«La nostra azienda sta installando un sistema di videosorveglianza in un’area a rischio ed è stata fissata la data per la stipula dell’accordo sindacale ai sensi dell’art. 4 dello Statuto dei Lavoratori. Per esigenze di sicurezza, alcuni dirigenti e l’addetto alla sicurezza hanno la possibilità di accedere alle immagini in tempo reale tramite un’app sui loro smartphone, collegata all’NVR. È legittimo inserire all’interno dell’accordo sindacale i nominativi dei soggetti autorizzati all’accesso?», ci chiede un lettore di Sicurezza.
Dato che la Legge 300/1970 richiede un accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro, prima di installare impianti di videosorveglianza che possano controllare l’attività dei lavoratori, le informazioni sui soggetti autorizzati ad accedervi potrebbero non essere ancora disponibili ovvero dover essere oggetto di contrattazione (sarebbe inopportuno, per esempio, autorizzare il direttore di stabilimento o l’amministratore delegato).
L’accordo deve definire le modalità d’uso dell’impianto ma non è necessario specificare un nominativo, potendosi invece far riferimento alla funzione rivestita in azienda, così da non dover aggiornare l’accordo sindacale qualora venga sostituito l’incaricato.
Nella pratica quotidiana, fatta di avvicendamenti e cambi di mansioni, è fortemente consigliato e più pragmatico specificare in modo chiaro le qualifiche o le funzioni aziendali autorizzate ad accedere ai dati e, soprattutto, definire le situazioni in cui questo è permesso e le modalità di accesso e conservazione.
Quest’ultima, alla luce dei termini piuttosto brevi richiesti al privato, è forse la priorità maggiore, perché in assenza di accordo si rischia di perdere tempo prezioso nel definire, di volta in volta, come procedere.
Al di là dell’accordo sindacale, l’azienda deve adempiere agli altri obblighi del GDPR per l’installazione delle videocamere. Deve essere aggiornato il Registro dei trattamenti, devono essere individuati e designati formalmente i soggetti interni autorizzati ad accedere ai dati (non basta citarli nell’accordo sindacale, occorre formalizzare l’autorizzazione al trattamento) e stipulare un accordo per la protezione dei dati con l’eventuale responsabile esterno ai sensi dell’art. 28 del GDPR.
Entrambe le designazioni devono riportare in concreto le modalità di accesso ai dati, di trattamento e di conservazione.
