Ok alle body cam, ma ci vuole un regolamento aziendale interno
Per le body cam ci vuole un regolamento aziendale interno. I dispositivi indossabili non sono tabù per la privacy, ma le aziende devono dotarsi di un disciplinare interno e prevedere le garanzie per chi è ripreso e per i lavoratori. Il provvedimento del Garante della privacy n. 362 del 22 maggio 2018 studia le body cam in relazione alle norme del Codice della privacy, con alcune considerazioni «ponte» rispetto al regolamento europeo sulla privacy (n. 2016/679), operativo dal 25 maggio 2018.
Per questa forma di videosorveglianza mobile, nell'ottica del regolamento Ue, le aziende devono verificare se scrivere una valutazione di impatto privacy (articolo 35), e devono dettare i limiti nella raccolta e nella conservazione dei dati così da rimanere nei limiti del «legittimo interesse», che significa poter trattare i dati senza consenso.
Altre precauzioni riguardano le misure di sicurezza: in particolare tecniche di crittografia di dati e tracciamento degli accessi alle immagini riprese. Altro adempimento della privacy europea è la istituzione e stesura del registro del trattamento, in cui scrivere il trattamento della raccolta di immagini mediante body cam.
Ecco i punti qualificanti del provvedimento dell'autorità di controllo italiana.
Il caso - Il Garante della privacy si è occupato di dispositivi indossabili, cosiddetti body cam, consentono la raccolta e la trasmissione delle immagini riprese in tempo reale verso un elaboratore. In concreto era un progetto sperimentale di una società di trasporto ferroviario e di body cam indossate dal personale viaggiante. Le indicazioni del provvedimento in esame sono estensibili a qualunque ipotesi di body cam.
Il trattamento è lecito - Nel caso specifico la risposta è stata affermativa sulla base dei seguenti ragionamenti. Si tratta di finalità di sicurezza, tutela dei beni aziendali e precostituzione di elementi di prova. Tra le operazioni coperte da liceità il Garante ha ammesso la trasmissione delle immagini alla compagnia assicuratrice dell'azienda, previo oscuramento di immagini di terzi estranei alle persone coinvolte nei sinistri.
Dal 25 maggio 2018. Il provvedimento in esame è anteriore all'efficacia del regolamento Ue sulla protezione dei dati, ma ne tiene conto. Dal 25 maggio 2018, in base al principio di responsabilizzazione di cui all'articolo 24 del regolamento (Ue) 2016/679, si legge nella deliberazione, l'azienda deve valutare autonomamente la conformità alla disciplina europea del trattamento che intende effettuare, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto privacy ex articolo 35 del citato regolamento, oppure attivare la consultazione preventiva ai sensi dell'articolo 36 del regolamento.
Questa notazione significa che le aziende che vogliono introdurre le body cam non devono chiedere più un'autorizzazione al Garante (avvalendosi della procedura della verifica preliminare), ma devono elaborare atti di documentazione delle scelte e conservarli nella propria documentazione amministrativa. Si passa a un regime di svincolo dal nulla osta dell'autorità garante e proprio per questo più responsabilizzante per l'azienda.
Pertinenza e non eccedenza dei dati trattati - L'azienda deve individuare la concreta tipologia di eventi in presenza dei quali è prevista l'attivazione dei dispositivi di videoripresa indossabili da parte degli operatori. Si deve consentire la visualizzazione delle immagini raccolte solo al personale a ciò autorizzato, a esclusione degli operatori che effettuano le riprese.
Bisogna individuare tempi di registrazione congrui rispetto alle finalità perseguite (una settimana) e tenere i dati trattati fino al termine di prescrizione con cancellazione automatica delle informazioni allo scadere del termine previsto per la conservazione dei dati.
Senza consenso - I trattamenti possono essere effettuati, nei confronti dei dipendenti e degli utenti, senza il consenso. Il provvedimento del Garante è, infatti, un provvedimento di bilanciamento di interessi, con cui il Garante autorizza un certo tipo di trattamento. Nel regolamento europeo sulla protezione dei dati, si passa al legittimo interesse, che è una base giuridica slegata dal consenso, ma ancorata a una assunzione di responsabilità del titolare del trattamento. Il legittimo interesse (trattamento dati senza consenso) va appositamente segnalato nell'informativa privacy (che sarebbe meglio chiamare atto di informazione in base all'articolo 13 del regolamento Ue). A questo proposito appare lineare considerare che se c'è un provvedimento del Garante di bilanciamento degli interessi (redatto ai sensi del Codice della privacy, articolo 24, lettera g), la situazione considerata ben può essere qualificata come legittimo interesse ai sensi dell'articolo 6, paragrafo 1, lettera f) del regolamento Ue 2016/679.
Tutela degli interessati. L'azienda dovrà predisporre un apposito disciplinare relativo all'uso consentito delle «body cam», con il quale individuare le condizioni in presenza delle quali potranno essere attivati i dispositivi (prevedibile concreto pericolo di danni a persone e cose) nonché i casi in cui l'attivazione non è consentita. Inoltre dovranno essere chiaramente indicate le modalità di utilizzo dei dispositivi stessi, con particolare riferimento alla necessità di adottare particolari cautele nel caso in cui le riprese video possano riprendere (anche) vittime di reati, testimoni, minori di età o possano riprendere luoghi assistiti da particolari aspettative di riservatezza quali le toilette situate a bordo delle vetture.
Con il regolamento interno l'azienda deve fornire specifiche istruzioni ai soggetti autorizzati in servizio presso la centrale operativa (da dotare di specifiche credenziali e incaricati della visualizzazione delle immagini in tempo reale) circa le ipotesi in presenza delle quali inviare soccorsi e avvisare le forze di polizia. L'azienda, con il regolamento interno, deve altresì individuare un procedimento in base al quale i soggetti a ciò autorizzati, muniti di specifiche credenziali, procedono a verificare che le immagini raccolte siano relative a fatti effettivamente rilevanti rispetto alle finalità perseguite; è necessario che la conservazione per un tempo superiore ai sette giorni sia disposta solo previa verifica da parte di soggetti autorizzati della rilevanza delle immagini raccolte rispetto alle finalità perseguite. Le operazioni di accesso ed estrazione dei dati raccolti effettuate dai soggetti a ciò specificamente autorizzati devono essere tracciate.
È necessario predisporre misure affinché gli operatori che hanno in dotazione i dispositivi non possano effettuare operazioni di modifica, cancellazione e duplicazione delle immagini raccolte. Le registrazioni video devono essere conservate in forma cifrata, utilizzando tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. Una volta decorso il tempo di conservazione previsto le registrazioni devono essere cancellate irreversibilmente utilizzando meccanismi di cancellazione automatica. Infine è necessario predisporre adeguati strumenti di comunicazione per avvisare gli utenti, con linguaggio semplice e sintetico, della presenza del sistema di videosorveglianza mobile e le sue caratteristiche, specificando anche che una spia accesa sul dispositivo indossabile indica che la funzionalità di videoripresa è attiva.
Adempimenti - Le imprese, prima dell'inizio dei trattamenti, devono fornire ai dipendenti della società coinvolti dai descritti trattamenti un'informativa e predisporre misure al fine di garantire agli interessati l'esercizio dei diritti previsti dalla normativa sulla privacy. Qualora il personale autorizzato, all'esito delle dovute verifiche, proceda alla conservazione delle immagini per un tempo superiore ai sette giorni, l'azienda deve valutare l'opportunità di annotare su un apposito documento o registro i relativi riferimenti (anche in vista di quanto previsto, in materia di registro del trattamento, dall'articolo 30 del regolamento generale sulla protezione dei dati).
Fonte: Italia Oggi del 9 luglio 2018 - Articolo a cura di Antonio Ciccia Messina
