VIDEO | Videosorveglianza e privacy dei lavoratori, ne parla Anorc a ‘Sicurezza 2019′

Direttore Selam: "Operatori del settore conoscano Gdpr"

MILANO – Nel campo della tutela di privacy sul posto di lavoro si possono scontrare gli interessi di due attori in gioco: le aziende e i lavoratori. A chiarire come questi interessi possano essere soddisfatti entrambi e secondo quali normative è Paola Gallozzi, avvocata esperta di privacy di ‘Anorc, a ‘Sicurezza 2019′.

QUANDO LA VIDEOSORVEGLIANZA E’ LEGITTIMA

Innanzitutto l’esperta di ‘Anorc’ chiarisce quando la videosorveglianza è legittima e soprattutto l’obbligo dell’azienda che utilizza tale sistema di controllo di informare il lavoratore: “Parlare di videosorveglianza significa entrare in contatto con due mondi: il diritto civilistico e la tutela del dato personale. Da un lato, la videosorveglianza nel luogo di lavoro va a toccare il diritto del lavoratore, così come garantito dall’articolo 4 dello statuto, che la consente per questioni di organizzazione del lavoro, sicurezza dell’ambiente lavorativo e tutela del patrimonio aziendale, laddove concordato con i sindacati o autorizzato dall’ispettorato del lavoro competente per territorio. Affinché sia legittima- ha proseguito Gallozzi- occorre una preventiva istanza all’ispettorato competente del lavoro che indichi le finalità per le quali l’azienda intende installare un impianto di videosorveglianza, per quanto tempo e dove vengono conservati i dati e per quali motivi sia indispensabile”.

Il dato personale “è anche l’immagine facciale ripresa da una videocamera, quindi il dipendente, così come il cittadino in ambito pubblico, ha tutto il diritto di sapere di essere ripreso in quel momento. L’informativa è dunque necessaria- precisa- e deve essere di due tipi: un’informativa breve è la cartellonistica che segnala l’area di ripresa, un’informativa più dettagliata invece deve comprendere molte più informazioni”. “Questo perché- spiega ancora Gallozzi- secondo il garante della privacy è fondamentale che ci proporzionalità tra il meccanismo della videosorveglianza usato dal datore di lavoro e l’interesse legittimo alla tutela del proprio patrimonio aziendale. Questo principio è stato richiamato di recente anche dalla Corte di Strasburgo con una sentenza che ha fatto molto discutere perché sembrava che la Corte avesse legittimato una videosorveglianza occulta da parte del datore di lavoro. In realtà la sentenza- che, dettaglia l’esperta, fa riferimento al caso di un supermercato spagnolo dove c’erano fondati motivi di ritenere che i dipendenti stessero commettendo degli illeciti a danno dell’azienda- dice che va sempre proporzionato il rischio per l’azienda rispetto al diritto del dipendente”. Quindi, ha sintetizzato l’avvocata, non il controllo del lavoro del dipendente, ma la tutela del patrimonio aziendale, al netto del rispetto dello statuto e dei diritti dei lavoratori secondo il principio di proporzionalità e non eccedenza, è ciò che legittima la videosorveglianza da parte del datore di lavoro.

POSTA ELETTRONICA E CONTROLLO AZIENDALE

Anche la posta elettronica è passata infine al vaglio dell’analisi dell’esperta di privacy di ‘Anorc’: “La corrispondenza notoriamente è privata. L’avvento delle nuove tecnologie permetterebbe di fatto all’azienda di controllare la corrispondenza del dipendente ma questo sarebbe un atto penalmente rilevante. Quindi, quando il titolare concede una casella di posta elettronica al dipendente deve chiarire, con delle policy e specifiche istruzioni di utilizzo, che si tratta di una casella non ad uso personale ma di proprietà aziendale. Una volta informato il dipendente, lo strumento informatico potrà essere usato dall’azienda anche a fini di un controllo difensivo nei confronti del dipendente”.

“La casella di posta elettronica- ricostruisce Gallozzi- ha costituto inizialmente un grande problema perché, non dando peso al fatto che si trattasse di uno strumento aziendale, l’utente era portato a pensare che fosse inviolabile. E’ invece importante, per tutelare sia il dipendente sia l’azienda, che la casella elettronica non venga mai usata per questioni personali, al contrario concedendo ad altri fiduciari il permesso di accedervi nel caso in cui, ad esempio, il dipendente fosse assente dal posto di lavoro. Per fare questo- ha concluso- si possono creare caselle elettroniche utilizzabili da più utenti contemporaneamente”.

SELAM: “INFORMARE SU NORME PRIVACY ANCHE VIDEOSORVEGLIANZA”

“E’ necessario portare corretta informazione sulla normativa per la protezione dei dati personali non solo agli operatori della digitalizzazione ma anche agli operatori del mercato reale della videosorveglianza, dei sistemi di sicurezza, di allarme e di identificazione nei luoghi di lavoro”. Ed è per questa ragione, “che siamo qui”. Così alla Dire il direttore di ‘Anorc (Associazione nazionale per operatori e responsabili della conservazione digitale) Alessandro Selam in occasione di ‘Sicurezza 2019’, fiera internazionale su security e antincendio.

“I dati corrono sempre più rapidamente in digitale- aggiunge Selam- e la normativa attualmente in vigore in Europa, il famoso regolamento generale sulla protezione dei dati personali ‘Gdpr’, ci pone dei limiti ma anche delle opportunità. Noi quindi siamo qui per questo, per informare il mercato e i professionisti di queste tantissime opportunità”.

TUTELA PRIVACY, ANORC: “FORMARE EVITA VIOLAZIONE DIRITTI​”

Sicurezza e protezione dei dati personali, accountability e misure di tutela della privacy. Cosa è cambiato per le imprese dopo l’introduzione del regolamento generale europeo, cosiddetto ‘Gdpr‘? A spiegarlo alla Dire, Alessandra Fischetti, professionista della privacy di ‘Anorc’, l’associazione che rappresenta i professionisti e il mercato della custodia dei dati, delle informazioni e dei documenti digitali e che in questi giorni sta partecipando a ‘Sicurezza 2019′, fiera internazionale su security e antincendio in corso a Rho-Fieramilano.

I PILASTRI DEL REGOLAMENTO EUROPEO

“Il principio di accountability è uno dei pilastri del regolamento europeo in materia di protezione dei dati personali– esordisce Fischetti- Significa responsabilizzare il titolare del trattamento dei dati personali in modo tale che quest’ultimo non sia un mero esecutore della norma, ma sia quello che sceglie che tipo di trattamento effettuare con quali strumenti e soprattutto con quali misure di sicurezza. Questo significa quindi essere responsabile per le proprie scelte ma soprattutto, questa la vera novità del regolamento, di poterne dare prova. Il titolare deve cioè essere in grado di dare atto, laddove ci fossero violazioni dei dati personali, del perché ha deciso di agire in quel modo o, in altre parole, quali valutazioni sono state alle base delle misure di sicurezza che ha ritenuto idonee a tutelare i dati e quindi gli interessi della persona fisica oggetto del trattamento”.

Ci sono altri due principi cardine del regolamento europeo, entrambi strettamente connessi al principio di accountability. “Privacy-by-design, prosegue Fischetti, significa che la protezione del dato personale deve esistere sin dall’origine, cioè dalla progettazione. Se il titolare vuole utilizzare un determinato strumento per effettuare un trattamento fin dalla progettazione “deve valutare quali potrebbero essere i rischi e dunque essere in grado di prevedere delle misure adeguate a mitigarli il più possibile”. Con riferimento al ‘Gdpr’ “il rischio è proprio la lesione dei diritti fondamentali della persona fisica. Privacy-by-default significa, invece, che la protezione del dato personale deve essere garantita per impostazione predefinita. Il titolare cioè, in modo automatico, deve trattare solamente i dati essenziali al raggiungimento delle finalità prefissate e solamente per il periodo strettamente necessario all’utilizzo”.

Fischetti affronta poi il punto relativo alle misure indispensabili per garantire la protezione dei dati personali dei lavoratori e delle lavoratrici: “Quando si parla di sicurezza e di protezione dei dati personali- spiega- sicuramente rileva ancora il concetto di accountability. Rispetto al passato e al nostro codice privacy, il ‘Gdpr’ ha dato libertà di decisione al datore di lavoro anche in punto di misure di sicurezza e tutela della privacy. L’articolo 32 elenca una serie di misure che però non sono tassative e non sono esaustive. Si parla di pseudonimi, di cifrature, di capacità di poter recuperare il dato in caso di violazione. Queste misure, se adottate, sono utili ma non è detto che vengano applicate in tutti i contesti e da tutti i titolari del trattamento”. “Infatti- aggiunge- lo stesso articolo del regolamento dice che la scelta del titolare può essere fondata sulla valutazione di una serie di parametri, tra cui lo stato dell’arte, le possibilità offerte dal progresso tecnologico, i costi di attuazione, la quantità di dati. Evidentemente le misure adottate da Google, per esempio, saranno diverse da quelle adottate da un piccolo imprenditore. Le misure possono quindi essere molte- conclude Fischetti- fondamentale sicuramente la formazione dei lavoratori cosiddetti autorizzati al trattamento. La loro formazione evita nella maggior parte dei casi la violazione di dati proprio perché anche loro sapranno consapevolmente come tutelarli adeguatamente”.