Update | Videosorveglianza e lavoratori dipendenti: il Garante sanziona importante azienda di abbigliamento
In data 2 marzo 2023, il Garante per la Protezione dei Dati Personali (“Garante”) ha sanzionato un’importante catena di abbigliamento con diversi punti di vendita (“Società”) per aver effettuato dei trattamenti di dati personali di lavoratori dipendenti tramite sistemi di videosorveglianza in violazione del Regolamento 679/2016 (“GDPR”), del d.lgs. 196/2003, come modificato dal d.lgs. 101/2018, (“Codice Privacy”) e della l. 300/1970 (“Statuto Lavoratori”). Si tratta di un tema interessante considerato il fatto che pochi giorni dopo il Garante ha emanato un altro provvedimento (n. 69 del 9 marzo 2023) sanzionando, per le stesse violazioni, un’impresa individuale esercente l’attività di commercio al dettaglio di frutta e verdura.
In particolare, due sono i comportamenti della Società censurati dal Garante.
Il primo comportamento sanzionato
Il primo concerne l’utilizzo di sistemi di videosorveglianza presso i punti vendita della Società, idonei a riprendere i lavoratori durante l’attività lavorativa, in assenza di un accordo con le rappresentanze sindacali o di autorizzazione rilasciata dall’Ispettorato del lavoro ex art. 4 dello Statuto Lavoratori. Infatti, il Garante ricorda che i trattamenti di dati personali effettuati nell’ambito del rapporto di lavoro devono svolgersi, da un lato, nel rispetto del generale principio di liceità di cui all’art. 5 GDPR e, dall’altro lato, nel rispetto delle norme nazionali di maggior tutela di cui all’art 88 GDPR. Quest’ultimo dispone che gli Stati membri possano prevedere norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro. Il secondo comma, inoltre, prevede che le suddette norme debbano includere misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in diversi ambiti, tra cui i sistemi di monitoraggio sul posto di lavoro.
Coerentemente con tale impostazione, il legislatore nazionale ha approvato una disposizione più specifica: l’art 114 del Codice Privacy che, tra le condizioni di liceità del trattamento, ha stabilito l’osservanza di quanto prescritto dall’art. 4 Statuto Lavoratori. In base a questa disposizione, i sistemi di videosorveglianza, qualora dagli stessi possa derivare la possibilità di controllo a distanza dell’attività dei dipendenti, devono rispettare due condizioni:
- possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
- l’installazione deve essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell’Ispettorato del lavoro.
In altre parole, si tratta di una procedura di garanzia inderogabile. A tal proposito, il Garante precisa che il fatto che i dipendenti fossero stati informati della presenza dell’impianto, del suo funzionamento e posizionamento anche attraverso informative brevi affisse nelle zone antistanti le zone oggetto di ripresa non costituisce una circostanza idonea a far venir meno l’obbligo di conformarsi all’art 4 Statuto Lavoratori. Di conseguenza, informare ai sensi dell’art 13 GDPR è un adempimento necessario ma non sufficiente. Ancora, il Garante rammenta che a nulla rileva che le zone riprese non siano di attività lavorativa, ma è sufficiente che in quelle aree i dipendenti transitino o sostino.
Il secondo comportamento sanzionato
Il secondo comportamento sanzionato dalla Società riguarda i punti vendita in cui le telecamere erano effettivamente installate previo accordo stipulato ai sensi dell’art. 4 Statuto Lavoratori. Tuttavia, l’accordo stabiliva che le immagini avrebbero dovuto essere conservate per un tempo massimo di 24 ore, dopo le quali si sarebbero dovute cancellare automaticamente. Al contrario, dall’istruttoria del Garante, è emerso che la conservazione era durata per un tempo maggiore.
Alla luce delle suddette violazioni, rispettivamente dell’art. 5 par. 1 lett. a) GDPR – principio di liceità – e dell’art. 88 GDPR – rispetto di norme specifiche di maggiore tutela nell’ambito dei rapporti di lavoro – il Garante ha deciso di comminare una sanzione di 50.000 euro.