenti di controllo ai sensi dell’art. 4 della legge n. 300/1970”, l’Ispettorato Nazionale del lavoro ha chiarito che la valutazione in merito alla richiesta va concentrata sulla effettiva sussistenza delle ragioni legittimanti l’adozione del provvedimento, tenendo presente in particolare la specifica finalità per la quale viene richiesta la singola autorizzazione; che nella richiesta, l’azienda non ha l’obbligo di specificare il posizionamento predeterminato e l’esatto numero delle telecamere da installare; che, nel caso la richiesta venga motivata con esigenze di “tutela del patrimonio aziendale”, l’autorizzazione può essere accordata solo qualora non sia troppo limitativa dei diritti dei lavoratori; e che l’accesso alle immagini in tempo reale deve essere autorizzato solo in casi eccezionali debitamente motivati

[7]Tuttavia, Cass. 31.3.2016, n. 13057, specifica che qualora “siano attivate caselle di posta elettronica – protette da password personalizzate – a nome di uno specifico dipendente, quelle «caselle» rappresentano il domicilio informatico proprio del dipendente […]. La casella rappresenta uno «spazio» a disposizione – in via esclusiva – della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza”.

[8]Garante per la protezione dei dati personali, Lavoro: le linee guida del Garante per posta elettronica e internet, Gazzetta Ufficiale n. 58 del 10 marzo 2007, doc. web n. 1387522.

[9]Da ultimo: Garante per la protezione dei dati personali, Provvedimento 28 marzo 2018, Registro dei provvedimenti

  1. 404 del 28 giugno 2018, doc. web n. 9038235; Provvedimento del 5 marzo 2015, Registro dei provvedimenti
  2. 136 del 5 marzo 2015, doc. web n. 3985524.

[10]Garante per la protezione dei dati personali, Trattamento di dati personali effettuato sugli account di posta elettronica aziendale – 1° febbraio 2018, Registro dei provvedimenti n. 53 del 1° febbraio 2018, doc. web n. 8159221; Corte europea dei diritti dell’Uomo, Grande Camera, 5 settembre 2017 n. 61496/08.

[11]Ispettorato Nazionale del Lavoro, Circolare n. 2/2016; Lambrou M., Geolocalizzazione di veicoli aziendali, in Diritto & Pratica del Lavoro, 5/2018, p. 300; Bottini A., Necessaria l’autorizzazione per il sistema Gps sull’auto, in Il Sole 24 Ore, 9 novembre 2016.

[12]Per la prima pronuncia dell’Autorità competente si veda: Garante per la protezione dei dati personali,Sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro – 4 ottobre 2011, Registro dei provvedimenti n. 370 del 4 ottobre 2011, doc. web n. 1850581; più di recente, sullo stesso tema: Garante per la protezione dei dati personali, Localizzazione di veicoli aziendali – 28 giugno 2018, Registro dei provvedimenti n. 396 del 28 giugno 2018, doc. web n. 9023246; Verifica preliminare. Trattamento di dati personali mediante un sistema di localizzazione geografica dei dispositivi aziendali – 18 aprile 2018, Registro dei provvedimenti n. 232 del 18 aprile 2018, doc. web n. 9358266; provv. 24 maggio 2017; Verifica preliminare. Trattamento dei dati personali derivanti dalla rilevazione di coordinate satellitari relative alla geolocalizzazione di apparati elettronici di tipo radio mobili e veicolari – 24 maggio 2017, Registro dei provvedimenti n. 247 del 24 maggio 2017, doc. web n. 6495708; Soffientini M., Geolocalizzazione e impatto privacy, in Diritto & Pratica del Lavoro, 15/2017, p. 889.

[13]Garante per la protezione dei dati personali, Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 – 11 ottobre 2018, Registro dei provvedimenti n. 467 dell’11 ottobre 2018, doc. web n. 9058979.

[14]Un primo provvedimento è stato adottato il 29 novembre 2000, pubblicato sul Bollettino del Garante n. 14/15, p. 28, con il quale si forniva un decalogo relativo agli adempimenti, alle garanzie ed alle tutele necessarie a disciplinare l’utilizzo dei sistemi di sorveglianza in base ai principi della legge sulla protezione dei dati personali 31 dicembre 1996, n. 675 (Garante per la protezione dei dati personali, Videosorveglianza – Il decalogo delle regole per non violare la privacy – 29 novembre 2000, doc. web n. 31019). Successivamente, con il Provvedimento generale del 29 aprile 2004, il Garante è intervenuto per aggiornare ed integrare il provvedimento del 29 novembre 2000, al fine di conformare i trattamenti di dati personali mediante videosorveglianza al Codice in materia di protezione dei dati personali, entrato in vigore il 1° gennaio 2004, e più precisamente ai principi di liceità, necessità, proporzionalità e finalità (Garante per la protezione dei dati personali, Provvedimento generale – 29 aprile 2004, doc. web n. 1003482).

[15]Garante per la protezione dei dati personali, Provvedimento in materia di videosorveglianza – 8 aprile 2010, doc. web n. 1712680, che ha sostituito il Provvedimento del 29 aprile 2004, ritenuto insoddisfacente in considerazione dei numerosi interventi legislativi in materia e dell’ingente quantità di quesiti, segnalazioni, reclami e richieste di verifica preliminare sottoposti all’Autorità nel corso degli anni.

[16]L’art. 25 del Reg. UE 2016/679 così statuisce: “… il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. … Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.

[17]Garante per la protezione dei dati personali, Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 – 11 ottobre 2018, doc. web n. 9058979, pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018,

[18]Garante per la protezione dei dati personali, ALLEGATO 1 Elenco delle tipologie di trattamenti soggetti al meccanismo di coerenza da sottoporre a valutazione di impatto.

[19]Il Garante per la protezione dei dati personali rinvia alle Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato”

ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017 dal Gruppo di Lavoro ex art. 29 (oggi Comitato europeo per la protezione dei dati o European Data Protection Board), come modificate e adottate da ultimo il 4 ottobre 2017, WP 248 rev.01. Inoltre è comunque necessario procedere a valutazione per le operazioni di videosorveglianza esistenti già verificate da un’autorità di controllo o dal responsabile della protezione dei dati, le cui condizioni di attuazione siano mutate rispetto alla prima verifica.

[20]L’art. 30, par. 5, GDPR esonera dall’obbligo di tenuta del RdT le imprese con meno di 250 dipendenti a meno che“… il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”. Ma, comunque, la tenuta del RdT sarebbe proficua anche per quelle aziende per le quali non costituisce un obbligo formale.

[21]Art. 4, nn. 7, 9, e 10 del Reg. Ue 2016/679, “… titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri; … responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile …”.

[22]È la c.d. figura del “soggetto designato”. Ciò non toglie che, anche alla luce degli artt. 28, par. 3, lett. b), 29, e 32, par. 4, GDPR, in tema di misure tecniche e organizzative di sicurezza, i titolari ed i responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante. Ciò, in quanto Il vecchio Codice Privacy, all’art. 4, identificava gli incaricati del trattamento con “le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta”.

[23]Garante per la protezione dei dati personali, Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008, G.U. n. 300 del 24 dicembre 2008, così modificato in base al provvedimento del 25 giugno 2009, doc. web n. 1577499.

[24]Sul punto, cft. P. Beraldi, Amministratore di sistema, chi è, che fa e la nomina alla luce del Gdpr,Agenda Digitale, 4 luglio 2018.

[25]L’art. 5, par. 1, lett. e), GDPR espressamente prevede: “I dati personali sono … conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»)”.

[26]In particolare, per festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria. In tal caso è necessario che il titolare del trattamento rediga specifica relazione tecnica motivata sulle ragioni che giustificano l’allungamento dei tempi di conservazione. Prima dell’entrata in vigore del GDPR, a seguito di richiesta di verifica preliminare, il Garante ha autorizzato in via eccezionale la conservazione delle immagini raccolte attraverso l’impianto di videosorveglianza aziendale fino a venti giorni, sussistendo specifiche esigenze di sicurezza correlate al rischio concreto del verificarsi di eventi dannosi (Verifica preliminare. Allungamento del periodo di conservazione delle immagini raccolte da sistemi di videosorveglianza – 31 maggio 2017, doc. web n. 6630601). Allo stesso tempo, il Garante ha sanzionato un’azienda che effettuava la conservazione delle immagini per un periodo di sette giorni senza che il titolare del trattamento avesse rappresentato esigenze specifiche (Sistema di videosorveglianza all’interno di un bar – 18 settembre 2014, doc. web n. 3500271).

[27]Le misure minime di sicurezza, ovviamente, variano a seconda delle esigenze; l’importante prevedere diversi livelli di visibilità e trattamento delle immagini, misure adeguate per la cancellazione e la prevenzione contro l’accesso abusivo di cui all’art. 615 ter c.p..

[28]Questa deve riportare, quantomeno, l’indicazione del titolare del trattamento e delle finalità.


Autori

it_IT