VIDEOSORVEGLIANZA E GEOLOCALIZZAZIONE – I 7 step necessari perché il tuo sistema sia conforme agli obblighi di legge


Prima di poter installare un impianto di videosorveglianza o geolocalizzazione, è necessario condurre una serie di attività per garantire la conformità al GDPR e allo statuto dei lavoratori.

Installare uno di questi impianti senza aver condotto PRIMA le attività di seguito riportate significherebbe violare le specifiche norme e condurre un trattamento illecito di dati, che potrebbe portare a gravi sanzioni e provvedimenti.

 

Vediamo, step by step, le attività in carico ad ogni soggetto, pubblico o privato, che intenda installare un sistema di questo tipo.

1. Privacy by design e privacy by default

Ricorrere a sistemi di videosorveglianza o geolocalizzazione in Azienda significa innanzitutto introdurre un nuovo trattamento di dati personali che deve essere analizzato e deve passare un periodo di transizione, prima di potersi trasformare in un effettivo trattamento.

Il primo adempimento dal GDPR consiste nell’implementazione delle misure tecniche ed organizzative a protezione dei dati già nella fase di progettazione. Privacy by design e by default (art. 25 del GDPR), significa per l’appunto “protezione dei dati fin dalla progettazione e per impostazione predefinita”.

Per questa ragione occorre scegliere strumenti che integrino misure necessarie a soddisfare i requisiti del GDPR e che consentano di trattare, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Ciò significa che l’Azienda dovrà determinare quali finalità intende perseguire e configurare il sistema in modo che il trattamento dei dati sia proporzionato e limitato a quanto concretamente perseguito.

In caso di controlli da parte dell’autorità Garante, è bene che il Titolare, secondo il principio di Accountability, sia in grado di dimostrare di aver analizzato gli impatti che il nuovo trattamento può avere sui dati personali dei soggetti interessati, quindi di aver svolto correttamente una Privacy by design & by default. Tale riprova può essere garantita munendosi di una proceduraaziendalee di unmodulodi implementazione della privacy by design e by default.

2. Valutazione del fornitore

Una delle prime scelte che l’Azienda dovrà compiere riguarda infatti il software e gli strumenti da utilizzare. Nella maggior parte dei casi la scelta ricadrà su un fornitore esterno.

Per questa ragione è necessario compiere un’attenta valutazione del fornitore, analizzando i diversi strumenti disponibili sul mercato.

Prima di scegliere il fornitore, l’Azienda dovrà chiedere evidenza di come il software risponde ai requisiti GDPR.

È consigliabile ricorrere ad un prodotto che può essere configurato in base alle necessità aziendali (potendo, per esempio, modificare i tempi di conservazione dei dati, anche in base alle diverse finalità).

3. Valutazione d'Impatto (DPIA)

Secondo l’articolo 35 del GDPR, è necessario svolgere una Valutazione d’Impatto (DPIA) quando è probabile che un trattamento “provochi un elevato rischio per i diritti e le libertà delle persone fisiche” ed in particolare nel caso in cui venga introdotta una nuova tecnologia di elaborazione dati.

La DPIA consente di valutare la proporzionalità e la necessità del trattamento rispetto alle finalità perseguite nonché a gestire i rischi per i diritti e le libertà degli interessati ad esso connessi, con l’individuazione dei medesimi e delle misure necessarie ad affrontarli.

La geolocalizzazione e la videosorveglianza dei lavoratori consistono in un trattamento di dati considerati particolarmente invasivi riguardo ai dipendenti, tanto che il Garante per la protezione dei dati personali lo ha ricompreso nell’elenco dei trattamenti ad elevato rischio per i quali la DPIA è obbligatoria.

Maggiori informazioni sui casi in cui è obbligatorio svolgere una DPIA: https://www.compet-e.com/dpia-le-tipologie-di-trattamenti-su-cui-e-obbligatorio-effettuarla/

4. Accordo sindacale / Istanza di Autorizzazione all’Ispettorato del Lavoro

Questo step è da considerare solo se la rilevazione di dati riguarda i lavoratori.

Dopo aver superato le fasi di Privacy by design, by default e DPIA, l’azienda potrà introdurre sistemi ma solo a condizione che sia raggiunto uno specifico accordo con le rappresentanze sindacali presenti in Azienda oppure, laddove esse non siano presenti o l’accordo non sia stato raggiunto, che sia richiesta e ottenuta l’apposita autorizzazione dell’Ispettorato del Lavoro.

L’Azienda dovrà essere in grado di redigere un documento che esponga in maniera dettagliata le concrete esigenze correlate all’uso dei nuovi sistemi e la proporzionalità tra tali esigenze e le specifiche funzionalità del sistema.

ATTENZIONE! L’eventuale installazione di tali strumenti prima del raggiungimento dell’accordo o dell’ottenimento dell’autorizzazione comporta la violazione dell’art. 4 dello Statuto dei lavoratori.

5. Registro dei Trattamenti

Dopo aver ottenuto l’autorizzazione o dopo aver condotto una DPIA soddisfacente, in base al caso, sarà quindi possibile trasformare il “trattamento potenziale” creato in fase di Privacy by Design e by default in un trattamento effettivo.

Il Registro dei Trattamenti è un adempimento richiesto dall’articolo 30 del GDPR. Sebbene non per tutti i soggetti sia obbligatorio redigerlo, è comunque consigliabile mantenere le informazioni sui trattamenti di dati effettuati, poiché, in caso di controllo dell’autorità Garante, il Titolare dovrà poter dimostrare di aver condotto tutte le valutazioni necessarie.

In questa fase sarà necessario dettagliare, fra le altre informazioni, le finalità del trattamento, le basi giuridiche a supporto, i tempi di conservazione, i soggetti coinvolti nel trattamento ecc…

6. Designazione dei soggetti coinvolti nel trattamento

Dopo aver censito il trattamento, sarà necessario produrre gli atti contrattuali di autorizzazione al trattamento dei dati nei confronti dei soggetti coinvolti nelle attività di trattamento.

Tali soggetti sono:

  • - I soggetti autorizzati: si tratta di soggetti (solitamente dipendenti) autorizzati dal titolare a trattare alcuni tipi di dati, in questo caso a compiere azioni sui dati di localizzazione o le immagini di videosorveglianza. È obbligatorio nominare un rappresentante addetto alla videosorveglianza scelto dai dipendenti. La visione delle registrazioni (salvo che venga effettuata dalle Forze dell’Ordine nell’ambito di indagini) potrà avvenire solo in presenza dell’addetto alla videosorveglianza scelto dai dipendenti.
  • - I Responsabili di Trattamento: i responsabili sono soggetti, solitamente esterni, che compiono parte dei trattamenti per conto del titolare. Essi devono essere designati dal Titolare con un apposito allegato contrattuale ai sensi dell’art. 28 del GDPR. L’Azienda dovrà ricorrere unicamente ad un fornitore che “presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell'interessato”.
  • - Gli Amministratori di sistema: sebbene non vengano esplicitamente citati nel GDPR, il Garante, con un provvedimento del 2008, ha enunciato chiare regole per la gestione dei log degli amministratori di sistema. L’amministratore di sistema è una figura professionale, interna o esterna, la cui attività è finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, avendo quindi la possibilità di vedere e compiere azioni sui dati raccolti. Per questa ragione anche l’amministratore di sistema, al pari del responsabile, dovrà essere autorizzato ai sensi dell’art. 28 del GDPR con riferimento al Provvedimento specifico. Nel d.lgs. 101/2018 viene chiaramente specificato he i Provvedimenti del garante precedenti al GDPR rimangono validi.

7. Informazioni da rendere ai soggetti interessati

L’azienda dovrà infine adempiere ai doveri di informazione sia ai sensi dello Statuto dei Lavoratori – per cui potrà utilizzare le informazioni raccolte per i fini connessi al rapporto di lavoro, ma solo dopo aver informato i dipendenti in tal senso (se sono presenti dipendenti) – sia ai sensi del GDPR – per cui il datore dovrà fornire l’informativa sul trattamento dei dati personali ai sensi dell'art. 13.

Nel caso di utilizzo di questi sistemi, l’informativa da rendere ai soggetti interessati (dipendenti, visitatori, fornitori, cittadini ecc…) sarà composta da due diverse parti:

 

VIDEOSORVEGLIANZA

GEOLOCALIZZAZIONE

INFORMATIVA SINTETICA

Si tratta di un cartello che dovrà avere le seguenti caratteristiche:

  1. - Deve essere posizionato ad altezza d'uomo e in prossimità dell'inizio dell'area monitorata. L'interessato deve poter decidere se entrare o meno nella zona videosorvegliata.
  2. - Se la videosorveglianza è attiva anche durante le ore notturne, il cartello deve essere visibile anche di notte.

Abbiamo creato un modello di cartellonistica, scaricabile qui, in base alle linee guida pubblicate dall’EPBD.

Sarà necessario collocare all´interno dei veicoli vetrofanie recanti la dizione "VEICOLO SOTTOPOSTO A LOCALIZZAZIONE" o comunque avvisi ben visibili che segnalino la circostanza della geolocalizzazione del veicolo, anche avvalendosi del modello riportato in fac-simile nell´allegato n. 1 al provvedimento in materia.

INFORMATIVA ESTESA

Dovrà essere redatta un’informativa estesa collegata all’informativa sintetica che riporta tutte le informazioni da rendere ai soggetti interessati e dovrà essere resa loro disponibile.

Le linee guida europee consigliano caldamente di fornirne una versione digitale, raggiungibile online.

Dovrà essere redatta un’informativa estesa collegata all’informativa sintetica che riporta tutte le informazioni da rendere ai soggetti interessati e dovrà essere resa loro disponibile.

 

Maggiori informazioni

VIDEOSORVEGLIANZA:

 

GEOLOCALIZZAZIONE:

ATTENZIONE! Per geolocalizzazione, in particolare che introduca “nuove tecnologie di elaborazione dati”, non si intende solo la locazione dei veicoli. È da considerarsi geolocalizzazione anche l’utilizzo di strumenti (come app per smartphone) che possano rivelare la posizione del dipendente.

Hai bisogno di supporto?

Se hai bisogno di supporto per le attività sopra descritte, contattaci via chat o scrivi all'indirizzo mail info@compet-e.it.