Come ormai noto, lo scorso 23 febbraio 2023 si è appreso che la Commissione Europea ha richiesto a tutti i dipendenti e collaboratori dell’Istituzione di disinstallare l’applicazione del social network TikTok dai propri dispositivi elettronici, sia aziendali che personali. Tale richiesta è stata accompagnata dall’avviso che, per coloro che non avessero provveduto a disinstallare il social network entro il successivo 15 marzo, non sarebbe stato più possibile accedere ad altre applicazioni aziendali quali la casella di posta elettronica o i servizi Skype.
La decisione assunta dall’Istituzione europea deriva da una esigenza di protezione dei dati e delle informazioni di quanti lavorano per essa nonché dalla necessità di aumentare la sicurezza informatica.

In Italia un datore di lavoro del settore privato potrebbe adottare la stessa decisione?
Nel tentativo di fornire una risposta a tale complesso quesito, occorre anzitutto distinguere tra dispositivi aziendali e dispositivi personali. Se forniti dal datore di lavoro, gli strumenti elettronici, tra i quali rientra il telefono cellulare, costituiscono dotazioni aziendali e, in quanto tali, il datore di lavoro ha la possibilità di adottare su di essi un certo “controllo”.

Tramite, infatti, l’individuazione e l’adozione di politiche interne atte a definire regole per un corretto utilizzo degli strumenti di lavoro di cui sono dotati i suoi dipendenti, il datore di lavoro ha la possibilità di introdurre regole finalizzate a impedire un utilizzo improprio dello strumento assegnato, vietarne un impiego per fini personali piuttosto che inibire la possibilità di installare sul dispositivo applicazioni non connesse all’attività lavorativa.

In caso di assegnazione di strumenti aziendali è dunque altamente raccomandabile adottare politiche e regolamenti interni che disciplinino il corretto uso che gli assegnatari possono farne: tali aspetti, infatti, hanno delle conseguenze trasversali su diversi profili connessi alla gestione del rapporto di lavoro – basti pensare, ad esempio, ai temi in materia (i) di diritto del lavoro che ricomprendono anche aspetti inerenti alle sanzioni disciplinari adottabili in caso di violazione delle regole aziendali nonché di corretto esercizio del potere di controllo esercitabile dal datore di lavoro, (ii) di protezione dei dati personali, tanto dei lavoratori stessi quanto dei dati che trattano in ragione delle loro mansioni nonché (iii) di salute e sicurezza e dei rischi ai quali potrebbero essere esposti i lavoratori che ne fanno uso.

Diverse, invece, sono le conclusioni alle quali si può giungere in tema di dispositivi personali. Trattandosi, infatti, di strumenti propri del lavoratore il datore di lavoro può limitare, o anche eventualmente escludere, l’utilizzo dei telefoni cellulari personali durante la giornata lavorativa senza però entrare nel merito di ciò che sia possibile o non sia possibile installare sugli stessi.

Alle complesse tematiche di cui sopra, si aggiunge, da ultimo che l’uso di strumenti elettronici, siano essi personali o aziendali, espone il patrimonio aziendale al rischio di perdite accidentali, furti e diffusioni. Pertanto, i datori di lavoro devono avere cura di adottare tutte le misure idonee ad assicurare livelli di sicurezza sufficientemente elevati nel pieno rispetto di tutte le normative applicabili in tali circostanze.

In ragione delle valutazioni sin qui esposte, che in ogni caso meriterebbero di essere ulteriormente approfondite, non appare possibile per un datore di lavoro italiano intervenire direttamente sui dispostivi elettronici personali dei propri dipendenti al pari di quanto fatto dalla Commissione Europea. Tuttavia, definire, adottare e aggiornare nel tempo politiche che regolamentino l’uso degli strumenti di lavoro ovvero l’uso dei dispositivi personali – durante, ad esempio, i tempi di riposo nell’arco della giornata lavorativa – appare una misura fondamentale che le aziende dovrebbero considerare nella più ampia definizione del piano strategico di tutela tanto del patrimonio aziendale quanto dei soggetti che compongono l’organizzazione di riferimento.

Lo scorso 5 dicembre, l’Autorità Garante per la protezione dei dati personali (l’“Autorità”) ha messo a punto delle FAQ (“Frequently Asked Questions”) riguardanti i trattamenti di dati personali effettuati da soggetti pubblici e privati mediante l’uso di impianti di videosorveglianza.

I chiarimenti dell’Autorità tengono conto di quanto introdotto dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (c.d. “GDPR”) e dalle Linee Guida adottate dal Comitato Europeo per la protezione dei dati (“EDPB”) sul punto.

Le FAQ chiariscono, innanzitutto, che (i) i trattamenti svolti mediante l’uso di sistemi di videosorveglianza devono essere effettuati nel rispetto del principio di minimizzazione, ciò in relazione alla scelta delle modalità di ripresa e alla dislocazione dell’impianto, e (ii) i dati trattati devono essere pertinenti e non eccedenti rispetto alle finalità perseguite.

Sulla base del principio di accountability (c.d. “principio di responsabilizzazione”), è compito di ciascun Titolare del trattamento effettuare delle valutazioni circa la liceità e la proporzionalità del trattamento, tenendo conto del contesto e delle relative finalità, nonché del rischio per i diritti e le libertà degli interessati.

A parere dell’Autorità, ciascun Titolare del trattamento deve valutare se sussistono i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati (“DPIA”) prima di iniziare il trattamento.

In merito all’informativa da fornire agli interessati, le FAQ precisano che può essere adottato il modello semplificato (c.d. cartello) messo a punto dall’EDPB e diffuso con le sue Linee Guida. Il cartello deve contenere (i) i dati di contatto del Titolare del Trattamento e, qualora presente, del Responsabile della protezione dei dati (DPO); (ii) il periodo di conservazione delle informazioni raccolte nonché (iii) le finalità dei trattamenti effettuati. Il cartello deve essere collocato prima dell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera, e deve rinviare ad una informativa completa recante tutte le informazioni di cui all’articolo 13 del GDPR, comprese le indicazioni circa le modalità di presa visione.

L’Autorità ribadisce, altresì, che le immagini registrate dovrebbero essere cancellate dopo pochi giorni (24/48 ore) e che quanto più prolungato è il periodo di conservazione previsto, maggiormente argomentata dovrà essere l’analisi sulla legittimità dello scopo e sulla effettiva necessità di una conservazione più lunga.

Infine, viene ribadito che nei luoghi di lavoro è possibile installare sistemi di videosorveglianza esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nel rispetto delle garanzie previste dall’ articolo 4 della legge n. 300/1970.

◊◊◊◊

In conclusione, le FAQ, disponibili sul sito dell’Autorità (www.garanteprivacy.it), contengono indicazioni sui requisiti necessari affinché il trattamento di dati personali effettuato attraverso l’utilizzo di sistemi di videosorveglianza sia lecito.

Le FAQ superano, seppur parzialmente, il precedente “Provvedimento in materia di videosorveglianza dell’8 aprile 2010”, adeguando le previsioni ivi contenute a quanto introdotto dal GDPR e dalle Linee Guida dell’EDPB.

Altri insights correlati:

EDPB: versione preliminare delle linee guida n. 3/2019 sulla videosorveglianza