La decisione da parte di un’impresa di installare un impianto di videosorveglianza può derivare dalle più diverse ragioni: protezione del patrimonio aziendale, sicurezza sul lavoro oppure ottimizzazione della produzione. Questa ha però una serie di importanti implicazioni e conseguenze, obbligando la società a una serie di adempimenti e accorgimenti in relazione al trattamento dei dati personali dei soggetti interessati. Tra i temi più rilevanti vi sono sicuramente quelli relativi al trattamento dei dati personali e al controllo a distanza dei lavoratori. Rispetto al primo tema, fondamentale risulta essere la normativa in tema di privacy, con particolare riferimento al regolamento UE 679/2016 (General Data Protection Regulation, di seguito Gdpr) e alle linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video dell’European Data Protection Board (Edpb), oltre che tutti i pareri e gli interventi del Garante della privacy. Innanzitutto, perché la raccolta delle immagini possa configurarsi come un trattamento dei dati personali deve essere possibile l’identificazione delle persone: la ripresa di soggetti distanti e non identificabili non comporta l’applicazione della normativa in tema di privacy. Il trattamento dei dati personali è regolato dal Titolare del trattamento, individuato nell’azienda stessa nella persona del legale rappresentante a cui è stata attribuita delega specifica in materia di privacy. Il Titolare del trattamento deve inoltre adeguarsi alla disciplina della privacy fin dal momento della progettazione dell’impianto, come imposto dal principio di privacy by design. La struttura, la posizione e la dimensione dell’impianto devono essere ideate per le specifiche esigenze dell’azienda, evitando indebiti sovradimensionamenti. Un adeguamento preventivo alla normativa eviterà costosi interventi correttivi dopo il ricevimento di contestazioni da parte delle pubbliche autorità di controllo (nella fattispecie, da parte del Garante della privacy, che agisce attraverso la guardia di finanza). Per quanto riguarda l’accesso alle immagini, questo deve essere limitato al minor numero possibile di soggetti, incaricati per iscritto e sottoposti a una specifica formazione in materia di privacy. La registrazione e la conservazione delle immagini deve poi essere limitata solamente a quanto necessario per perseguire le finalità prefissate (generalmente le aziende conservano le immagini per 24/48 ore). Il trattamento dei dati relativo alla videosorveglianza deve essere poi inserito all’interno del registro delle attività di trattamento del titolare, con indicazione delle caratteristiche come prescritto dall’art. 30 del Gdpr. In caso di modifiche questo dovrà essere aggiornato nelle parti non più attuali, in quanto strumento atto a rappresentare la situazione di fatto in quel preciso momento dell’azienda. L’azienda può decidere di avvalersi di una società esterna per il servizio di manutenzione o assistenza dell’impianto; in questo caso la società esterna deve essere nominata responsabile del trattamento, con la sottoscrizione di un accordo di nomina specifico. Relativamente al secondo tema in esame, ossia i controlli a distanza dei lavoratori, l’unica disposizione dell’ordinamento italiano che si pronuncia espressamente è l’art. 4 della legge 300/1970 (cd. Statuto dei Lavoratori), modificato in parte dal d.lgs. D.lgs. 151/2015 (cd. Jobs Act). Tramite questa disposizione il legislatore ha inteso definire le finalità per le quali è possibile implementare un sistema di controlli a distanza: 1. Esigenze organizzative e produttive; 2. Sicurezza del lavoro; 3. Tutela del patrimonio aziendale (quest’ultima ipotesi aggiunta dal d.lgs. 151). L’ultima ipotesi denota perfettamente le intenzioni del legislatore e della riforma del 2015, volta a rendere la procedura di installazione dell’impianto di videosorveglianza più semplice e snella, aiutandolo nella protezione del patrimonio aziendale. Il datore di lavoro, inoltre, prima di installare qualsiasi sistema di videosorveglianza, deve darne comunicazione alle rappresentanze sindacali (se non sono presenti, è possibile altresì richiedere un’autorizzazione all’Ispettorato del lavoro), indicando altresì le modalità di funzionamento del sistema, la tipologia dei dati trattati, i soggetti preposti alla conoscenza e al trattamento delle informazioni riservate e le finalità perseguite. Tale comunicazione è finalizzata al raggiungimento di un accordo con le rappresentanze sindacali, al fine di definire il perimetro di azione e la pervasività del sistema di controllo. L’art. 4 prevede infine che il datore di lavoro debba fornire al dipendente sottoposto a controllo una specifica informativa contenente le informazioni indicate dall’art. 13 del Gdpr, tra cui l’identità e i dati di contatto del Titolare del trattamento e del Responsabile del trattamento, le finalità perseguite e le modalità di trattamento dei dati.