Compliance & Risk Management – I rischi associati all’installazione di un impianto di videosorveglianza

In questo quinto numero della Newsletter Compliance & Risk Management, i professionisti della Service Line 231/Privacy di Andersen hanno approfondito il tema della videosorveglianza in azienda, al fine di evidenziare l’importanza, sempre più crescente, di adottare apposite misure in grado di mitigare i rischi associati all’installazione di un impianto di videosorveglianza (TVCC), migliorando così la propria governance.

Videosorveglianza sul luogo di lavoro: il discrimine dell’illecito ex D.Lgs. 231/2001

L’installazione di telecamere è lecita unicamente a condizione di ottenere preventivamente l’autorizzazione dell’Ispettorato del Lavoro territorialmente competente ovvero di stipulare un accordo con le rappresentanze sindacali, come disposto dall’art. 4 dello Statuto dei Lavoratori. L’assenza di tale adempimento qualifica l’attività come controllo a distanza dei lavoratori, reato presupposto per la responsabilità amministrativa dell’ente. Rappresentano un’eccezione i controlli difensivi, legittimi solo in caso di gravi e concreti indizi di illeciti.

Pertanto, il MOGC deve incorporare specifici protocolli dedicati: dall’informativa privacy conforme al GDPR alla formazione di responsabili e Organismo di Vigilanza, sino alla mappatura dettagliata delle aree videosorvegliate.

Sistema di videosorveglianza e riconoscimento facciale: come renderlo conforme al GDPR e all’AI ACT

Ai fini della conformità normativa (in particolare, al GDPR e all’AI ACT), l’implementazione di un sistema di videosorveglianza con riconoscimento facciale richiede necessariamente un approccio risk based. Oltre a definire le finalità per cui installare tale sistema (ad es. sicurezza, prevenzione dei furti), considerando anche i divieti previsti dall’AI ACT, è necessario valutare i rischi per i diritti e le libertà delle persone attraverso un Data Protection Impact Assessment (DPIA), adottando sistemi che consentano di rispettare il principio di minimizzazione.

In termini organizzativi, è necessario predisporre procedure interne chiare e comprensibili e informative visibili in corrispondenza delle aree video sorvegliate. Solo integrando aspetti legali, tecnici e organizzativi è possibile utilizzare il riconoscimento facciale in modo conforme, riducendo così i rischi per i diritti delle persone.

Impianto TVCC e risk assessment: i rischi più rilevanti

La progettazione e la installazione di un impianto di videosorveglianza presuppone un’attenta analisi dei rischi connessi (rischi tecnici, legali, organizzativi, di sicurezza e di responsabilità) in una prospettiva di gestione integrata dei rischi medesimi. Non devono essere sottovalutati gli aspetti privacy, considerato che un impianto TVCC tratta immagini, ovverosia dati personali.

Da tenere in attenta considerazione vi sono anche gli impatti del sistema di videosorveglianza nel contesto lavorativo, con riguardo alle previsioni di cui all’art. 4 Statuto dei Lavoratori, nonché i rischi tecnici e di funzionamento dovuti, ad esempio, a vulnerabilità della rete.

Pertanto, è necessario predisporre e mantenere una stabile struttura di governance che preveda procedure o istruzioni operative tali da assicurare un utilizzo dell’impianto del tutto conforme alle normative vigenti.