Il DPO alle prese con la videosorveglianza

di Stefano Gazzella - Privacy Officer, Data Protection Officer, Responsabile Comitato Scientifico Assoinfluencer

L’azione del DPO nei confronti dei sistemi di videosorveglianza incontra la necessaria complessità delle intersezioni fra normativa giuslavoristica e in materia di protezione dei dati personali. Motivo per cui ci sono alcuni elementi da attenzionare, in particolare nello svolgimento dei compiti propri della funzione.

Quando si parla di sistemi di videosorveglianza si rievoca uno dei primi strumenti di controllo contemplati dall’art. 4 L. 300/1970 (Statuto dei lavoratori). Ma al di là del momento un po’ amarcord, fornisce alcuni spunti per comprendere che alcuni principi fondamentali sono oramai consolidati nel tempo. Uno di questi, ad esempio, è la pacifica inderogabilità della procedura di garanzia prevista dal primo comma (accordo sindacale o autorizzazione INL territorialmente competente), per cui a nulla serve acquisire consensi dei lavoratori se non a rendere evidente che l’applicazione della norma è stata affrontata in modo tutt’altro che corretto. Un altro è il concetto di potenziale controllo a distanza, spesso poco chiaro e non superabile da una mera dichiarazione di intenti datoriale.

Videosorveglianza AI

Nel tempo i sistemi sono anche diventati “intelligenti”, ma questo aumento del presunto QI della tecnologia non deve essere pagato con un costo umano in termini di capacità di affrontare, in modo altrettanto intelligente, gli adempimenti normativi declinandoli in concreto. Motivo per cui nella compliance si deve affrontare la convergenza di più norme, evitando ragionamenti per camere stagne o per silos. E poiché la videosorveglianza consiste in un’attività di trattamento di dati personali, è necessario che il DPO non solo venga adeguatamente e tempestivamente coinvolto, ma che sia in grado di svolgere i propri compiti. È bene ricordare, infatti, che l’approccio di privacy by design impone di porre attenzione sin dal momento in cui sono determinati i mezzi del trattamento, e quindi dalla decisione di volersi avvalere di sistemi di videosorveglianza.

Ruolo del DPO

Nel novero dei propri compiti di informare e fornire consulenza, il DPO può fornire un supporto nell’attivazione delle procedure giuslavoristiche di garanzia in una fase preliminare rispetto all’attivazione ed installazione dei sistemi. Contestualmente, però, deve essere valutato anche l’obbligo o meno di condurre una valutazione d’impatto privacy, dal momento che è oggetto di specifico presidio da parte del DPO, sia nel momento di rendere pareri a riguardo, sia nel sorvegliarne lo svolgimento (art. 39 par. 1 lett. c) GDPR). L’intervento è – o meglio: dovrebbe essere - quello di facilitatore del processo di acquisto, in modo tale da introdurre strumenti il cui utilizzo può conformarsi alle prescrizioni normative, evitando un dispendio eccessivo di risorse e aspettative irrealizzabili causa divieti e limitazioni cogenti. 

È poi buona prassi che il DPO interagisca con altre funzioni aziendali, quali ad es. l’IT o il RSPP, al fine di svolgere quella valutazione di necessità e proporzionalità peraltro richiesta all’interno della valutazione d’impatto privacy. Inoltre, nel caso di installatori esterni, sarà il DPO a dover fornire alcune indicazioni operative, sempre non vincolanti ma comunque rese in forma di parere di cui i vertici dell’organizzazione dovranno tenere conto soprattutto nel caso in cui decidano di provvedere altrimenti.

Compiti di sorveglianza

Per quanto riguarda invece la declinazione dei compiti di sorveglianza in questo ambito, l’azione del DPO non può che riguardare in primo luogo l’espletamento delle procedure di garanzia, ma anche il rispetto nella fase operativa dei limiti e delle condizioni stabilite. Altrimenti, il precipitato è – e non potrebbe essere diversamente - un’illiceità del trattamento svolto attraverso tali sistemi, come peraltro confermato dal Garante Privacy stesso (ultimo provv. 12 febbraio 2026, n. 84). Attenzione però a non ridurre la portata della sorveglianza ai soli aspetti tecnologici, dal momento che nel novero dei mezzi del trattamento rientra anche il perimetro dei soggetti autorizzati all’accesso e l’attribuzione di ruoli e responsabilità.

Tutt’altro che secondario è infine l’ambito della sicurezza, dal momento che possono emergere delle vulnerabilità hardware o software tutt’altro che di poco impatto per l’organizzazione del titolare. Pertanto, già nel predisporre l’eventuale collegamento con i sistemi IT, l’interfaccia utente, o l’accesso da remoto, è bene tenere conto delle buone prassi e rispettare gli standard di sicurezza così da non introdurre fattori di rischio non controllati o non controllabili.

La consapevolezza circa l’apporto positivo che può avere il DPO nella videosorveglianza riguarda però non solo l’organizzazione ma anche chi esercita la funzione, che deve intraprenderla in modo proattivo, e soprattutto deve avere le competenze per ragionare tenendo conto dei punti di convergenza fra più domini normativi. Motivo per cui questi dovrà sempre curare la formazione continua e, soprattutto, valutare la possibilità di avvalersi in alcuni casi di una consulenza integrativa.