Sorveglianza dei luoghi di lavoro: l’approccio di privacy by design

di Stefano Gazzella - Of Counsel Area Legale, Data Protection Officer, Giornalista

Quale che sia la strumentazione aziendale che si voglia impiegare per la sorveglianza dei luoghi di lavoro, sicurezza e privacy devono essere entrambe realizzate in modo strategico. Motivo per cui è fondamentale adottare un approccio di privacy by design da parte dell’organizzazione.

L'ampia offerta di tecnologie per la sorveglianza è un’opportunità per aumentare la sicurezza dei luoghi di lavoro tanto negli aspetti di safety che di security. Il più delle volte, sono adottate come presidi del Sistema di Gestione della Sicurezza sul Lavoro, andando a valorizzare gli adempimenti previsti o da norme cogenti o di carattere volontario, quali rispettivamente il TUSL (D.lgs. 81/08) o la UNI ISO 45001:2018. Se però da un lato rafforzano la sicurezza dei luoghi di lavoro, possono aprire la strada ad incertezze – e dunque: rischi – in relazione alle attività svolte sui dati personali di lavoratori e visitatori. Motivo per cui è necessario coinvolgere il DPO – o altra funzione privacy dell’organizzazione – nella selezione e nell’implementazione di soluzioni che possano garantire la protezione dei dati sin dal momento della loro progettazione.

Cosa serve

Quel che occorre è che i diversi sistemi possano “parlare” fra di loro, dal momento che all’integrazione formale già prevista dalla struttura di alto livello (HLS) in cui si innestano i diversi sistemi è necessario però affiancare più tassonomie di rischio, analisi e decisioni, riesami e controlli di gestione. La governance deve trovare un’espressione ad ogni livello dell’organizzazione, prevedendo una convergenza e valutando così gli effetti trasversali di ciascuna misura che si intende inserire e i relativi correttivi da applicare. Ad esempio, la sorveglianza può certamente rafforzare l’ambito del MOGC 231 in relazione alla prevenzione di incidenti ed infortuni, ma incide anche sul rischio di controlli a distanza dei lavoratori vietati dall’art. 4 Statuto dei Lavoratori, nonché di violare la normativa in materia dei dati personali. Il tutto deve perseguire l’esigenza di contemperare più diritti fondamentali secondo il criterio di proporzionalità in ossequio al considerando n. 4 GDPR.

Privacy by design 

Questo è il motivo per cui un approccio di privacy by design consente al datore di lavoro di ragionare anche come titolare del trattamento di tutti quei dati comunque rilevati dai sistemi di sorveglianza, sia in modo diretto (es. rilevazione immagini) che indiretto (es. raccolta dei dati di impiego di uno strumento). La sorveglianza è l’ambito in cui la protezione dei dati personali rappresenta, più che un fil rouge, un vero e proprio nodo gordiano da dover risolvere. E come da tradizione, questo avviene attraverso il taglio, ma a differenza della leggenda alessandrina si compie con le giuste domande poste a riguardo. Taglio brutale iniziale, in cui si deve determinare se vengono raccolti o meno dati di natura personale, tenendo conto anche della capacità identificativa indiretta degli stessi. Dopodiché, il metodo di chiedersi quali informazioni raccolga un determinato sistema, se queste possano avere una capacità identificativa e se sia possibile optare per differenti modalità di raccolta e impiego delle stesse per tutelare la sicurezza e i luoghi di lavoro può già rivelarsi sufficiente per selezionare o preferire una determinata tecnologia. Ovviamente, nel momento in cui questa dev’essere poi messa in opera, è essenziale considerare ulteriori aspetti, fra cui principalmente quello della sicurezza – intesa anche come protezione dalla manipolazione e garanzie di continuità operativa – che compone il tracciato della valutazione d’impatto privacy. 

Valutazione d’impatto 

Nella maggior parte dei casi lo svolgimento di una valutazione d’impatto sarà infatti obbligatorio, dal momento che si possono incontrare più criteri per identificare un rischio elevato dei trattamenti: monitoraggio sistematico degli interessati, coinvolgimento di interessati vulnerabili, applicazione o uso di soluzioni o tecnologie innovative. Qualora non obbligatoria, la sua conduzione rappresenta comunque lo strumento principale di accountability a disposizione dell’organizzazione per dimostrare la propria capacità di rispettare la normativa in materia di protezione di dati personali e, collateralmente, adempiere anche ad ulteriori obblighi di legge che vanno a fondare la liceità delle attività di trattamento.

Per ambiti complessi come quello della sorveglianza dei luoghi di lavoro, un approccio di metodo orientato secondo privacy by design non può certo essere inteso come un nice-to-have ma, al contrario, è un must-have fondamentale sia per i fornitori che per gli utilizzatori di tali sistemi e soluzioni.