Il titolare deve rispettare la normativa (europea e nazionale) in materia di privacy nonché le disposizioni di garanzia in materia di controllo a distanza (art. 4, Stat. Lav.).
Nota a GPDP, ordinanza ingiunzione 2 marzo 2023, n. 58
Fabrizio Girolami
Secondo il consolidato orientamento del Garante per la privacy, l’installazione di sistemi di rilevazione delle immagini (videosorveglianza) può determinare un trattamento di dati personali e, come tale, deve essere effettuata dal titolare nel rispetto della normativa europea e nazionale in materia di protezione dei dati (Regolamento UE 679/2016, GDPR; D.Lgs. 30 giugno 2003, n. 196, Codice della privacy, come da ultimo modificato dal D.Lgs. 10 agosto 2018, n. 101), nonché delle altre disposizioni dell’ordinamento applicabili (tra cui le norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata o le disposizioni dello Statuto dei lavoratori in materia di controlli a distanza).
Tali principi sono stati ribaditi dal Garante, con specifico riferimento alla videosorveglianza nei luoghi di lavoro, con l’ordinanza ingiunzione n. 58 del 2.03.2023. Con tale ordinanza, il Garante ha sanzionato – con la sanzione amministrativa pecuniaria di 50.000 Euro – la nota azienda di abbigliamento H&M che aveva installato e utilizzato sistemi di videosorveglianza presso una molteplicità di punti vendita, idonei a riprendere i lavoratori durante l’attività lavorativa, in violazione del GDPR, del Codice della privacy e della L. 20.05.1970, n. 300 (Statuto dei lavoratori).
H&M non aveva, in particolare, rispettato le disposizioni in materia di “controlli a distanza dei lavoratori” di cui all’art. 4, co. 1, Stat. Lav. il quale, come noto, prevede che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e possono essere “installati” previo “accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”, o, in alternativa, previa autorizzazione pubblica dell’Ispettorato nazionale del lavoro (INL).
H&M aveva giustificato l’installazione delle apparecchiature con la necessità di prevenire la commissione di furti da parte della clientela e di garantire la sicurezza dei dipendenti e del patrimonio aziendale, evitando accessi non autorizzati.
Sulla base delle risultanze istruttorie, tutti i negozi di H&M erano dotati di almeno 3 videocamere, attive 24 ore al giorno 7 giorni su 7, nelle aree riservate ai lavoratori e ai fornitori. Nei punti vendita più grandi arrivavano fino a 27. Le immagini venivano conservate 24 ore e poi sovrascritte da quelle del giorno successivo. In numerosi punti vendita, l’installazione dei sistemi di videosorveglianza era stata effettuata nel mancato rispetto delle procedure descritte dal sopra menzionato art. 4, Stat. Lav.
Il Garante ha sanzionato H&M, osservando quanto segue:
- il trattamento di dati personali nell’ambito del rapporto di lavoro, se necessario per finalità di gestione del rapporto stesso, deve svolgersi nel rispetto dei principi generali indicati dall’art. 5 GDPR, e, in particolare, del “principio di liceità”, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a), GDPR), assicurando la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori ai sensi dell’art. 88 GDPR in combinato disposto con l’art. 114 Codice della privacy che impone l’osservanza delle “procedure di garanzia” prescritte dal richiamato art. 4, Stat. Lav.;
- l’attivazione e la conclusione di tali procedure di garanzia è “condizione indefettibile per l’installazione di sistemi di videosorveglianza”. La violazione delle stesse configura un illecito penale ex art. 171 Codice della privacy (che richiama le sanzioni ex art. 38, Stat. Lav.);
- come rilevato dalla prevalente giurisprudenza di legittimità (cfr., tra le altre, Cass. pen., Sez. III, 17.12.2019, n. 50919), le procedure di garanzia ex art. 4, Stat. Lav. tutelano “interessi di carattere collettivo e superindividuale”, per cui ove il datore di lavoro non le attivi “la sua condotta lederà gli interessi collettivi a presidio dei quali è posta”;
- tali procedure sono dunque inderogabili anche per bilanciare “la situazione di sproporzione esistente tra la posizione datoriale e quella dei lavoratori”;
- l’assenza dell’accordo sindacale (o dell’autorizzazione amministrativa) non può essere sostituita da un eventuale e mero consenso, seppur informato, dei singoli lavoratori, così come non è sufficiente l’informativa resa agli interessati (ai sensi dell’art. 13 del GDPR) circa la presenza dell’impianto e del suo funzionamento mediante affissione nelle zone antistanti a quelle oggetto di ripresa;
- infine, non costituisce causa di esonero dall’osservanza della procedura preventiva di cui all’art. 4, Stat. Lav. il fatto che le telecamere, nella maggior parte dei casi, riprendevano “una zona di passaggio e non di attività lavorativa”. Come già stabilito dal Garante, e conformemente a quanto stabilito dalla giurisprudenza di legittimità, anche le aree nelle quali transitano o sostano – talora continuativamente – i dipendenti (a titolo esemplificativo, accessi alla struttura e ai garages, zone di carico/scarico merci, ingressi carrai e pedonali), qualora sottoposte a videosorveglianza, sono soggette alla piena applicazione della normativa in materia di protezione dei dati personali.