NEWS

La gestione delle immagini ai fini organizzativi per il rispetto del Gdpr

La raccolta di fotografie o video che ritraggono delle persone da parte di un’azienda comporta un trattamento di dati personali, e pertanto ricade a tutti gli effetti nell’ambito di applicazione del GDPR. La raccolta delle immagini dei lavoratori, dei collaboratori, degli utenti di un servizio, dei clienti o visitatori può essere effettuata per motivi diversi:

Ing. Monica Perego

(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione 'Il sistema di gestione della privacy e le attività di audit')

1. in molti casi vi sono delle necessità organizzative e di sicurezza fisica: ad esempio, l’accesso a locali per i quali, per motivi di security, è richiesto il badge con l’immagine del soggetto autorizzato all’ingresso, oppure la documentazione di un infortunio;
2. in alcuni casi, sempre nell’ambito delle esigenze organizzative e contrattuali, vi è la necessità di documentare un intervento: i vari passaggi di un trattamento estetico o sanitario (come un tatuaggio o il trucco permanente), un intervento di ortodonzia, ecc.;
3. la documentazione iconografica è raccolta anche durante le attività di audit, a testimonianza del rispetto o mancato rispetto delle istruzioni previste;
4. altri casi sono collegati ad esigenze di marketing: raccolta di immagini di clienti e potenziali clienti invitati all’inaugurazione di un punto vendita o ad un evento presso uno stabilimento; ancora, una fiera, la “Festa di fine anno” in una scuola o la “Festa dei nonni” in una RSA, per la successiva diffusione sui profili social dell’organizzazione;
5. Ovviamente, ci sono dei settori (si pensi al fotografo di eventi, all’agenzia di modelle/i, ecc.), che fanno del trattamento di immagini il loro business.
Questo articolo propone delle buone prassi per la gestione delle immagini per le finalità di cui ai punti 1) e 2), ovvero per ambiti riconducibili a finalità organizzative.

Le buone prassi - Per la gestione delle immagini nel rispetto del Regolamento UE 2016/79 e della normariva correllata è necessario fornire agli autorizzati delle buone prassi; tali regole possono essere fornite come istruzioni a se stanti o come parti di procedure relative al servizio o ancora descritte nelle istruzioni fornite direttamente agli autorizzati, ad esempio nel Regolamento interno.

Le buone prassi devono prevedere:

- messa a punto di modelli di liberatoria, informativa e consenso per il loro uso, (quando previsto), per i vari interessati, compresi i minorenni, revisione ad intervalli dei documenti (scadenziario);
- individuazione dei soggetti autorizzati alla raccolta di immagini, al loro trattamento, alla loro archiviazione, conservazione e distruzione/cancellazione;
- i dispositivi da utilizzare che devono essere identificati ed esclusivamente di proprietà dell’organizzazione;
- dove devono essere salvate le immagini, per quanto tempo, i criteri di accesso, le modalità di cancellazione/distruzione;
- gestione delle immagini dei dipendenti riportate sul badge o sulla intranet aziendale, che richiedono, nel tempo, di essere aggiornate con il cambio della fisionomia;
- procedura di introduzione di nuovi collaboratori/clienti (anche minorenni) che deve prevedere, tra le attività anche la raccolta della liberatoria per le immagini, l’informativa ed il consenso quando necessario;
- integrazione della procedura per l’attività di audit con un paragrafo specificamente dedicato alla gestione delle immagini, laddove utilizzate quali evidenze;
- analoga integrazione di altre procedure interne (es. gestione degli infortuni, formazione al personale, ecc.);
- procedura – o parte di procedura - per la cancellazione/distruzione delle immagini secondo quanto previsto dall’informativa, e, in modo congruente, dal registro del trattamento;
- integrazione, nel flyer aziendale dedicato ai visitatori, delle disposizioni per la raccolta di immagini presso il sito dell’organizzazione;
- ulteriori istruzioni per il trattamento delle immagini da distribuire agli autorizzati in relazioni a specifici trattamenti che questi, in base alla mansione ricoperta, possono avere in carico;
- l’aggiornamento del registro e dell’analisi dei rischi; una DPIA quando necessaria.

Istruzioni per i soggetti autorizzati al trattamento – Le persone autorizzate al trattamento delle immagini devono disporre di istruzioni per il rispetto della privacy, le quali dovrebbero prevedere:

- di verificare sempre la presenza della liberatoria e, quando previsto, del consenso, anche dei minori (documenti firmati dai genitori: entrambi, o secondo le procedure interne, da chi esercita la patria potestà);
- di non ritrarre persone in atti/situazioni/posizioni o con oggetti che:
+ possano permettere di dedurne comportamenti sessuali, idee religiose, politiche, stato di salute, ecc. a meno che tale aspetto non sia necessario ai fini di tutelare un diritto o una libertà di un interessato (ad esempio, poter documentare una ferita a seguito di un infortunio),
+ ledano la loro dignità;
+ in caso di dubbio confrontarsi con il Titolare del trattamento o il Privacy Officer o ancora chiedere un parere al DPO e, in ogni caso, assumere un atteggiamento prudenziale, limitando il trattamento (raccolta, comunicazione) ed evitandone nel modo più assoluto la diffusione.

Istruzioni specifiche - Istruzioni mirate possono essere fornite ad alcune funzioni chiave, ad esempio: visitatori, addetti al servizio di prevenzione e protezione, o, ancora, a lavoratori autorizzati al trattamento di immagini (es. estetista/tatuatore).

Istruzioni per i visitatori - I visitatori devono essere informati che non possono, all’interno della sede dell’organizzazione, raccogliere immagini, a meno che non abbiano una specifica autorizzazione (ad esempio addetti esterni alla manutenzione che devono documentare lo stato di un impianto). Tale indicazione potrebbe essere fornita sul flyer distribuito all’ingresso. Per i casi in cui si voglia imporre, anche per tutelare il know-how aziendale, la rigorosa applicazione di tale istruzione, il cellulare potrebbe essere ritirato al momento dell’ingresso in azienda (ma analogamente si dovrebbe fare per altri dispostivi dotati di telecamera). La misura è molto “forte” e dovrebbe essere applicata solo se realmente necessario; sarebbe opportuno comunicarla prima dell’ingresso del visitatore negli spazi aziendali. Ai visitatori deve essere vietato di ritrarre personale aziendale; alcune concessioni possono essere permesse, ad esempio ai clienti, con i quali si vuole documentare un momento significativo come la sottoscrizione di un importante contratto/accordo.

La raccolta di fotografie o video che ritraggono delle persone da parte di un’azienda comporta un trattamento di dati personali

Istruzioni per gli addetti al servizio di prevenzione e protezione - La raccolta di immagini da parte del servizio di prevenzione e protezione può essere originata da diverse necessità:

- documentare situazioni di conformità/non conformità, ad esempio a seguito di audit/ispezioni/ segnalazioni;
- documentare infortuni, incidenti, quasi incidenti;
- raccogliere immagini da utilizzare in sede di formazione ai lavoratori – per illustrare comportamenti corretti/non corretti.

Le immagini potrebbero riprendere sia i lavoratori dell’azienda che eventuali esterni (manutentori, autisti, ecc.), che si espongano (o espongano altri lavoratori) a rischi per la loro incolumità o che potrebbero, con il loro comportamento, danneggiare o rischiare di danneggiare beni aziendali o di terzi.

Le regole devono prevedere, integrando quanto già indicato nel paragrafo relativo agli aspetti generali:

- quali funzioni ed eventuali delegati hanno l’autorizzazione per raccogliere le immagini;
- quale dispositivo deve essere utilizzato;
- i criteri di archiviazione e di accesso, in particolare per quelle che documentano situazioni di non conformità ed eventualmente non rispetto di normativa (lavoratore che non indossa i DPI e che deve essere richiamato secondo quanto previsto dal sistema disciplinare);
- i tempi di archiviazione delle immagini, considerando anche che potrebbero essere utilizzate in sede giudiziaria, e stabilire le procedure di distruzione/cancellazione
- a quali soggetti interni possono essere trasmesse le immagini
- a quali soggetti esterni possono essere trasmesse le immagini (ad esempio ad un fornitore i cui lavoratori presso il sedime aziendale non hanno rispettato le misure previste nel DUVRI);
- la gestione delle immagini utilizzate per la formazione dei lavoratori e per fornire loro delle istruzioni (come ad esempio quella che illustra il modo corretto per indossare una imbracatura).

Inoltre, deve essere definito come gestire le immagini che provengono da lavoratori che documentano situazioni di non conformità – ad esempio lavoratore che fotografa/filma, utilizzando il proprio cellulare, un addetto di una ditta esterna che non indossa i DPI previsti o un collega che versa nel tombino delle sostanze chimiche invece di seguire le corrette procedure di smaltimento. Per quanto tali lavoratori, utilizzando dispositivi personali, sono venuti meno alle disposizioni aziendali che li vietano, hanno documentato una condizione che non può essere ignorata in quanto foriera di possibili conseguenze.

Le persone autorizzate al trattamento delle immagini devono disporre di istruzioni per rispettare la normativa sulla privacy

Istruzioni per lavoratori di settori estetistici - In questo caso, la raccolta delle immagini è utile per confrontare il “prima” ed il “dopo” di un intervento. Si potrebbero anche presentare esigenze connesse alla salute dell’interessato (ad esempio per un intervento di dermopigmentazione, complessa tecnica di tatuaggio per la ricostruzione dell’areola e del capezzolo per chi ha subito un intervento di mastectomia). In tali casi gli autorizzati devono avere istruzioni molto chiare in merito alle misure da prendere, considerando anche la potenziale condizione di vulnerabilità, anche psicologica, dell’interessato.

Conclusione - La raccolta delle immagini a fini organizzativi è una condizione piuttosto frequente. Nell’articolo si è cercato di dare evidenza di alcune delle possibili implicazioni e delle misure da mettere in atto, facendo riflettere sulla portata del tema che prevede analisi mirate anche per considerare i giusti bilanciamenti tra i vari interessi in gioco.

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Dall’European Data Protection Board le Linee Guida sul diritto di accesso dell’interessato
Next Il consenso del minore tra Gdpr e normativa privacy nazionale

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
I agree with the Privacy e Termini di Utilizzo