Il risk management, o meglio, il risk assessment, è uno dei principali capisaldi dell’impianto normativo europeo in materia di data protection. Sono numerosi, infatti, i richiami ai “rischi per i diritti e le libertà” delle persone fisiche e degli interessati, che trovano il loro apice nella disciplina della valutazione d’impatto sulla protezione dei dati personali. In particolare, esaminiamo la valutazione dei rischi legati agli impianti di videosorveglianza.
Indice degli argomenti
Elementi da considerare nella valutazione dei rischi
Generalmente, gli elementi da considerare in una valutazione dei rischi sono la probabilità che un evento accada, e l’impatto (inteso, sovente, con accezione negativa) che un determinato evento può determinare. Basare una valutazione del rischio usando solo il metodo “matematico” dato dalla classica formula , però, talvolta può non bastare. Talvolta s’inserisce nel sistema anche la variabile arbitraria della “prudenzialità”, talaltra si ricorre alla ponderazione… insomma, le modalità di calcolo che ricorrono a elementi quantitativi offre diverse soluzioni, tutte valide allo stesso modo, se correlate alle singolarità degli scenari osservati e degli osservatori che compiono la valutazione.
Ciò che spesso, considerando i rischi dalla prospettiva imposta dal GDPR, non avviene, è l’inclusione, nel processo cognitivo che porta alla valutazione, di informazioni squisitamente qualitative, che hanno un’origine data dall’interazione delle persone osservate in un dato contesto particolarmente circoscritto. Vale a dire che il rischio non dovrebbe essere considerato come un’entità assoluta, ma relativa a un (quanto più) preciso contesto temporale e sociale, che corrispondono, per dirla con le parole della Costituzione e del Codice Civile italiani, all’ambiente dove si svolge la personalità del lavoratore. Acquista, in questo modo, un maggior rilievo la previsione di coinvolgimento degli interessati nell’esecuzione di una DPIA (cosa che richiama, a ben vedere, anche l’obbligo di coinvolgere gli RLS per le questioni legate alla sicurezza sul lavoro…).
La valutazione dei rischi connessi agli impianti di videosorveglianza
Proprio negli ambienti di lavoro s’incontrano le maggiori difficoltà nel valutare i rischi legati agli impianti di videosorveglianza che, come noto, se permettono di effettuare il controllo a distanza, in Italia sono ammessi solo per le tre finalità riconosciute dallo Statuto del Lavoratori, che appaiono, ovviamente, perfettamente compatibili con principi di liceità del trattamento disposti dal GDPR: sicurezza sul lavoro, necessità organizzative e tutela del patrimonio (queste ultime due possono facilmente rientrare nei “legittimi interessi”).
Nelle scorse settimane, dovendo curare diverse DPIA, ho elaborato un’indagine coinvolgendo direttamente gli interessati (intesi come i lavoratori che sarebbero stati poi oggetto delle riprese), in modo da delineare il rischio percepito.
Per chiarezza e spirito scientifico, è bene che prima delinei i limiti entro cui è stato realizzato il progetto. L’elenco che segue illustra brevemente le macro-categorie prese in considerazione:
- aziende private italiane, alcune appartenenti a gruppi d’imprese extracomunitari, operanti nei settori del commercio, del metalmeccanico, dell’ingegneria di precisione, della consulenza d’impresa, ed enti non lucrativi e di utilità sociale, operanti nel settore della cultura e della ricerca;
- organizzazioni con un numero di lavoratori medio di 18 persone, di ambo i sessi, di età compresa tra i 21 e i 65 anni;
- organizzazioni collocate nel Nord-Italia, sia nella piccola provincia che nelle grandi città metropolitane;
- organizzazioni con lavoratori con differenze nella provenienza geografica (nazionale e internazionale) e nel grado di istruzione (comunque non inferiore al diploma d’istruzione di secondo grado) e nel ruolo ricoperto in azienda (dall’operaio specializzato alla segreteria del CdA, dal responsabile dell’unità produttiva al socio fondatore).
Quanto emerge dall’analisi aggregata è che le persone:
- ritengono maggiormente utile l’impiego degli impianti per finalità di tutela del patrimonio, rispetto alle finalità legate alla sicurezza, ritenendo praticamente irrilevante la finalità organizzativa (come efficientare un determinato processo);
- non hanno timore di essere spiate o controllate in modo ingiustificato;
- sono dell’opinione che sia estremamente importante definire in anticipo regole chiare sull’impiego dell’impianto e i profili di autorizzazione di coloro che potranno accedere alle immagini, guardandole in diretta o in differita o attuando altri generi di trattamenti;
- gradiscono maggiormente tempi di conservazione pari al massimo a 48 ore;
- ritengono utile comunicare le immagini (registrate o in diretta) alle autorità di controllo, ma non a terzi (come le compagnie di assicurazione);
- ritengono accettabile la presenza dell’impianto e non gradirebbero la sua assenza.
Nel complesso, quindi, sembrerebbe delinearsi una situazione in cui il rischio correlato alla presenza di un impianto di videosorveglianza, nei termini in cui viene paventato dallo Statuto dei Lavoratori e dall’attenzione che questi strumenti ricevono dalle autorità di controllo come il nostro Garante Privacy, sia estremamente basso e non significativo. A presunzione, quindi, si potrebbe postulare che “la videosorveglianza non è rischiosa e non dovrebbe necessitare di una DPIA, non come è imposto dal provvedimento dell’11 ottobre 2018 (cfr. punti 3 e 5)”. A rischio di essere blasfemi, potremmo asserire che “la legge sbaglia!”.
Tuttavia, bisogna considerare diversi aspetti, tra cui il più rilevante sembra essere proprio il tipo di rapporto interpersonale che è presente nelle organizzazioni osservate, in cui è percepibile facilmente un forte spirito di collaborazione e di fiducia reciproca tra “il capo” e “i sottoposti”, oltre a una certa cultura del rischio e della protezione dei dati e delle informazioni.
La necessità di trasparenza e correttezza
Altro elemento che sembra essere in contrasto con la normativa è relativo al gradimento nei confronti di tempi di conservazione superiori a una settimana (180 ore): gli intervistati non li vedono di buon occhio; tuttavia, la legge lo permette e lo ammette, specie nei periodi di chiusura prolungata. Le organizzazioni coinvolte hanno sicuramente un tale periodo (circa due settimane l’anno), eppure i lavoratori non sembrano aver considerato questa fattispecie. Vero anche che il modo in cui si risponde dipende dal modo in cui si chiede…
Viceversa, ciò che sembrerebbe trovare conferma, è la necessità di trasparenza e correttezza, che passano attraverso la chiara definizione di regole e autorizzazioni, ossia, in altre parole, attraverso il rispetto dei principii di privacy by design e by default. La protezione dei dati sin dalla progettazione e per impostazione predefinita, quindi, sembrerebbero trascendere il piano della “legge” e assurgere a quello della “morale”.
Infine, un’ultima critica utile alla lettura e all’interpretazione dei risultati: essi non tengono conto del piano degli utenti del sistema informatico a supporto degli impianti di videosorveglianza (in particolare degli amministratori di sistema), soggetti a cui possono (devono) riferirsi informazioni e metadati che sono trattate (generate, registrate e conservate) automaticamente dall’impianto, ma che non sono certamente ascrivibili alla categoria canonica delle “immagini”.
@RIPRODUZIONE RISERVATA
