Le aziende che utilizzano sistemi di videosorveglianza all’interno dei propri locali hanno l’obbligo di verificare con urgenza la conformità normativa degli impianti, in quanto la presenza di telecamere in ambito lavorativo è soggetta a specifici obblighi inderogabili. Ai sensi dell’art. 4 dello Statuto dei Lavoratori (Legge 300/1970), l’installazione e l’utilizzo di impianti di videosorveglianza in presenza di lavoratori è consentita esclusivamente previa autorizzazione, che deve essere ottenuta mediante accordo sindacale oppure, in alternativa, tramite provvedimento rilasciato dall’Ispettorato Territoriale del Lavoro competente.

‍In mancanza di uno di questi presupposti, l’impianto è da considerarsi illecito, indipendentemente dalla finalità dichiarata, e le immagini eventualmente raccolte non sono utilizzabili.

Una volta regolarizzato il profilo autorizzativo, permane l’obbligo di informare correttamente i lavoratori e gli altri soggetti interessati.

‍In applicazione del Regolamento (UE) 2016/679, deve essere predisposta un’informativa completa da fornire ai dipendenti e, contestualmente, deve essere esposta un’informativa breve mediante apposita cartellonistica, obbligatoriamente da collocare in modo visibile prima dell’accesso alle aree videosorvegliate e, in ogni caso, in prossimità delle telecamere.

‍

Particolare attenzione deve essere inoltre riservata all’adozione di misure di sicurezza adeguate, che costituiscono un obbligo ai sensi dell’art. 32 del Regolamento (UE)2016/679.

Il sistema di videosorveglianza deve essere configurato in modo tale da garantire un livello di protezione effettivo dei dati trattati, sia in fase di registrazione sia in fase di accesso e consultazione. In tale ambito, i tempi di conservazione delle immagini devono essere limitati allo stretto necessario rispetto alle finalità perseguite e impostati direttamente a livello di sistema, evitando conservazioni prolungate non giustificate (in via generale, periodi non superiori a 24-48, salvo specifiche situazioni).

Sotto il profilo tecnico, è necessario che le immagini e i flussi video siano adeguatamente protetti, anche mediante l’adozione di sistemi di crittografia, in modo da prevenire accessi non autorizzati. L’accesso ai dispositivi di registrazione e alle piattaforme di gestione deve avvenire esclusivamente tramite credenziali individuali, con adeguati requisiti di sicurezza, prevedendo ove possibili sistemi di autenticazione a due fattori e meccanismi di tracciamento delle operazioni effettuate.

‍

Deve essere inoltre attentamente regolamentato l’eventuale accesso da parte di fornitori esterni o soggetti incaricati della manutenzione del sistema e/o vigilanza. Tali accessi devono avvenire esclusivamente da parte di soggetti formalmente individuati e qualificati, previa designazione a responsabili del trattamento, e devono essere limitati nel tempo e nelle funzionalità.

Non è ammesso il ricorso ad accessi generici, permanenti o non tracciati da parte di installatori o manutentori. L’azienda deve essere in grado di dimostrare in ogni momento chi accede al sistema, per quali finalità e con quali modalità operative.

Inoltre, qualsiasi variazione del sistema di videosorveglianza aziendale già autorizzato in precedenza deve essere valutata e autorizzata dai soggetti competenti; a titolo esemplificativo: qualsiasi intervento che modifichi l’assetto originariamente autorizzato, inclusa l’integrazione o la rimozione di telecamere, la modifica del loro posizionamento o delle caratteristiche tecniche, l’introduzione o rimozione di monitor di visione e/o società di vigilanza, nonché ogni cambiamento nelle modalità di funzionamento o nelle finalità del trattamento.

‍

Si evidenzia che in sede di controllo la Guardia di Finanza verifica puntualmente la presenza dell’autorizzazione da parte dei soggetti competenti e dei cartelli conformi alla normativa vigente.

Non sono ritenuti validi cartelli generici o acquistati senza criteri specifici, ma esclusivamente quelli conformi ai modelli previsti dal Garante per la protezione dei dati personali, che devono contenere le informazioni minime richieste (Titolare del trattamento, finalità, tempi di conservazione e dati di contatto) e risultare chiaramente leggibili.

La mancata conformità non rappresenta una mera irregolarità formale, ma espone l’azienda a sanzioni rilevanti, anche di importo elevato, oltre all’inutilizzabilità delle immagini raccolte.

‍

‍

‍