La legge prevede l’obbligo della cosiddetta valutazione di impatto quando il datore di lavoro riscontra che il trattamento dei dati personali può avere un certo rischio per la libertà ed i diritti dei lavoratori.
Il provvedimento del Garante
L’11 ottobre 2018, il Garante per la privacy ha fornito un “elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto” con il provvedimento numero 467. L’elenco (al punto 5) identifica un riferimento preciso al rapporto di lavoro, dal quale consegue che il datore di lavoro è obbligato ad effettuare la valutazione di impatto, ed infatti vengono menzionati i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”.
Linee guida e rischio elevato
Sempre il Garante per la privacy, ha fornito delle linee guida per la valutazione dell’impatto sulla valutazione dei dati personali, che aiutano le aziende ed i datori di lavoro a determinare se all’interno della loro realtà si configura il cosiddetto “rischio elevato”. Con questa formula si intende, ad esempio, il monitoraggio dei comportamenti dei lavoratori che avviene attraverso le telecamere di sorveglianza, come identificato dall’art.35 del GDPR al comma 3 lettera C che parla di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. Nel caso di aree videosorvegliate, i lavoratori potrebbero non essere a conoscenza di chi raccoglie i dati e di come li utilizzerà, senza contare che potrebbe essere impossibile sottrarsi a tale trattamento perché, ad esempio, le telecamere potrebbero essere installate in uno spazio costantemente occupato dai lavoratori.
Le immagini sono un dato personale?
Come ha avuto modo di chiarire la Cassazione con la sentenza 17440/2015, le semplici immagini sono sempre da considerare come dato personale, anche se non vengono registrate, poiché permettono di identificare una persona fisica. Ne consegue che anche la semplice visualizzazione comporta di fatto una raccolta di dati personali ed in quanto tale è sottoposta a tutte le procedure previste dalle norme, ivi compresa la valutazione di impatto conosciuta anche con l’acronimo DPIA (Data Protection Impact Assessment).
⇒ Scopri chi sono i soggetti coinvolti nel trattamento dei dati personali.
Interessati “vulnerabili”
Può esistere uno squilibrio di potere tra gli interessati (lavoratori, utenti, ecc.) ed il titolare del trattamento dei dati. Questo accade poiché le persone non sono sempre nella condizione di opporsi al trattamento dei dati o comunque di agire per tutelare i propri diritti. Si parla quindi di interessati vulnerabili quando, ad esempio, le telecamere sono installate all’interno di un ospedale o di una scuola. In questi casi infatti, anziani e bambini rappresentano il perfetto esempio di interessati vulnerabili ed in quanto tali hanno bisogno di una protezione speciale che la DPIA è in grado di fornire in maniera preventiva.
Nuove soluzioni tecnologiche\organizzative
L’introduzione di una nuova tecnologia finalizzata per esempio al controllo degli accessi, può necessitare una DPIA (art.35 GDPR) poiché una nuova forma di raccolta dei dati, con ogni probabilità, costituisce un rischio elevato per la libertà (ed i diritti) dei lavoratori. Basta pensare all’utilizzo del controllo biometrico, finalizzato ad una maggiore sicurezza, in alcune realtà aziendali che prevedono particolari accorgimenti relativi all’accesso ad alcuni siti (laboratori, comparto energetico, ecc.).
Conclusioni
In generale, il vecchio WP29, oggi Comitato europeo per la protezione dei dati (EDPB), ritiene che più è alto il numero di criteri che vengono soddisfatti dal trattamento dei dati, più diventa probabile che si configuri un rischio elevato per i diritti e la libertà degli interessati. Ne consegue che la DPIA è sempre una buona idea quando sono presenti dei sistemi di videosorveglianza e diventa praticamente irrinunciabile quando l’azienda si dota di soluzioni tecnologiche ancora più all’avanguardia come l’accesso tramite impronte digitali o simili.