Videosorveglianza e Privacy: quanto è importante il tempo di conservazione delle immagini?

1) Premessa

La Videosorveglianza trova una rilevanza normativa non solo nel Regolamento Europeo in materia di Protezione dei Dati Personali e nel D. Lgs 101/18, ma anche sotto il profilo giuslavoristico in riferimento allo statuto dei lavori in quanto, attraverso il posizionamento di telecamere che possono riprendere il lavoratore dipendente (anche se collocate sul perimetro aziendale) va considerata la possibilità che il trattamento sia particolarmente invasivo in riferimento al concetto del c.d. “controllo a distanza”.
Valutando anche questo aspetto lavoristico, quindi, si dovrà valutare se, oltre ad una regolazione privacy sia necessario normare l’impianto anche attraverso un accordo sindacale o tramite richiesta autorizzativa (all’installazione) all’I.T.L.

2) Misure tecniche, strumentali ed organizzative

Su questo punto ci dovrà essere un importante cambio di passo rispetto al passato.
Sotto al cappello dell’accountability (responsabilizzazione del titolare) non è sufficiente considerare delle misure minime di sicurezza da applicare all’impianto, ma si dovrà adottare un approccio basato sulle misure “idonee”.
La domanda che spesso ci viene posta in azienda è: “idonee rispetto a cosa”? Risposta abbastanza facile: “idonea a mitigare il rischio privacy individuato”.

Tralasciando, quindi, l’argomento analisi del rischio che non rientra negli argomenti trattati da questo articolo, è fondamentale considerare come sia il Titolare (l’azienda proprietaria dell’impianto) a dover effettuare una sorta di self assessment utile a determinare dapprima il proprio livello di rischio e successivamente quali siano le misure idonee a mitigarlo.

È sufficiente una password generica di accesso all’impianto, magari sprovvista di scadenza? È utile posizionare in luoghi adeguati eventuali schermi in visione live? È opportuno che ogni figura accuratamente individuata (!) che accede all’impianto sia munita di proprie credenziali? È, infine, opportuno che vi sia una differenziazione tra le camere che un utente può vedere attraverso l’app rispetto a quelle che può vedere quando è fisicamente in azienda?
Sono solo alcune delle domande da porsi nel momento in cui vengono definite le misure di sicurezza dell’impianto.

3) Data retention

Un ruolo fondamentale nella partita lo gioca la data retention delle immagini (ovvero il tempo per cui vengono conservate le registrazioni) per due motivi:

• La definizione di una data retention errata può essere un potenziale motivo di sanzione in caso di controllo ispettivo
• Più è lungo il periodo di conservazione più – considerando la relazione descritta al paragrafo precedente tra rischio e misure di sicurezza – aumenta l’indicatore di rischio privacy (anche in considerazione a fatti malevoli/accidentali quali ad esempio il c.d. data breach).

In considerazione di quanto appena espresso è fondamentale definire accuratamente la data retention delle immagini tenendo in considerazione non solo l’esigenza aziendale, ma anche le implicazioni derivanti dalla conservazione delle immagini per un tempo superiore alle 24 ore.
Vanno, ovviamente, considerati molti fattori per arrivare ad una scelta accurata, tra cui:

• scopo della videosorveglianza
• eventuali precedenti accaduti in azienda (furti, aggressioni, infortuni)
• presidio h 24/24 aziendale 7/7 gg oppure periodi di scopertura
• luogo pubblico, luogo particolare o luogo privato
• quantità abituale di visitatori
• presenza di eventuali certificazioni che impongano criteri di conservazione particolari
• ecc…(ce ne sono davvero moltissimi di parametri da considerare).

Le autorità europee, nel tempo, su questi argomenti hanno più volte ribadito il proprio orientamento e definito all’interno di alcuni documenti ufficiali degli ambiti in cui è permessa maggiore elasticità nella definizione del tempo di conservazione delle immagini.

Più si sale con il tempo, lo ribadiamo, più è necessario inserire rimedi informatici e procedurali per limitare i rischi.

4) Documentazione privacy

Non è un aspetto secondario quello della documentazione privacy necessaria a regolare un impianto di videosorveglianza.

Prima di tutto è fondamentale capire se sia opportuno effettuare una valutazione d’impatto (c.d. DPIA) sul sistema da implementare (anche in questo caso vi sono documenti che indirizzano su quando si ritiene necessario e/o quando sia consigliato effettuare la valutazione d’impatto).

Successivamente è necessario informare gli interessati (attraverso un set di informative) sul trattamento effettuato dal sistema di videosorveglianza.
Tra i principali documenti d’informativa citiamo:

• cartello (informativa breve) da apporre in corrispondenza dei dispositivi di ripresa
• informativa visitatori (estesa)
• informativa dipendenti

È opportuno poi creare dei documenti che possano chiarire internamente quali siano le procedure per processare eventuali richieste di accesso alle immagini (da parte di interessati terza, forza pubblica, uffici interni all’azienda, ecc..) e infine, fondamentale, di designazione degli addetti all’impianto dividendo i seguenti livelli:

• chi vede solo gli schermi in live
• chi accede anche alle registrazioni (ed eventualmente all’app)
• chi è l’amministratore del sistema di videosorveglianza.

La norma prevede molto altro in materia di Videosorveglianza e questo articolo si prefigge unicamente di stimolare uno spunto di riflessione su un trattamento che a volte viene considerato soltanto tecnico da curare con gli addetti alla manutenzione aziendale, ma che invece va considerato in tutte le sue sfaccettature aziendali come ad esempio quello della data protection e della security.

Merakisas.it è a disposizione per supportare le aziende negli adempimenti necessari ad adeguare l’impianto.