videosorveglianza e gdpr

La nuova normativa europea in tema di privacy contenuta nel GDPR (Regolamento UE n. 2016/679 in vigore dal 25 maggio) ha rivoluzionato molti aspetti della gestione dei dati relativi alla forza lavoro, uno fra tutti il tema dei controlli a distanza e della videosorveglianza.

Il legislatore italiano è peraltro intervenuto con il Dlgs. n. 101/2018 (in vigore dallo scorso 19 settembre) per adeguare il Codice della privacy (Dlgs. n. 196/2003) alla riformata normativa comunitaria.

Vediamo nel dettaglio quali limiti e adempimenti impone la “nuova privacy” ai datori di lavoro che intendono utilizzare sistemi di videosorveglianza.

Consulta lo speciale Privacy 2018

Videosorveglianza e GDPR: quando sono leciti i controlli

Secondo il regolamento UE il trattamento dei dati personali è consentito se, tra le altre condizioni, è necessario per il perseguimento di un legittimo interesse del datore di lavoro, a patto che l’esigenza aziendale non prevalga su interessi, diritti e libertà fondamentali del lavoratore. In quest’ottica è consentito ad esempio installare un impianto di videosorveglianza per ragioni di sicurezza e tutela del patrimonio aziendale.

In assenza della condizione citata (e di tutte le altre richiamate dall’articolo 6 del Regolamento) il datore può trattare i dati ottenuti dai sistemi di videosorveglianza solo previo consenso del lavoratore (che può tuttavia revocare in qualsiasi momento).

E’ bene precisare che i controlli a distanza, oltre a rispettare le norme comunitarie e nazionali in materia di privacy, devono avvenire in osservanza dello Statuto dei lavoratori (art. 4 Legge n. 300/70).

Leggi anche “GDPR: i passi per adeguarsi al Regolamento sulla Privacy”

Videosorveglianza e GDPR: informativa al lavoratore

La normativa sulla privacy impone che al lavoratore venga fornita un’apposita informativa prima del trattamento dei suoi dati personali. Di conseguenza, la consegna del documento (e la firma del dipendente per ricevuta ed eventuale consenso qualora richiesto) deve avvenire in data antecedente all’instaurazione del rapporto di lavoro.

Nel documento dovrà essere indicata anche l’esistenza di sistemi di videosorveglianza, dal momento che il Regolamento impone che nell’informativa si menzionino “eventuali trattamenti specifici” dei dati personali. E’ altresì necessario indicare le ragioni che giustificano l’installazione delle apparecchiature, finalizzate al perseguimento del “legittimo interesse” del datore richiesto come condizione di liceità (di cui si è parlato poc’anzi).

Nei casi in cui il trattamento dei dati è possibile solo previo consenso del lavoratore, l’informativa dovrà specificare che lo stesso è revocabile in qualsiasi momento.

Videosorveglianza e GDPR: la valutazione di impatto

Il GDPR (art. 35) dispone che nei casi in cui il trattamento dati personali, in particolare qualora avvenga con l’utilizzo di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà dei lavoratori, il datore deve preventivamente condurre la cosiddetta “valutazione di impatto”. In sostanza, è una procedura che permette di valutare e dimostrare la conformità del trattamento dati con le norme competenti in materia.

Con provvedimento n. 467 dell’11 ottobre 2018 il Garante della privacy ha fornito un elenco di trattamenti soggetti al requisito della valutazione d’impatto. Tra questi figurano (punto 5) i trattamenti effettuati nell’ambito del rapporto di lavoro con sistemi tecnologici (in particolare apparecchiature di videosorveglianza e geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dei dipendenti.

Stando alle Linee guida in materia di valutazione d’impatto adottate il 4 aprile 2017 dal cosiddetto “Gruppo di lavoro articolo 29” oggi sostituito dal Comitato europeo per la protezione dei dati, esistono una serie di criteri al ricorrere dei quali è opportuno che il datore proceda alla valutazione:

  • Monitoraggio sistematico, da intendersi come quel trattamento utilizzato per osservare, monitorare o controllare gli interessati, inclusi i dati raccolti tra le reti internet o la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • Dati relativi a soggetti vulnerabili, che possono includere minori, lavoratori dipendenti o anziani, pazienti, richiedenti asilo;
  • Utilizzo di nuove soluzioni tecnologiche.

Secondo le linee guida un trattamento dati (come la videosorveglianza) che soddisfi almeno due dei criteri citati dev’essere sottoposto alla valutazione d’impatto, indipendentemente dalle misure che l’azienda ha deciso di adottare.

Potrebbero interessarti i seguenti volumi:

Come applicare il GDPR e il codice privacy negli studi e nelle aziende

Come applicare il GDPR e il codice privacy negli studi e nelle aziende

Roberta Rapicavoli, 2018, Maggioli Editore

Dal 25 maggio 2018 trova piena applicazione il Regolamento generale sulla protezione dei dati personali: si tratta del Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation, direttamente applicabile negli Stati membri UE. A partire dalla predetta data tutti...



Manuale operativo del D.P.O.

Manuale operativo del D.P.O.

Michele Iaselli, 2018, Maggioli Editore

Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali rientra sicuramente la previsione del Data Protection Officer (DPO) o responsabile della protezione dei dati (RPD), figura di indubbio rilievo designata in funzione delle qualità professionali, in particolare...



La nuova privacy

La nuova privacy

Nadia Arnaboldi, 2018, Maggioli Editore

Con il GDPR – definitivamente applicabile in tutti i paesi UE dal 25 maggio 2018 – ed il conseguente DLgs 10 agosto 2018, n. 101, che ha adeguato la normativa nazionale a quella europea, intervenendo sul DLgs 30 giugno 2003 n. 196 (Codice Privacy), la protezione dei dati personali diventa...



© RIPRODUZIONE RISERVATA


SCRIVI UN COMMENTO

Please enter your comment!
Inserisci il tuo nome