Archivio

Privacy

16 Dic 2018

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

Il Garante privacy ha affermato, a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale, che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili – ha osservato l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso, invece, l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

….

In base alla disciplina di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, di seguito Codice) vigente all’epoca cui si riferiscono i fatti oggetto dei reclami, si osserva quanto segue.

Le informazioni relative all’adesione sindacale costituiscono dati sensibili cui trovano anzitutto applicazione gli artt. 3, 11 e 20 e 112 del Codice (art. 4, comma 1, lett. d), del Codice). …..

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo o inibitorio.

L’Autorità si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

 

(Fonte Garante Privacy)

27 Ott 2018

Senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti.

La violazione contestata, parte dall’installazione di un sistema di raccolta di dati biometrici della mano per rilevare le presenze dei dipendenti, installata da una società che opera nel settore dei servizi ambientali. La società era stata condannata a pagare una sanzione di 66 mila euro, per aver violato il Codice sulla protezione dei dati personali.

I giudici di prima istanza, però, accolgono il ricorso della società in quanto riteneva che le apparecchiature non prelevavano e non trattavano dati, utilizzati come «individualizzanti e non come identificanti». In più, non esisteva alcuna banca dati. Ragione per cui, andava escluso il “trattamento” e non scattava la tutela prevista dal Codice. Sulla base di questo il Tribunale aveva condannato il Garante a pagare 30 mila euro per responsabilità aggravata.

La Cassazione è di diverso avviso e accoglie il ricorso del Garante analizzando, in concreto, il funzionamento del dispositivo. Con il sistema utilizzato il dato biometrico relativo alla mano del lavoratore viene trasformato in un modello di riferimento, consistente in un codice, che consentirebbe l’identificazione personale attraverso operazioni di confronto tra codice numerico ricavato da ogni accesso e quello originariamente raccolto.

Pertanto, ad ogni utilizzo del “badge” il sistema è in grado di verificare che il cartellino che si sta usando è della stessa mano utilizzata per configurarlo.

In questo contesto sbaglia il Tribunale ad affermare che il dipendente non viene identificato attraverso i suoi dati, ma tramite il badge il cui uso non è stato contestato. La Suprema corte ricorda che il Codice definisce “trattamento”, qualunque operazione che riguardi «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati». “Dato personale” è «qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale». Sono dati identificativi tutti quelli che permettono di “riconoscere” direttamente l’interessato.

La norma considera, espressamente, irrilevante, ai fini del trattamento, la mancata registrazione in una banca dati «essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea». Ad escludere il trattamento non basta che il modello archiviato consista in un numero non associabile al dato fisico, né che partendo dal numero, non sia possibile ricostruire l’immagine della mano perché l’algoritmo è unidirezionale e irreversibile. Quello che importa è che attraverso la conservazione dell’algoritmo, si può risalire al lavoratore e quindi di identificarlo.

Sulla base di queste considerazioni la società tratta dati biometrici e ciò comporta la notificazione al Garante.

(CORTE DI CASSAZIONE, SEZ. II CIVILE – ORDINANZA 15 ottobre 2018, n.25686)

9 Ott 2018

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Modello di “registro semplificato” delle attività di trattamento del titolare per PMI (ALLEGATO 1

Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI (ALLEGATO 2)

(Fonte Garante Privacy)

27 Ago 2018

La messa in rete su un sito Internet di una fotografia, liberamente accessibile su un altro sito Internet con l’autorizzazione dell’autore, necessita di una nuova autorizzazione da parte di tale autore.

Infatti, con siffatta messa in rete, la fotografia viene messa a disposizione di un pubblico nuovo.

La corte di Giustizia Europea con sentenza del 7 agosto 2018 resa nella causa C-161/17, ha fornito la corretta interpretazione della nozione di “comunicazione al pubblico”, ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29/CE sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione.

La messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet, va qualificata come “messa a disposizione” e, di conseguenza, come “atto di comunicazione”. Pertanto necessita di una nuova autorizzazione dell’autore.

La domanda di pronuncia pregiudiziale sottoposta ai giudici europei è stata presentata nell’ambito di una controversia che vedeva coinvolto un fotografo che aveva autorizzato i gestori di un sito Internet dedicato ai viaggi a pubblicare sul loro sito una delle sue foto. Un’alunna di un istituto scolastico, ha scaricato la foto in oggetto a partire da tale sito (dove essa era liberamente accessibile) per illustrare un progetto scolastico. Quest’ultimo è stato in seguito pubblicato sul sito Internet della scuola.

Per questa ragione il fotografo ha intrapreso un’azione dinanzi ai giudici tedeschi per vietare di riprodurre la sua foto. Altresì, ha reclamato il pagamento di una somma di € 400 a titolo di risarcimento danni.

A tale riguardo, il fotografo ha sostenuto di aver concesso un diritto d’uso solamente al gestore del sito Internet di viaggio e ha affermato che la messa in rete della fotografia sul sito Internet della scuola, costituisce una violazione del suo diritto d’autore. In tale contesto, il Bundesgerichtshof (Corte federale di giustizia, Germania) ha chiesto alla Corte di giustizia di interpretare la direttiva sul diritto d’autore, ai sensi della quale l’autore di un’opera ha, in linea di principio, il diritto esclusivo di autorizzare o vietare la comunicazione dell’opera al pubblico.

Innanzitutto, la Corte ricorda che una fotografia può essere protetta dal diritto d’autore alla condizione che essa costituisca una creazione intellettuale dell’autore, che ne rifletta la personalità e si manifesti attraverso le scelte libere e creative di quest’ultimo nella realizzazione di tale fotografia.

Quindi, ogni utilizzazione di un’opera effettuata da un terzo in assenza del previo consenso dell’autore deve essere considerata lesiva dei diritti dell’autore di detta opera.

Il problema nel caso in esame è se la messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet (la fotografia era stata copiata, tra i due caricamenti in rete, su un server privato), deve essere qualificata come «messa a disposizione» e, di conseguenza, come «atto di comunicazione».

La messa in rete di un’opera protetta dal diritto d’autore su un sito Internet diverso da quello sul quale è stata effettuata la comunicazione iniziale con l’autorizzazione del titolare del diritto d’autore, nelle circostanze come quelle di cui trattasi, dev’essere qualificata come messa a disposizione di un pubblico nuovo. Il pubblico preso in considerazione dal titolare del diritto d’autore nel momento in cui ha autorizzato la comunicazione della sua opera sul sito Internet sul quale quest’ultima è stata inizialmente pubblicata, è costituito dai soli utilizzatori di detto sito, e non dagli utilizzatori del sito Internet sul quale l’opera è stata successivamente messa in rete senza l’autorizzazione di detto titolare e dagli altri internauti.

Un sito differente si rivolge ad un pubblico differente, anche se i mezzi tecnici di comunicazione sono i medesimi.

Cosa diversa sarebbe stato se l’alunna avesse utilizzato solo un collegamento ipertestuale (un link) che avesse rimandato direttamente alla fotografia. In questo modo, i diritti del titolare sarebbero stati tutelati.

Infine, il fatto che il titolare del diritto d’autore non avesse posto restrizioni alle possibilità di utilizzo della fotografia da parte degli internauti non è rilevante.

(Corte di Giustizia UE, Seconda Sezione, sentenza 7 agosto 2018, causa C-161/17)

30 Apr 2018

Via libera del Garante privacy  a un sistema di geolocalizzazione satellitare dei veicoli della polizia municipale  che opera  nei territori di alcuni comuni aderenti a una convenzione  per la gestione associata del servizio [doc. web n. 8576577].

Scopo della localizzazione sarà quello di garantire la sicurezza e l’incolumità del personale e di ottimizzare l’impiego di operatori e veicoli della polizia municipale. Il sistema, sottoposto al vaglio dell’Autorità, sarà utile anche a rilevazioni di tipo statistico  e di rendicontazione del servizio.

I dati, che appariranno in tempo reale su un monitor presso la centrale operativa, saranno visualizzabili esclusivamente dal responsabile del servizio o da un suo delegato per localizzare la posizione dei veicoli e, se necessario, identificare l’operatore al solo scopo di coordinare in modo più efficiente il servizio o gestire eventuali situazioni di criticità o emergenza.

I dati relativi al tempo di permanenza e ai chilometri percorsi in una determinata area saranno conservati per un periodo massimo di trenta giorni ai fini della rendicontazione. Le informazioni riferite ai dipendenti impiegati nel servizio, mai direttamente identificati e comunque non più identificabili a fine turno, “a fine giornata”, il Comune ha assicurato che il sistema prevede la rimozione delle tabelle di presa in carico dei veicoli, in modo da non permettere l’ulteriore identificabilità degli operatori, in relazione ai dati di localizzazione memorizzati:, non saranno utilizzate per finalità più strettamente legate alla gestione del rapporto di lavoro, quali la verifica della presenza in servizio, la commisurazione dell’orario di lavoro o per finalità disciplinari.

Il Garante, tenuto conto dalla particolare natura dell’attività di polizia locale e delle cautele proposte dal titolare a tutela degli interessati, ha ritenuto lecito, pertinente e non eccedente il trattamento dei dati personali mediante il sistema anche in considerazione del fatto che prima della sua installazione ciascun Comune aderente alla Convenzione acquisirà l’autorizzazione del Ministero del lavoro e delle politiche socialiDirezione territoriale del lavoro, in conformità alla disciplina in materia di controllo a distanza dei lavoratori.

Il Garante ha inoltre  previsto specifiche misure di sicurezza come la configurazione del sistema, in modo tale da consentire solo accessi autorizzati  tramite assegnazione di credenziali di autenticazione differenziate e limitando i profili autorizzati alla modifica e all’estrazione dei dati. Inoltre, il titolare dovrà fornire agli interessati:

un’informativa comprensiva di tutti gli elementi contenuti nell’articolo 13 del Codice  e a rendere chiaramente riconoscibili agli interessati i trattamenti che intende effettuare (art. 11, comma 1, lett. a), del Codice;

predisporre misure al fine di garantire agli interessati l’esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice;

effettuare la notificazione al Garante ai sensi degli articoli 37 e ss., qualora il trattamento abbia effettivamente inizio prima del 25 maggio 2018 (tenendo conto che tale adempimento non sarà più dovuto in data successiva al 25 maggio p.v.).

 

(Fonte Garante Privacy)

30 Apr 2018

Il Garante privacy ha vietato al Comune l’ulteriore diffusione sul sito web istituzionale delle graduatorie di persone invalide o in stato di disagio e  che hanno usufruito di esenzioni o riduzioni della tassa sui rifiuti 2015 [doc. web n. 8576011].

L’Autorità, intervenuta a seguito di una segnalazione, ha accertato che due graduatorie, consultabili e scaricabili liberamente da alcuni link presenti sul sito  del Comune, riportavano in chiaro dati e informazioni personali di 3447 persone, ordinati in base alla situazione e economica. In particolare,  nel primo elenco erano indicati il nome e cognome, la data di nascita, il codice fiscale, il numero dei componenti del nucleo familiare di 3269 persone con reddito Isee familiare fino a 8mila euro, nel secondo elenco, erano riportati gli stessi dati personali di altre 178 persone invalide al cento per cento e con Isee fino a 10mila euro.

Con il provvedimento inibitorio il Garante, in base al Codice privacy e alla normativa sulla trasparenza, ha ritenuto illecito il trattamento messo in atto dal Comune e ha vietato l’ulteriore diffusione dei dati sullo stato di salute e delle informazioni sulle situazioni di disagio economico e sociale dei beneficiari.

(Fonte Garante Privacy)

 

30 Apr 2018

La CNIL, l’Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d’impatto sulla protezione dei dati (DPIA).

Il software –  gratuito e liberamente scaricabile dal sito www.cnil.fr (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) – offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

La versione in lingua italiana è stata messa a punto anche con la collaborazione del Garante per la protezione dei dati personali.

ll software qui presentato NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d’impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d’impatto che va integrata in ragione delle tipologie di trattamento esaminate.

Fonte Garante Privacy

3 Apr 2018

No al controllo massivo e alla conservazione senza limite delle email. Il Garante per la privacy ha vietato ad una società il trattamento di dati personali effettuato sulle email aziendali dei dipendenti in violazione della normativa sulla protezione dei dati e di quella sulla disciplina lavoristica. La società dovrà ora limitarsi a conservare i dati a fini di tutela dei diritti nel giudizio pendente. L’Autorità – intervenuta  a seguito del reclamo di un dipendente – ha accertato che la società trattava in modo illecito i dati personali contenuti nelle email in entrata e in uscita, anche di natura privata e goliardica, scambiate dal lavoratore con alcuni colleghi e collaboratori. I dati raccolti nel corso di un biennio erano poi stati utilizzati per contestare un provvedimento disciplinare cui era seguito il licenziamento del dipendente poi annullato dal giudice del lavoro [doc. web n. 8159221].

 

(Fonte Garante privacy)

29 Mar 2018

Il Garante per la privacy ha autorizzato [doc. web n. 8159431] l’Azienda Mobilità e Trasporti di Genova (AMT S.p.A.) ad installare sul parabrezza anteriore dei propri veicoli aziendali un dispositivo denominato “Roadscan DTW”, in grado di registrare, in caso di incidenti, le immagini relative alla sede stradale prospiciente il veicolo o, su comando attivato dall’autista, le immagini della zona interna del mezzo e di localizzarlo senza riprendere il conducente.

Il sistema permetterà la ricostruzione dinamica di eventuali sinistri e la prevenzione e il contrasto di atti di vandalismo, potenziando la sicurezza dei passeggeri e degli autisti.

Il trattamento potrà essere effettuato solo per le finalità previste e nel rispetto di idonee misure di sicurezza volte a preservare l’integrità dei dati e prevenire accessi abusivi da parte di personale non autorizzato. A tutela dei lavoratori, la società ha concordato con le organizzazioni sindacali l’utilizzo del dispositivo secondo le finalità dichiarate, in base all’art. 4 dello Statuto.

Le informazioni relative alla localizzazione tramite GPS non potranno essere utilizzate per rintracciare on line il veicolo, né per definirne a posteriori il percorso effettuato.

L’utilizzo di tale sistema, secondo quanto indicato dalla Società, consentirebbe la “registrazione di immagini riferite allo spazio esterno corrispondente allo specchio visivo del conducente con visuale fissa e lente grandangolare ed a quello interno”, relativamente ai soli 20 secondi antecedenti e successivi al verificarsi di un evento che lasci supporre un sinistro ovvero su diretta attivazione dell’autista. Ma non solo, lo stesso sistema è in grado di memorizzare anche ulteriori informazioni quali: accelerazione / decelerazione, deviazione della direzione a destra/sinistra, accelerazione / decelerazione zenitale (sobbalzo), velocità istantanea, localizzazione del veicolo con sistema GPS. Il tutto, secondo quanto dichiarato dalla Società, con l’obiettivo di permettere la ricostruzione dinamica di eventuali sinistri nonché per la prevenzione e il contrasto di atti di vandalismo, potenziando così la sicurezza dei passeggeri e degli autisti.

I dati raccolti in occasione di sinistro potranno essere conservati sino a 24 mesi, scadenza del temine di prescrizione previsto dal Codice civile.

La società dovrà adottare un modello semplificato di informativa inglobata in un pittogramma (da collocare su ogni veicolo aziendale), che renda noto agli interessati (utenti, dipendenti e terzi) che in caso di sinistro le immagini saranno registrate.

(Fonte Garante Privacy)

3 Mar 2018

L’Ispettorato Nazionale del Lavoro (INL) ha emanato la circolare n. 5 del 19 febbraio 2018, con la quale fornisce indicazioni operative in ordine alle problematiche inerenti l’installazione e l’utilizzazione di impianti audiovisivi e di altri strumenti di controllo, ai sensi dell’art. 4 della legge n. 300/1970.

Una prima questione che l’INL  prende in considerazione, riguarda le modalità secondo cui effettuare l’istruttoria, finalizzate al rilascio dei provvedimenti autorizzativi in materia, che non deve essere una valutazione tecnica dei dispositivi ma bensì una valutazione delle motivazioni che ne giustificano e legittimano l’utilizzo nonché della correlazione tra tali motivazioni e lo strumento da utilizzare.

“ ..l’oggetto dell’attività valutativa, infatti, va concentrata sulla effettiva sussistenza delle ragioni legittimanti l’adozione del provvedimento, tenendo presente in particolare la specifica finalità per la quale viene richiesta la singola autorizzazione e cioè le ragioni organizzative e produttive, quelle di sicurezza sul lavoro e quelle di tutela del patrimonio aziendale.”

Conseguentemente, le eventuali condizioni poste all’utilizzo delle varie strumentazioni utilizzate devono essere necessariamente correlate alla specifica finalità individuata nell’istanza senza, però, particolari ulteriori limitazioni di carattere tecnico. L’eventuale ripresa dei lavoratori, di norma, dovrebbe avvenire in via incidentale e con carattere di occasionalità ma nulla impedisce, se sussistono le ragioni giustificatrici del controllo (ad esempio tutela della “sicurezza del lavoro” o del “patrimonio aziendale”), di inquadrare direttamente l’operatore, senza introdurre condizioni quali, per esempio, “l’angolo di ripresa” della telecamera oppure “l’oscuramento del volto del lavoratore”.

Il Provvedimento non sarà più legato al posizionamento predeterminato e l’esatto numero delle telecamere da installare fermo restando, comunque, che le riprese effettuate devono necessariamente essere coerenti e strettamente connesse con le ragioni legittimanti il controllo e dichiarate nell’istanza, ragioni la cui effettiva sussistenza va sempre verificata in sede di eventuale accertamento ispettivo.

Ciò in quanto lo stato dei luoghi e il posizionamento delle merci o degli impianti produttivi è spesso oggetto di continue modificazioni nel corso del tempo (si pensi ad esempio alla rotazione delle merci nelle strutture della grande distribuzione) e pertanto rendono scarsamente utile una analitica istruttoria basata su planimetrie che nel corso del breve periodo non sono assolutamente rappresentative del contesto lavorativo.

Il provvedimento autorizzativo viene rilasciato sulla base delle specifiche ragioni dichiarate dall’istante in sede di richiesta. L’attività di controllo, pertanto, è legittima se strettamente funzionale alla tutela dell’interesse dichiarato, interesse che non può essere modificato nel corso del tempo nemmeno se vengano invocate le altre ragioni legittimanti il controllo stesso ma non dichiarate nell’istanza di autorizzazione. Gli eventuali controlli ispettivi successivi al rilascio del provvedimento autorizzativo, pertanto, dovranno innanzitutto verificare che le modalità di utilizzo degli strumenti di controllo siano assolutamente conformi e coerenti con le finalità dichiarate.

Nei casi in cui le videocamere o fotocamere si attivino esclusivamente con impianto di allarme antintrusione inserito, e quindi esclusivamente al di fuori dell’orario di lavoro, non sussiste alcuna possibilità di controllo “preterintenzionale” sul personale e pertanto il rilascio del provvedimento autorizzativo non richiede l’espletamento della valutazione istruttoria, secondo le modalità di cui  alla nota n. 299 del 28 novembre 2017.

L’accesso alle immagini registrate, sia da remoto che “in loco”, invece, deve essere necessariamente tracciato anche tramite apposite funzionalità che consentano la conservazione dei “log di accesso” per un congruo periodo, non inferiore a sei mesi. In considerazione di ciò, lo stesso INL ha ritenuto che l’utilizzo del sistema della “doppia chiave fisica o logica” non sia più una condizione necessaria nell’ambito dei provvedimenti autorizzativi da rilasciare.

Quanto invece al “perimetro” spaziale di applicazione della disciplina in esame, l’orientamento giurisprudenziale tende ad identificare come luoghi soggetti alla normativa in questione anche quelli esterni dove venga svolta attività lavorativa in modo saltuario o occasionale (ad es. zone di carico e scarico merci). La Corte di Cassazione penale (sent. n. 1490/1986) afferma infatti che l’installazione di una telecamera diretta verso il luogo di lavoro dei propri dipendenti o su spazi dove essi hanno accesso anche occasionalmente, deve essere preventivamente autorizzata da uno specifico accordo con le organizzazioni sindacali ovvero da un provvedimento dell’Ispettorato del lavoro.

Sarebbero invece da escludere dall’applicazione della norma quelle zone esterne estranee alle pertinenze della ditta, come ad es. il suolo pubblico, anche se antistante alle zone di ingresso all’azienda, nelle quali non è prestata attività lavorativa.

Il riconoscimento biometrico, installato sulle macchine con lo scopo di impedire l’utilizzo della macchina a soggetti non autorizzati, necessario per avviare il funzionamento della stessa, può essere considerato uno strumento indispensabile a “…rendere la prestazione lavorativa…” e pertanto si possa prescindere, ai sensi del comma 2 dell’art. 4 della L. n. 300/1970, sia dall’accordo con le rappresentanze sindacali sia dal procedimento amministrativo di carattere autorizzativo previsto dalla legge.

(circolare INL 5/2018 del 19 febbraio 2018)

Potrebbe interessarti: