Tre disposizioni del Garante per la protezione dei dati personali riportano al centro dell'attenzione il tema dell'utilizzo di strumenti per il controllo a distanza di cittadini e lavoratori.
Nel corso del 2021 appena trascorso, l’attenzione dei media si è concentrata (anche in modo eccessivo) sulla certificazione verde (Green Pass), introdotta per limitare la diffusione del Coronavirus, e, in particolare, sulla facoltà del lavoratore di depositarne copia presso il datore di lavoro per semplificare i controlli. L’interesse per la suddetta certificazione e il dibattito che ne è scaturito hanno temporaneamente oscurato il confronto sulle tecnologie di sorveglianza e sull’uso dei grandi database, nonostante l’introduzione sul mercato di ulteriori strumenti di controllo a distanza di cittadini e lavoratori.
Non si è però interrotta l’attività di controllo dell’autorità Garante per la protezione dei dati personali che, per esempio, nel mese di maggio ha ribadito la necessità di apporre cartelli ben visibili all’esterno delle aree sottoposte al controllo delle telecamere, per consentire all’utente di disporre liberamente del proprio diritto a non essere inquadrato.
Le modalità di trasmissione dell'informativa
La situazione sottoposta all’analisi del Collegio ha riguardato un’attività di compro-oro, per la quale non è stata messa in discussione la possibilità di installare e utilizzare un impianto di videosorveglianza (essendo indiscutibile l’elevato rischio di essere bersaglio di attività criminali), ma le modalità con cui sono state fornite al potenziale cliente le informazioni relative alla presenza delle telecamere. L’esercente non aveva installato alcun cartello informativo, all’esterno come all’interno della struttura, giustificando tale mancanza con la consegna di un’informativa cartacea al momento dell’ingresso nel locale, accompagnata da una spiegazione orale.
La tesi non ha soddisfatto l’Autorità di controllo che, tuttavia, ha preso atto della collaborazione fornita al momento del controllo e successivamente, così come dell’apposizione dei cartelli informativi nel corso del procedimento, facendo sostanzialmente venir meno la potenziale criticità.
Per tale motivo, ha irrogato all’esercente semplicemente un ammonimento, che rientra nei provvedimenti di tipo prescrittivo espressamente previsti dal nuovo Regolamento Europeo 679/2016 e costituisce un equilibrato strumento di formazione e diffusione della cultura della tutela dei dati personali in un contesto sempre più “liquido” e digitalizzato, in cui è complessa la percezione stessa del fenomeno da parte dell’utente medio.
Le finalità del trattamento
Un diverso provvedimento - che, in altri tempi, sarebbe balzato agli onori della cronaca - ha riguardato Barilla Spa, per la presenza di un impianto di videosorveglianza presso il Mulino Barilla, risalente al 2016 (quindi prima dell’entrata in vigore del GDPR ma dopo le modifiche apportate all’art. 4 della L. 300/1970 dall’art. 23 del D.Lgs. 151/2015, c.d. “jobs act”), considerato potenzialmente idoneo al controllo a distanza dei dipendenti sul luogo di lavoro.
È interessante analizzare la motivazione della sanzione, perché la tesi difensiva dell’azienda, tutt’altro che peregrina, era incentrata sulla finalità del trattamento, dichiaratamente destinato a esigenze organizzative e alla tutela del patrimonio, senza alcun interesse per il controllo a distanza dei lavoratori e anzi con espressa esclusione di poterlo utilizzare per sanzioni disciplinari, fatte salve le ipotesi di illecito civilmente o penalmente rilevante, come nell’ipotesi di qualsiasi altro soggetto resosi responsabile di condotte perseguibili.
Tale interpretazione, peraltro conforme ai principi ribaditi a più riprese dalla Corte Suprema di Cassazione con riferimento alla specifica materia, ha però trovato nel Garante una diversa applicazione, basata sul concetto di “potenziale” utilizzo della tecnologia per il controllo a distanza e, conseguentemente, sulla necessità di provvedere comunque alla comunicazione di rito alla Direzione Territoriale del Lavoro o alla sottoscrizione di un accordo sindacale.
Non è stata ritenuta equiparabile, ai fini di un corretto inquadramento normativo e regolamentare, la pur avvenuta comunicazione dell’installazione alle organizzazioni sindacali presenti in azienda, poiché la norma di riferimento “tutela interessi di carattere collettivo e superindividuale”, pertanto anche il consenso, eventualmente prestato dai singoli lavoratori all’installazione di impianti, non è equivalente alla necessaria attivazione della procedura con le rappresentanze dei dipendenti o, in mancanza, sotto il controllo dell’autorità pubblica”.
La facoltà di presentare scritti difensivi
Un terzo provvedimento, più recente, ha riguardato le attività di una società operante nel settore del turismo capitolino, attraverso la gestione di un hotel e un residence, presso i quali era installato un sistema di videosorveglianza in assenza di idonei cartelli informativi che, ribadisce il Garante, sono essenziali al fine di rispettare i principi generali contenuti nell’art. 5 del Regolamento UE 679/2016 e in particolare il principio di trasparenza, il quale impone che gli interessati siano sempre informati dell’imminente accesso a un’area videosorvegliata, indipendentemente dalla circostanza che si tratti di immagini registrate o semplice controllo tramite operatore.
Occorre quindi interrogarsi, nell’eseguire i controlli periodici sul perimetro aziendale, sulla presenza di cartelli sufficienti a garantire un’idonea informazione, seppur sommaria, sulla presenza degli impianti di videosorveglianza, tenendo presente che l’azione degli agenti atmosferici richiede costante attenzione alla loro integrità e che l’evoluzione della materia (oggi è fortemente consigliato l’uso di immagini per una migliore percezione del messaggio e di QR code per un’immediata disponibilità dell’informativa estesa) suggerisce prudenza anche nelle ipotesi in cui si ritiene di aver operato correttamente, poiché il semplice decorso del tempo indebolisce le ragioni del titolare del trattamento, che potrebbe trovarsi a dover affrontare una situazione giuridica e sostanziale diversa da quella che l’aveva determinato ad attivare il sistema.
In questo intervento, in ogni caso, nonostante la lieve entità della sanzione pecuniaria irrogata (2.000 euro), lascia perplessi un passaggio relativo al mancato esercizio, da parte della società coinvolta, della facoltà di presentare scritti difensivi rispetto alla contestazione, che viene equiparato dall’Autorità alla mancanza di collaborazione, criterio di valutazione negativo che si riflette sulla decisione finale e che può comportare la differenza tra un ammonimento e l’irrogazione di una sanzione pecuniaria.
Non appare condivisibile tale assunto, poiché la facoltà di produrre scritti difensivi e documenti nel corso del procedimento di confronto con l’Autorità è un’espressione del diritto di difesa che, come tale, può estrinsecarsi anche nella semplice astensione da qualsiasi condotta attiva, semplicemente perché si prende atto della contestazione e non si ritiene di avere argomenti da contrapporre.
Trasformare l’esercizio di tale diritto, anche nella sua rappresentazione omissiva, in un elemento negativo di valutazione si pone chiaramente in contrasto con i principi costituzionali e pone il problema del giusto equilibrio tra il potere sanzionatorio del Garante, che è comunque un’autorità di rango amministrativo, e il potere conferito dal legislatore europeo, le cui disposizioni non possono comunque contrastare con i diritti fondamentali dell’individuo, anche per la loro natura di atti di derivazione pattizia che, comunque, ancora oggi destano perplessità in caso di contrasto con i principi stabiliti dalle costituzioni degli stati membri.
Per un utilizzo consapevole dei dati
Come sempre, dai provvedimenti dell’autorità di controllo è possibile trarre spunti di riflessione, ma è anche opportuno interrogarsi sulle giustificazioni che, nel caso concreto, possono essere fornite a eventuali contestazioni e verificare periodicamente che la visione del sistema di gestione dei dati personali sia effettivamente percepita all’esterno secondo le intenzioni del titolare.
Non sempre, infatti, nonostante le buone intenzioni, il messaggio che viene trasmesso coincide con la buona volontà di chi l’ha realizzato ed è quindi buona prassi disporre saltuariamente verifiche da parte di soggetti esterni, che possano svolgere accertamenti analoghi a quelli che porrebbe in essere un’autorità di controllo, con una visione diversa da quella del titolare e quindi certamente utilizzabile in chiave chiarificatrice e costruttiva.
Del resto, i presupposti dai quali ha origine lo stesso Regolamento UE 679/2016 sono quelli della formazione di una cultura della protezione e libera circolazione dei dati personali nell’era digitale e dell’evoluzione dei sistemi di gestione nell’ottica del miglioramento continuo. Occorre quindi considerare i sistemi di gestione come entità che reagiscono e mutano sulla base degli stimoli esterni e delle condotte interne, come avviene per ogni processo aziendale.
