Videosorveglianza nei luoghi di lavoro: l’accordo sindacale o l’autorizzazione dell'ispettorato sono imprescindibili condizioni di legittimità del trattamento
Torna a far parlare di sé per le lacune nel rispetto della privacy la casa della moda Hennes & Mauritz dopo che nel 2020 fu sanzionata dal Garante svedese a pagare una multa di 35,3 milioni di euro per aver “spiato” i propri dipendenti nella filiale tedesca di Norimberga.
La recente sanzione comminata, invece, dalla nostra Autorità Garante per la protezione dei dati personali a H&M Hennes & Mauritz s.r.l., di pagare la somma di euro 50.000 a titolo di sanzione amministrativa pecuniaria per aver installato nei propri negozi un impianto di videosorveglianza non conforme alla disciplina sulla protezione dei dati personali ci consente di svolgere alcune riflessioni.
La nota casa di moda aveva installato ed utilizzato sistemi di videosorveglianza presso una molteplicità di punti vendita in Italia, idonei a riprendere i lavoratori durante l’attività lavorativa, in assenza di accordo con le rappresentanze sindacali o di autorizzazione rilasciata dall’Ispettorato del lavoro ex art. 4 della l. n. 300 del 1970.
Sul punto si rammenta che i trattamenti di dati personali effettuati nell’ambito del rapporto di lavoro, devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento (UE) 2016/679 (GDPR), ed, in particolare, del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento). Coerentemente con tale impostazione, l’art. 88 GDPR ha fatto salve le norme nazionali di maggior tutela volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che, tra le condizioni di liceità del trattamento, ha stabilito l’osservanza di quanto prescritto dall’art. 4, l. n. 300 del 1970. La violazione del richiamato art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento (20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente).
Ne segue che in base al richiamato art. 4, l. n. 300 del 1970 gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro. La violazione di tale disposizione è penalmente sanzionata ai sensi dell’articolo 171 del Codice Privacy.
(Nella foto: l'Avv.Marco Soffientini. Ha curato il nuovo manuale "Gli adempimenti privacy per i sistemi di videosorveglianza" edito da Giuffrè)
L’accordo sindacale o l’autorizzazione sono imprescindibili condizioni di legittimità del trattamento e sotto questo profilo non possono essere sostituiti da accordi o consensi prestati dai lavoratori. Si tratta di una procedura di garanzia, come più volte sottolineato anche dalla giurisprudenza di legittimità, che “tutela interessi di carattere collettivo e superindividuale”, per cui, nel caso in cui il datore di lavoro non la attivi la sua condotta lederà gli interessi collettivi a presidio dei quali è posta (Cfr ex pluribus, Cass., sez. III pen., 17.12.2019, n. 50919). L’inderogabilità della citata procedura risponde anche alla situazione di sproporzione esistente tra la posizione datoriale e quella dei lavoratori così come sottolineato anche dalle recenti Linee Guida n. 3/2019 EDPB).
A pesare nel caso di specie è stato anche il numero di lavoratori coinvolti: più di 500 e quindi un numero significativo di persone che, se anche informate ex art. 13 Regolamento (UE) 2016/679 tale adempimento (tra l’altro necessario) non può sostituire la procedura di garanzia di cui all’articolo 4 della L. .300/1970.
Nella lettura del caso la società si è difesa sostenendo che si trattava di telecamere installate in ambienti di passaggio (es. corridoi), ma come noto, il Garante ha costantemente ritenuto che anche le aree nelle quali transitano o sostano - talora continuativamente - i dipendenti (ad es. accessi alla struttura e ai garages, zone di carico/scarico merci, ingressi carrai e pedonali), qualora sottoposte a videosorveglianza, sono soggette alla piena applicazione della disciplina in materia di protezione dei dati personali (v., tra gli altri, provv.ti 16 settembre 2021, n. 331, doc. web n. 9719768; 30 luglio 2015, n. 455, doc. web n. 4261028; 4 luglio 2013, n. 334, doc. web n. 2577203; 18 aprile 2013, n. 199 e 200, doc. web n. 2483269; 9 febbraio 2012, n. 56, doc. web n. 188699; 17 novembre 2011, n. 434, doc. web n. 1859558; 26 febbraio 2009, doc. web n. 1601522). Ciò peraltro conformemente a quanto stabilito dalla giurisprudenza di legittimità (v. Cass. 6 marzo 1986, n. 1490; v. anche, con riferimento a strumento diverso dalla videosorveglianza, Cass. 13 marzo 2007, n. 15892).
Il caso è interessante perché mette in evidenza come la normativa di cui all’articolo 114 del Codice anche qualora la società sia stata già sanzionata dall’ITL si aggiunge (e non sostituisce ) ai poteri dell’Ispettorato del lavoro. In altri termini, laddove l’Autorità ravvisi la violazione dell’art. 114 del Codice, deve disporre le misure correttive e sanzionatorie necessarie, sia nel caso in cui l’Ispettorato abbia provveduto, per i profili di propria competenza, a sanzionare il soggetto che ha tenuto una condotta in violazione dell’art. 4 della l. 300 del 1970, sia nel caso in cui lo stesso non abbia proceduto in tal senso.
L’art. 114 del Codice incardina la competenza del Garante relativamente alla verifica del rispetto della disciplina di protezione dei dati personali anche ai fini della disciplina sui controlli a distanza, attribuendo poteri sia sanzionatori sia correttivi, prevedendo, tra l’altro, una propria cornice edittale completamente differente da quella prevista per il lato lavoristico. Gli ambiti di operatività delle due discipline, seppure collegati, sono quindi autonomi. Per queste ragioni la condotta tenuta dalla Società configura la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento.
In conclusione, si tratta di un caso dove evidentemente non sono stati applicati correttamente i principi di data protection by design e by default nella progettazione e gestione di un sistema di videosorveglianza. Infatti, è parte fondamentale di un corretto modello organizzativo la conduzione di audit (ispezioni) al fine di garantire il rispetto dell’intera disciplina di settore magari specifica come nel caso dei negozi italiani con l’articolo 4 dello Statuto dei lavoratori.
Nel video: lo speech di Marco Soffientini al Privacy Day Forum 2023. Sotto le slides dell'intervento)
