venerdì, 30 settembre 2022

Articoli

Videosorveglianza e privacy: l’esperta risponde

18/07/2022

di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy

Il 27 aprile scorso secsolutionforum2022 ha ospitato 40 minuti di question time dal vivo con l’Avv. Roberta Rapicavoli sul tema “videosorveglianza e privacy”. Le domande pervenute erano però talmente tante che non è stato possibile evaderle interamente in diretta. Continuiamo pertanto in questo numero a rispondere alle domande che sono pervenute dal pubblico.

Occorre prestare attenzione al luogo in cui vengono collocati i DVR? 

Tra i profili da considerare al fine di garantire un’adeguata protezione fisica del DVR vi è sicuramente il luogo in cui collocare il dispositivo. Così, ad esempio, la scelta di collocare il DVR in aree ad accesso non controllato senza adeguate misure di protezione, esporrebbe al rischio di furti, danneggiamenti e manomissioni del dispositivo e ne comprometterebbe, quindi, la sicurezza. E, ancora, l’eventuale posizionamento del DVR in luoghi che potrebbero subire allagamenti o, comunque, in aree esposte ad altre calamità naturali, non garantirebbe la sicurezza che occorre invece assicurare. Si deve quindi prestare attenzione al luogo in cui collocare i DVR, valutando i rischi che potrebbero compromettere la sicurezza di tali dispositivi e dei dati in essi presenti e adottando le necessarie misure di protezione

Se il sistema di videosorveglianza viene installato nei luoghi di lavoro, vi sono adempimenti particolari da considerare per non violare la normativa privacy?

Il datore di lavoro che intende installare, nei luoghi di lavoro, un sistema di videosorveglianza che consenta di rilevare o registrare immagini che possono riferirsi al proprio personale deve osservare gli obblighi stabiliti dalla normativa privacy per qualsiasi sistema analogo installato da società, professionisti o enti in altri contesti. Il fatto però che si tratti di un sistema destinato a operare negli ambienti di lavoro richiede l’osservanza di specifici obblighi. Un primo profilo da considerare è legato ai rischio derivante dal trattamento dei dati dei lavoratori tramite l’impiego del sistema di videosorveglianza; il Garante privacy, applicando le linee guida in materia di valutazione d’impatto sulla protezione dei dati del Gruppo di Lavoro Articolo 29 del 2017, ha infatti riportato tale fattispecie nell’elenco delle tipologie di trattamenti che, presentando un rischio elevato, devono essere sottoposti alla valutazione di impatto, adempimento previsto dall’art. 35 del GDPR, la cui inosservanza espone alle sanzioni stabilite dall’art. 83 della normativa di settore. Altro aspetto di rilievo, da considerare ai fini della liceità del trattamento, è legato alle garanzie richieste dall’art. 4 dello Statuto dei lavoratori nel caso in cui si voglia impiegare uno strumento – come la videosorveglianza - da cui derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori; secondo quanto stabilito dal citato art. 4, l’installazione di tali sistemi è ammessa esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, previo accordo con le rappresentanze sindacali o, in mancanza, previa autorizzazione dell’ispettorato del lavoro. Il mancato rispetto di quanto stabilito dall’art. 4 dello Statuto dei lavoratori, oltre ad esporre alle sanzioni e responsabilità prevista da tale normativa di settore, incide anche in termini di liceità del trattamento dei dati ed espone dunque alle sanzioni e alle responsabilità previste dalla normativa privacy. 

Se si decide di utilizzare sistemi di registrazione in cloud, come è possibile controllare la sicurezza delle immagini?

Come è noto, esistono sul mercato sistemi di videosorveglianza che offrono diverse modalità di registrazione delle immagini. 

La scelta spetta a chi decide di dotarsi del sistema di videosorveglianza. Se la decisione ricade su sistemi con modalità di registrazione che rientrano nel controllo di chi ha deciso di dotarsi della videosorveglianza (come nel caso di un DVR collocato nei locali della società), i profili legati alla sicurezza delle immagini registrate devono essere affrontati direttamente da tale soggetto. 

Nel caso invece in cui si decidesse di utilizzare un sistema che preveda un’esternalizzazione del sistema di registrazione delle immagini, ad esempio tramite un cloud, occorre verificare previamente se il fornitore del servizio cloud offra le necessarie garanzie (anche attraverso specifiche certificazioni di cui dovesse essere in possesso), esaminare la documentazione tecnica descrittiva del servizio ed accertare che contrattualmente il fornitore assumi i necessari obblighi rispetto all’individuazione e implementazione delle misure di sicurezza adeguate ai rischi. 

Per quanto tempo possono essere conservate le immagini?

In base al principio di responsabilizzazione, salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione, spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Come stabilito dal Comitato europeo per la protezione dei dati nelle sue linee guida 3/2019 e indicato anche nelle Faq sulla videosorveglianza del nostro Garante privacy, se la videosorveglianza è utilizzata, ad esempio, a protezione del patrimonio per rilevare atti vandalici, i dati dovrebbero essere cancellati dopo pochi giorni, arco di tempo normalmente sufficiente a raggiungere lo scopo perseguito con il trattamento (ossia individuare eventuali danni). Questo non vuol dire però che non sia possibile superare il limite di 24 o 48 ore. È possibile, infatti, per il titolare, fissare un termine di conservazione più ampio rispetto a quello di pochi giorni ma solo dopo un’attenta e documentata valutazione che consenta di giustificare le esigenze a fronte delle quali si è deciso, ad esempio, di conservare per 7 giorni o più. La valutazione spetta al titolare che dovrà, ovviamente, argomentare l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.



Tutti gli articoli