«È possibile utilizzare i metadati generati da una telecamera intelligente per consentire l’apertura automatica di un cancello solo se il soggetto inquadrato indossa i DPI necessari (casco, giubbotto riflettente ecc.)?», chiede un lettore di Sicurezza.
Sì, l’utilizzo di metadati generati da telecamere intelligenti per verificare la presenza dei DPI e abilitare l’accesso automatizzato a un’area di lavoro può essere considerato lecito e persino auspicabile ai fini della sicurezza sul lavoro, purché siano rispettati i principi fondamentali del GDPR e le disposizioni in materia di tutela della salute e sicurezza nei luoghi di lavoro (D.Lgs. 81/2008).
L’impiego di sistemi di analisi delle immagini per il rilevamento dei DPI trova una solida base giuridica nell’obbligo giuridico del titolare di garantire il rispetto delle norme in materia di sicurezza sul lavoro e prevenzione degli infortuni, limitando l’accesso ad aree pericolose solo al personale dotato di adeguati dispositivi di protezione individuale.
Peraltro, i metadati non sono dati personali fino a quando non viene identificato l’interessato, perché viene analizzato solo ciò che indossa per verificare se è conforme alle prescrizioni per l’accesso all’area a rischio. In assenza di altri dati identificativi del soggetto e di memorizzazione delle immagini, non c’è modo di associare all’interessato i metadati che hanno consentito o precluso l’accesso.
Il titolare deve garantire il rispetto del principio di minimizzazione dei dati, rilevando solo quanto necessario ad attivare o bloccare la serratura. Le immagini devono essere utilizzate solo per la finalità dichiarata e la conservazione deve essere evitata o comunque limitata nel tempo, garantendo misure di sicurezza adeguate a tutelare gli interessati (i quali, se lavoratori, godono della tutela aggiuntiva della L. 300/1970).
In ogni caso dev’essere garantita adeguata informazione a chi entra nel raggio d’azione delle telecamere, mediante cartelli conformi alle regole dettate dall’autorità Garante e dal Comitato Europeo per la tutela dei dati personali e informative complete facilmente consultabili in loco e tramite Internet.
In caso di utilizzo sistematico di tecnologie intelligenti che condizionano l’accesso a persone fisiche, è fortemente consigliato effettuare una valutazione d’impatto ai sensi dell’art. 35 del GDPR, per analizzare i rischi e documentare le misure adottate per ridurli.
L’adozione di una simile tecnologia deve avvenire con il coinvolgimento dell’RSSP (Responsabile del Servizio Prevenzione e Protezione) e, ove presente, del Responsabile della protezione dei dati, per garantire la coerenza con le norme in materia di sicurezza e privacy.
