Articoli

Videosorveglianza e modifica degli assetti aziendali: cosa fare?

Avv. Vincenzo Colarocco

Con la circolare n. 1881 del 25 febbraio 2019, avente ad oggetto “indicazioni operative in ordine al rilascio di provvedimenti autorizzativi”, l’Ispettorato Nazionale del Lavoro (INL) fornisce una serie di indicazioni operative circa la corretta applicazione dell’art. 4 della legge 300/1970 (Statuto dei Lavoratori) nelle ipotesi di intervenuti processi di modifica degli assetti proprietari (quali a mero titolo esemplificativo, cessioni, fusioni, affitto di ramo d’azienda, ecc.).

In particolare, ci si chiede se, nelle ipotesi di cambiamento di titolarità dell’impresa che ha installato impianti audiovisivi o altri strumenti di controllo a distanza dei lavoratori sia necessario rinnovare le procedure di accordo in sede sindacale o autorizzativa o se sia sufficiente che la sopravvenuta modifica della proprietà venga resa formalmente nota alle sedi competenti dell’Ispettorato.

Su tale aspetto, l’INL è intervenuto precisando quanto segue: “il mero “subentro” di un’impresa in locali già dotati degli impianti/strumenti non integra di per sé profili di illegittimità qualora gli impianti/strumenti stessi siano stati installati osservando le procedure (accordo collettivo o autorizzazione) previste dall’art. 4 della L. n. 300/1970e non siano intervenuti mutamenti dei presupposti legittimanti (organizzative e produttive, quelle di sicurezza sul lavoro e quella di tutela del patrimonio aziendale) e delle modalità di funzionamento degli strumenti di sorveglianza.

Resta fermo l’obbligo per l’azienda “che subentra” di: (i) comunicare all’Ufficio che l’ha rilasciato, gli estremi del provvedimento di autorizzazione all’installazione degli impianti; (ii) di rendere una dichiarazione attestante che –con il cambio di titolarità- non sono mutati né i presupposti legittimanti il suo rilascio, né le modalità di uso dell’impianto audiovisivo o dello strumento autorizzato.

Tale circolare è del tutto coerente con la responsabilizzazione (c.d. accountability), prevista dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali demandando alle aziende le modalità di tutelare un proprio interesse legittimo, rispettando, pur sempre, la dignità e la riservatezza dei lavoratori.

Comminate le prime sanzioni per violazioni al gdpr

Avv. Vincenzo Colarocco

A circa sei mesi di distanza dall’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), recante la nuova disciplina in materia di trattamento dei dati personali nel contesto comunitario, si segnalano le prime sanzioni derivanti da violazioni del nuovo tessuto normativo.

Anzitutto si segnala un provvedimento sanzionatorio adottato dal Garante Privacy Austriaco in relazione ad un inappropriato utilizzo dei sistemi di videosorveglianza aziendali (per un approfondimento sul tema, in lingua originale, clicca qui). In particolare, l’azienda sanzionata risultava munita di videocamere che, prescindendo da una concreta finalità, da qualunque segnalazione al Garante e dall’esposizione della dovuta segnaletica, riprendevano non solo gli ingressi agli stabilimenti aziendali ma anche i volti di chi percorrevi gli attigui marciapiedi. In tale circostanza la sanzione comminata è stata pari ad euro 4.000,00 circa.

Da riportarsi è anche la sanzione conseguente ad un caso di data breach verificatosi in Germania. Nonostante i casi di violazione di dati personali non si siano certo fatti attendere in questa prima fase di entrata in vigore del GDPR, il provvedimento adottato dal Garante Tedesco (disponibile qui in allegato in lingua originale) si attesta sinora come una rarità nello scenario comunitario. La particolarità della sanzione comminata nel caso di specie si attesta nella circostanza che l’Autorità competente sembrerebbe aver tenuto in maggior considerazione l’evidenza che i dati violati (nello specifico nome utente e password aziendali) fossero stati mal conservati dall’azienda coinvolta, piuttosto che dalla conseguente sottrazione degli stessi. Tale ultima circostanza costituirebbe infatti, stando al Garante Tedesco, la mera conseguenza di non essersi muniti di sistemi di cifratura adeguati che, seppur in caso di sottrazione di dati, avrebbero quantomeno potuto evitare che le password dei dipendenti venissero rese pubbliche. In seguito a tali eventi la sanzione adottata si è attestata sugli euro 20.000.

Le descritte misure sanzionatorie restano comunque ben più lievi rispetto a quella recentemente comminata dall’Autorità Portoghese (pari ad euro 400.000,00) ad una struttura ospedaliera nazionale rea di aver posto in essere delle politiche estremamente leggere in materia di accesso a dati sanitari, con la conseguenza che gli addetti di qualsiasi reparto potevano, con estrema facilità, non soltanto accedere, ma anche modificare i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero. La portata della sanzione adottata ha fatto sì che la notizie fosse rilanciata con enfasi anche dai quotidiani nazionali portoghesi (qui un esempio).

Dal quadro esposto emerge chiaramente come le Autorità Europee Garanti della Privacy, dopo una concepibile prima fase di assestamento, guardino ormai con attenzione crescente a quel complesso di norme del GDPR attinenti alla sfera sanzionatoria, di cui tanto si è parlato nei momenti antecedenti all’entrata in vigore della nuova normativa. Risulta altresì evidente come il quadro sanzionatorio – e per l’effetto quello delle possibili condotte che possano integrarlo – si configuri come assai vario. Non adottare la dovuta segnaletica in ambito di videosorveglianza; non munirsi di policy adeguate per regolamentare l’accesso ai dati; non beneficiare di semplici sistemi di cifratura per le password dei propri dipendenti, rappresentano errori assai comuni e che possono essere commessi a qualunque livello aziendale.