L’evoluzione tecnologica che ha caratterizzato l’ultimo decennio ha profondamente e progressivamente trasformato il ruolo degli impianti di videosorveglianza.
Da sistemi analogici, passivi e costosi, concepiti quasi esclusivamente con finalità di deterrenza e repressione dei reati a posteriori, le telecamere si sono trasformate in strumenti autonomi, connessi in rete e sempre più spesso assistiti da software di intelligenza artificiale. Questa mutazione genetica della tecnologia ha costretto il legislatore, la giurisprudenza e l’autorità Garante per la protezione dei dati personali a un continuo e faticoso inseguimento degli eventi via via pervenuti alla loro attenzione, nel tentativo di bilanciare la libertà di iniziativa economica e le esigenze di sicurezza pubblica con i diritti fondamentali della persona.
I riferimenti legislativi
Il punto di partenza per comprendere l’attuale assetto normativo è il Provvedimento Generale in materia di videosorveglianza varato dal Garante per la protezione dei dati personali l’8 aprile 2010, che per anni ha costituito la vera e propria “bibbia” per gli operatori del settore. Con quell’atto, l’autorità ha dettato regole chiare su princìpi oggi considerati scontati, come la minimizzazione dei dati (non riprendere spazi pubblici se non strettamente e realmente necessario per la protezione della proprietà), l’obbligo di un’informativa a due livelli (il famoso cartello con l’icona della telecamera da apporre prima del raggio d’azione, che preannuncia l’esistenza dell’impianto di videosorveglianza e rinvia all’informativa estesa) e la limitazione dei tempi di conservazione delle immagini (fissando la regola generale delle 24 ore, estensibili fino a 7 giorni solo per specifiche esigenze di sicurezza).
- MINIMIZZAZIONE DEI DATI: non riprendere spazi pubblici se non strettamente necessario per la protezione della proprietà
- INFORMATIVA A DUE LIVELLI: obbligo di apporre, prima del raggio d’azione del dispositivo, il cartello con l’icona della telecamera, che preannuncia l’esistenza dell’impianto e rinvia all’informativa estesa
- LIMITAZIONE DEI TEMPI DI CONSERVAZIONE DELLE IMMAGINI: la regola generale prevede la conservazione dei filmati per 24 ore, estensibili fino a 7 giorni solo per specifiche esigenze di sicurezza
Tuttavia, il vero “terremoto” normativo, destinato a cambiare radicalmente i rapporti tra datore di lavoro e dipendente, si è verificato nel 2015 con l’entrata in vigore del cosiddetto Jobs Act (D.Lgs. 14 settembre 2015, n. 151). Fino a quel momento, l’art.4 della Legge n.300 del 1970 (il celebre Statuto dei Lavoratori) poneva un divieto assoluto all’impiego di impianti audiovisivi per il controllo a distanza dell’attività lavorativa. La novella legislativa del 2015 ha riscritto la norma precedente, stabilendo che gli impianti da cui derivi anche la possibilità di controllo a distanza dei dipendenti possono essere impiegati non solamente per esigenze organizzative, produttive e di sicurezza del lavoro, ma anche per la tutela del patrimonio aziendale.
Questo inserimento non è stato un mero ritocco formale: ha sdoganato la possibilità di installare telecamere per difendere i beni dell’impresa, pur mantenendo l’onere procedurale inderogabile di stipulare un preventivo accordo con le rappresentanze sindacali (RSA/RSU) o, in difetto, di ottenere l’autorizzazione dell’Ispettorato Territoriale del Lavoro.
L’aspetto più dirompente della riforma del 2015 risiede però nel comma 3 del nuovo art.23: le informazioni raccolte tramite gli impianti di videosorveglianza sono utilizzabili a tutti i fini connessi al rapporto di lavoro, compresi quelli disciplinari, a condizione che il lavoratore sia stato adeguatamente informato sulle modalità d’uso degli strumenti e che venga rispettata la normativa sulla privacy.
Controlli in azienda
Questa apertura legislativa ha dato nuova linfa a un acceso dibattito giurisprudenziale sui cosiddetti “controlli difensivi”, ovvero quelle indagini che il datore di lavoro avvia per smascherare comportamenti illeciti dei dipendenti (come furti in azienda o frodi).
La Suprema Corte di Cassazione, con un consolidato orientamento ribadito anche di recente (si vedano, su tutte, le sentenze n. 25732/2021 e n. 18168/2023), ha chiarito una distinzione fondamentale: i controlli volti a tutelare il patrimonio che riguardano la generalità dei dipendenti devono sempre sottostare all’accordo sindacale o all’autorizzazione ministeriale; viceversa, i controlli “difensivi in senso stretto”, diretti ad accertare specifiche condotte illecite dei lavoratori e attuati ex post (cioè dopo l’evento) a seguito di un “fondato sospetto”, sono da considerarsi leciti perché esterni al perimetro dell’art.4.
In parole povere, se il datore di lavoro ha indizi concreti che un cassiere stia rubando, può utilizzare le immagini per provarlo e procedere al licenziamento, purché il controllo mirato nasca dopo l’insorgere del sospetto e non si traduca in una sorveglianza massiva e indiscriminata che leda la dignità umana. Il principio è stato rafforzato anche dalla rilevazione, da parte della Corte di Cassazione, che sarebbe illogico e giuridicamente inaccettabile accordare maggiore tutela al dipendente che compie un atto illecito rispetto alla sanzione che verrebbe irrogata a un soggetto qualsiasi responsabile del medesimo comportamento.
Dalle verifiche preliminari all’analisi dei rischi
Su questo delicato equilibrio si è innestato, a partire dal 2018, il Regolamento Europeo per la Protezione dei Dati (GDPR 679/2016), che ha introdotto il principio di accountability. Il Garante ha quindi dismesso il vecchio sistema delle verifiche preliminari, scaricando sulle aziende l’onere di effettuare l’analisi dei rischi che incombono sul trattamento e la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) ogni volta che il monitoraggio sia sistematico o riguardi zone pubbliche e soggetti vulnerabili, come i lavoratori.
Le Linee Guida 3/2019 del Comitato Europeo per la Protezione dei Dati (EDPB) hanno ulteriormente ristretto le maglie, evidenziando come la videosorveglianza limiti la possibilità dei cittadini di muoversi in libertà. Il Garante italiano è intervenuto duramente, negli ultimi anni, sanzionando enti locali e aziende per la mancanza di informativa chiara sul trattamento dei dati, per la conservazione sproporzionata delle immagini (spesso immotivatamente tenute in archivio per mesi) o per l’uso di telecamere “smart” capaci di registrare l’audio, una funzione ritenuta quasi sempre eccessivamente intrusiva quando si parla di videosorveglianza nei luoghi di lavoro.
Oggi, la vera sfida non è più la semplice telecamera, ma l’intelligenza artificiale applicata ai flussi video. Il recente intervento del Garante per la protezione dei dati personali sul progetto ShareArt di Enea, che utilizzava reti neurali per tracciare lo sguardo e il comportamento dei visitatori nei musei, estraendo “raw data” (dati grezzi), dimostra che l’autorità considera trattamento di dati personali anche la fugace acquisizione di un’immagine per pochi millisecondi, se finalizzata al rilevamento dei volti e all’analisi comportamentale.
Quello che il settore ha di fronte è un passaggio epocale: dalla videosorveglianza come strumento di verifica post-evento, l’evoluzione è verso un controllo algoritmico preventivo, che analizza metadati per profilare abitudini e comportamenti. Il compito del diritto, oggi più che mai, è impedire che la giustificata esigenza di sicurezza si trasformi in un panopticon digitale, nella convinzione che la tecnologia deve essere al servizio della società, e non uno strumento per la sua indiscriminata schedatura.
