L’Europea Data Protection Board (a.k.a. EDPB) ha terminato il periodo di consultazione e revisione delle linee guida 3/2019 del 10 giungo 2019. Il documento è stato bollato come adottato e pienamente operativo il 29 gennaio 2020.
Queste linee guida, volendone fare un riassunto molto, molto stringato, chiariscono cosa si possa fare, o meno, nel trattare dati personali legati a strumenti di videosorveglianza, ripresa o cattura di immagini. Ivi inclusi i filmati e le foto di qualunque tipo. Il documento offre dei modelli di condotta, riprendendo anche casi specifici come la cartellonistica da esibire prima di accedere a locali videosorvegliati.
Le linee guida arrivano in un momento confuso per la videosorveglianza e la gestione dell’immagine in generale. L’introduzione del GDPR ha agitato un po’ le acque per l’implementazione della privacy nelle richieste di autorizzazione di impianti alla DTL e nei requisiti minimi da presentare in allegato all’accordo sindacale.
Benchè la disciplina delle autorizzazioni sia ancora sotto il cappello dello statuto dei lavoratori e la disciplina in merito al controllo a distanza, si unisce al balletto anche il provvedimento generale 8 aprile 2010 (ancora in vigore), il reg. Eu 679/2016 (il famigerato GDPR) e adesso anche le linee guida 3/2019 dell’EDPB.
Lo scoglio maggiore resta nella proporzionalità del trattamento (art. 5 lett. b del Reg. EU 679/2016) associato alla videosorveglianza, ossia la necessità del trattamento e quanto questo sia commisurato alla reale esigenza della società che lo pone in atto. In parole povere: deve esserci reale necessità. Non deve essere usato per scopi impropri. I tempi di conservazione stringenti e le persone adibite a monitorare il sistema devono essere nominate ed appositamente istruite in merito.
Bisogna tenere conto del fatto che la videosorveglianza passa attraverso la disciplina della privacy uscendone come trattamento molto invasivo e a rischio elevato. Questo fa sì che al Titolare del Trattamento vengano richieste misure di tutela aggiuntive, sia tecniche che organizzative.
Qualche piccola informazione sul contenuto delle linee guida, la trattazione non è, chiaramente, esaustiva né esaudiente.
Molte le indicazioni fornite, tra cui: niente più telecamere private che puntano su spazi pubblici, comuni o aree dei vicini di casa. Attenzione alle telecamere dei privati puntate sulle strade e sulle proprietà dei vicini di casa. Queste installazioni sono sicuramente illecite e il rischio delle sanzioni è elevato. Le telecamere finte sono escluse dalla disciplina del GDPR (ma non dal diritto del lavoro).
Attenzione alla divulgazione dei filmati e ai dati biometrici. Senza il consenso degli interessati le linee guida chiariscono che non sarà possibile divulgare i video raccolti sulla rete, da qualunque fonte essi vengano raccolti. In particolare se il filmato evidenzia particolari inclinazioni dei soggetti ripresi (abitudini, comportamenti ripetuti…).
Il riconoscimento facciale e la cattura dei dati biometrici sono sempre sorvegliati speciali, prosegue la nota. L’interessato ha diritto di accesso ai filmati e di ottenere informazioni sui sistemi che lo hanno ripreso. Ma anche di richiedere la cancellazione tempestiva dei tracciati che lo riguardano.
La gestione dei dati raccolti con la videosorveglianza richiede necessariamente una valutazione di impatto privacy (PIA) ed una valutazione di impatto sulla protezione dei dati (DPIA) specifica e accurata. Un sistema di protezione dell’hardware in cui vengono salvate le registrazioni con dei requisiti elevati e non trascurabili associato ad idonee procedure di sicurezza della password associata all’accesso a questi dati.
Inoltre, la persona o le persone adibite a monitorare l’andamento del sistema e visionare le registrazioni in caso di necessità devono essere nominate per iscrito e formate sul corretto trattamento dei dati. Sotto il profilo della governance troviamo anche l’obbligo di fornire informativa a tutti i lavoratori che transitano o lavorano nella sede di installazione dell’impianto.
E non dimenticate la cartellonistica! Deve essere aggiornata (un esempio è contenuto nelle stesse linee guida 3/2019), esposta prima di arrivare nella zona coperta da videosorveglianza e rispettare i requisiti minimi stabiliti dall’art. 13 del GDPR.
Ci sono tante cose da tenere sotto controllo quando si pensa di dotarsi di un tale sistema e tutte queste devono essere adottate prima di installare il sistema. Assolutamente prima. In ottemperanza al principio della Privacy by default e by design secondo quanto dice il caro GDPR, ma anche per evitare spiacevoli sorprese dall’ispettorato.
Tante discipline legali diverse implicano tante autorità di controllo diverse: disattendere questi adempimeti si può tradurre nell’avere la forma sbagliata di interesse della DTL, del Garante della Privacy, dell’Ispettorato del Lavoro, dai Sindacati e chi più ne ha più ne metta.