Page 27 - Protezione dati personali e videosorveglianza
P. 27
D
D SISTEMI DI VIDEOSORVEGLIANZA
Con l’evoluzione delle tecnologie e dei primi passi dell’intelligenza artifi ciale, la videosorve-
glianza dei luoghi e degli ambienti, pubblici e privati, è entrata a far parte della moderna quotidia-
nità con la consapevolezza della società civile di muoversi in un mondo costantemente osservato,
in cui comportamenti, spostamenti e abitudini sono frequentemente monitorati e i dati personali
raccolti e trattati.
In altre parole l’uso delle tecnologie di videoripresa se da un lato off re soluzioni alle esigenze
di sicurezza, dall’altro limita la possibilità di muoversi senza essere osservati e di usufruire di alcuni
servizi in anonimato come il prelievo di denaro al bancomat o la passeggiata in una piazza cittadina.
I sistemi di videosorveglianza raccolgono dati e informazioni sui comportamenti e gli sposta-
menti delle persone esponendo a rischi i diritti e le libertà degli interessati.
Nel loro utilizzo, pertanto, è necessario assicurare il pieno rispetto dei principi generali del trat-
tamento dei dati personali, così come previsto dall’art. 5 del regolamento (UE) 2016/679.
Prima di utilizzare tali sistemi di videoripresa occorre quindi eff ettuate opportune valutazioni
dirette a contemperare gli aspetti relativi agli interessi dei titolari del trattamento (fi nalizzati ad assi-
Nel corso dell’istruttoria, l’Autorità Garante ha assunto informazioni anche presso l’Azienda municipalizzata appalta-
trice del servizio, la quale ha confermato:
• di aver chiesto alla società di servizi l’eff ettuazione della vuotatura dei cestini con lettura tag in aggiunta al con-
tratto di appalto per lo spazzamento manuale e per altri servizi;
• che la consuntivazione del servizio derivava dalla necessità di comprovare l’eff ettiva vuotatura dei sacchi dei ce-
stini getta carte nell’ambito del territorio comunale, in modo da rilevare: data/ora vuotatura e codice del lettore tag
apposto su ciascun cestino;
• che la fi nalità dell’utilizzo dei dispositivi GPS era legata alla necessità di comprovare l’eff ettiva vuotatura dei ce-
stini e di rilevare il loro posizionamento considerato che alcuni di essi, non ancorati al suolo, erano soggetti a fre-
quenti spostamenti.
Sulla base delle informazioni acquisite l’Autorità ha raccomandato alla società, sulla base del principio di responsa-
bilizzazione del titolare del trattamento (art. 5, par. 2, del Regolamento (UE) n. 2016/679), l’obbligo di adottare mi-
sure tecniche e organizzative adeguate al perseguimento della fi nalità del trattamento ed - il Collegio del Garante,
nell’adunanza del 28 febbraio 2019, ha formulato le seguenti considerazioni e osservazioni:
• sulla base delle caratteristiche descritte il sistema appare idoneo a consentire il trattamento di dati personali dei
lavoratori anche se indirettamente, attraverso il raff ronto con altri dati (art. 4, n. 1, GDPR);
• sebbene i dispositivi indossabili (ed il relativo numero identifi cativo univoco) saranno collegati alle zone di spaz-
zamento e non ai singoli dipendenti, attraverso i registri dei turni di lavoro, della zona di spazzamento e dell’iden-
tità del lavoratore assegnato a quella determinata zona, sarà comunque possibile individuare il dipendente che
ha eff ettuato le rilevazioni dei tag e la relativa localizzazione geografi ca mediante GPS, specialmente nei casi in
cui il turno in una determinata zona sia eff ettuato da uno o pochi dipendenti. In tal modo, infatti, si può risalire alla
identifi cazione del lavoratore attraverso i registri cartacei (conservati per 7 giorni) e i relativi fi le digitali conservati
nei server aziendali per il tempo necessario a gestire eventuali contestazioni da parte della stazione appaltante;
• la società deve individuare i tempi di conservazione dei registri strettamente necessari rispetto alla fi nalità perse-
guita, ed indicare preventivamente e tassativamente in dettaglio i casi specifi ci in cui può procedersi all’identifi -
cazione del lavoratore per ricostruire fatti oggetto di contestazione, nonché adottare misure organizzative e tec-
nologiche per conservare separatamente (“segregate”) le basi di dati (specie di quelli trattati attraverso i registri)
qualora non sia più necessaria l’eventuale identifi cazione del lavoratore in vista della ricostruzione di fatti oggetto
di contestazione, ma sia comunque necessaria, per fi ni amministrativi, l’ulteriore conservazione dei registri dei
turni (art. 5, par. 1, lett. d), GDPR “limitazione della conservazione”);
• le clausole contrattuali non possono disporre in contrasto con le disposizioni in materia di protezione dei dati
personali ed in particolare con i principi di liceità, correttezza, trasparenza, fi nalità, minimizzazione dei dati (art.
5 GDPR). La società quindi è stata invitata ad individuare una tipologia di dispositivo non lesivo della dignità dei
lavoratori o dagli stessi percepito come tale, anche in relazione alle sue caratteristiche esteriori;
• considerato quanto pattuito tra le parti, con l’apposito accordo sindacale (stipulato ai sensi dell’art. 4, c. 1, legge
n. 300/1970, la cui osservanza costituisce condizione di liceità del trattamento (giusto il disposto dell’art. 114 del
Codice privacy) - in cui è stato statuito che il dispositivo mobile (cd. braccialetto) volto a consentire l’attestazione
della vuotatura dei cestini getta rifi uti, sarà utilizzato dai lavoratori, con funzione di localizzazione geografi ca, per
un solo turno settimanale - la confi gurazione del sistema, conclude il Garante, può considerarsi conforme ai prin-
cipi di necessità e proporzionalità in relazione alle fi nalità perseguite (v. art. 5, par. 1, lett. c), regolamento (UE)
2016/679, “minimizzazione dei dati”).
249
