Due nuovi provvedimenti, riguardanti l’interpretazione del General Data Protection Regulation UE 2016/679 (“GDPR”) e, in particolare, le basi giuridiche per un lecito trattamento di dati personali, sono stati adottati recentemente dallo European data protection board (“EDPB”). Il primo, adottato in versione sottoposta a pubblica consultazione, riguarda il trattamento di dati personali mediante strumenti di videosorveglianza; il secondo, adottato in versione definitiva, riguarda l’ambito di lecito trattamento dei dati personali degli utenti di servizi online ai fini dell’esecuzione del contratto di cui gli utenti (soggetti interessati) sono parte o dell’esecuzione di misure precontrattuali adottate su richiesta degli stessi.
1. Le linee guida 3/2019 dell’EDPB in tema di videosorveglianza (in versione sottoposta a pubblica consultazione)
1.1 Rischi della videosorveglianza. Le linee guida dell’EDPB, innanzitutto, riconoscono l’importanza di regolamentare la videosorveglianza al fine di mitigarne usi non leciti, specie in considerazione: dell’enorme numero di dati personali che con essa si trattano, dei nuovi sviluppi tecnologici (come le smart cameras e i software di analisi video) e dei possibili esiti pregiudizievoli e discriminatori che la videosorveglianza può implicare. Rischi riconosciuti sia dall’art. 35(3)(c) del GDPR, che impone una valutazione d’impatto per il monitoraggio sistematico su larga scala di una zona accessibile al pubblico, sia dall’art. 37(1)(b) del GDPR, che impone la designazione di un responsabile della protezione nel caso di monitoraggio regolare e sistematico degli interessati su larga scala.
1.2 L’attività a carattere esclusivamente personale o domestico. L’art. 2(2)(c) del GDPR prevede che il GDPR non si applichi nel caso di trattamenti effettuati “da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”. L’EDPB ha tuttavia chiarito l’interpretazione restrittiva di tale esenzione: essa riguarda solo la vita privata e familiare e l’eventuale monitoraggio di luoghi non privati non è coperto da tale esenzione.
1.3 Finalità del trattamento. L’EDPB ha confermato che le finalità del trattamento devono essere specificate per iscritto e devono essere indicate in relazione a ogni singola telecamera (eventualmente anche cumulativamente, se sono utilizzate per la stessa finalità). Una generica indicazione “per la sicurezza” non è considerata sufficientemente specifica ed è contraria al principio di trasparenza del trattamento.
1.4 Base giuridica del trattamento. In linea di principio tutte le basi giuridiche previste dal GDPR possono rendere lecito il trattamento di dati mediante videosorveglianza. In concreto, però, l’art. 6(1)(f) – legittimo interesse – e l’art. 6(1)(e) – interesse pubblico o esercizio di pubblici poteri – sono le più comuni basi per giustificarlo. In rari casi anche l’art. 6 (1) (a) – il consenso dell’interessato – può essere utilizzato come base giuridica per il trattamento.
1.5 Il legittimo interesse. Nel valutare la sussistenza di un legittimo interesse del titolare è necessario effettuare e documentare un esercizio di bilanciamento di tale interesse alla videosorveglianza con gli interessi, i diritti e le libertà fondamentali degli interessati.
(i) La responsabilizzazione. In linea con il principio di responsabilizzazione, l’EDPB raccomanda ai titolari del trattamento dei dati che emergono dalla videosorveglianza di tenere prova e documentazione degli eventi che ne hanno giustificato l’utilizzo (es. danni subiti, perdite economiche patite, modalità degli eventi pregiudizievoli). Per esempio, chiarisce l’EDPB, statistiche che provino alti tassi di vandalismo in una determinata zona potrebbero giustificare l’utilizzo, da parte di un commerciante, di sistemi di videosorveglianza nel suo negozio. O ancora, lo svolgimento di attività a maggior rischio per il valore della merce (come una gioielleria) o per la frequenza di furti (es: un benzinaio) potrebbero costituire altra valida giustificazione.
(ii) La minimizzazione. L’EDPB ribadisce l’importanza di valutare se altre misure alternative, meno invasive, possano permettere di raggiungere in egual misura i risultati perseguiti (es: utilizzo di cancelli, lucchetti, porte blindate, illuminazione ecc.). In genere, la videosorveglianza dovrebbe essere limitata ai soli locali privati: il monitoraggio di spazi esterni deve sempre avere una propria chiara giustificazione.
(iii) Una decisione di caso in caso. Nel porre in essere il bilanciamento di interessi, il titolare deve giudicare il rischio d’intrusione nei diritti dell’interessato. Occorre che sussista un interesse legittimo reale, non artificiale o fittizio o totalmente teorico. Ogni decisione deve essere presa caso per caso, tenendo in considerazione le ragionevoli aspettative al tempo e nel contesto in cui la videosorveglianza viene effettuata. Ad esempio, un impiegato può generalmente ragionevolmente aspettarsi di non essere registrato sul posto di lavoro; viceversa, un cliente di una banca può ragionevolmente prevedere di essere registrato all’interno dei locali della banca o durante l’utilizzo di un ATM. I segnali d’informativa agli interessati non sono rilevanti al fine di determinare cosa gli interessati possano ragionevolmente aspettarsi.
1.6 Il consenso. Tale base giuridica deve essere utilizzata con molta attenzione. Un datore di lavoro non dovrebbe far utilizzo di tale base giuridica, in quanto sarebbe difficile provare che tale consenso sia stato “liberamente prestato”. Un contesto in cui il videosorvegliato sia soggetto a pressione per rilasciare il suo consenso vizia il consenso stesso (per esempio nel caso di registrazione dell’allenamento di una squadra di atleti, ogni atleta subirebbe una tacita pressione ad acconsentire da parte del resto della squadra, tale per cui potrebbe non sussistere un consenso libero).
1.7 Accesso alla registrazione a soggetti terzi. Ogni accesso alla registrazione da parte di terzi necessita di autonoma base giuridica. A tal fine però, potrà tenersi conto delle finalità compatibili con la finalità originale. Ad esempio, una registrazione giustificata dal fine di evitare danneggiamenti alla proprietà privata (nel contesto di un legittimo interesse) potrebbe essere comunicata a un avvocato per chiedere un risarcimento ai colpevoli del danneggiamento, in quanto finalità compatibile con la prima. Diversamente, invece, l’accesso alle registrazioni da parte delle forze dell’ordine sarà generalmente ammesso in quanto necessario per adempiere un obbligo legale, che costituisce una base giuridica autonoma.
1.8 Trattamento di dati sensibili. La videoregistrazione certamente potrebbe comportare il trattamento di dati sensibili. Per giudicare se sia necessaria una base giuridica propria al trattamento di dati sensibili (ex art. 9 GDPR), occorre valutare se tale finalità di trattamento rientri nella finalità perseguita ab initio con l’installazione delle videocamere. L’utilizzo di occhiali o di una sedia a rotelle da parte di un soggetto interessato di per sé non costituisce trattamento di dati sensibili quando la videocamera è collocata per garantire la sicurezza di ambienti in cui transitano molteplici soggetti. L’utilizzo di sistemi di videosorveglianza per monitorare le condizioni di salute dei pazienti di un ospedale costituisce invece trattamento di dati sensibili (ed è sottoposta anche alle più stringenti condizioni dell’art. 9 GDPR). Rientra all’interno di tale ipotesi anche il trattamento di dati biometrici. Costituiscono dati biometrici i dati personali utilizzati al fine di identificare univocamente determinati soggetti (ad es. il riconoscimento facciale).
1.9 Trasparenza e obblighi d’informazione. Dovrebbe essere fornita un’informazione “a strati”. Il primo strato consiste nel segnale stesso che informa della presenza di videosorveglianza in un certo luogo, mentre lo strato successivo consiste nell’informativa completa.
(i) Il segnale – il segnale deve essere posizionato a ragionevole distanza dall’area sottoposta a videosorveglianza. L’interessato deve essere in grado di prevedere quali aree siano videosorvegliate senza entrare nel raggio d’azione della videosorveglianza. Il segnale deve contenere le informazioni fondamentali: le finalità del trattamento, i contatti del titolare, l’esistenza dei diritti degli interessati, informazioni su dove sia possibile reperire l’informativa completa e le informazioni aggiuntive su circostanze specifiche non rientranti nelle ordinarie aspettative degli interessati.
(ii) L’informativa – l’informativa deve essere facilmente accessibile o visibile, e deve poter essere letta (anch’essa) in un’area non soggetta a videosorveglianza. Si raccomanda l’utilizzo di modalità digitali (es: QR code sul segnale).
1.10 Conservazione e sicurezza. Le linee guida, infine, ribadiscono l’obbligo di conservare le immagini della videosorveglianza solo per il tempo strettamente necessario alle finalità perseguite (suggerendo idealmente qualche giorno al massimo) e l’importanza di prevedere misure tecniche e organizzative per minimizzare il trattamento.
2. La sentenza della Corte europea dei diritti dell’uomo del 17 ottobre 2019 in materia di videosorveglianza sui luoghi di lavoro
2.1 La recente sentenza della Corte europea dei diritti dell’uomo. In materia di videosorveglianza, pare opportuno citare anche la recente sentenza del 17 ottobre 2019 della Corte europea dei diritti dell’uomo nei ricorsi no. 1874/13 e 8567/13 (Lopez Ribalda e altri c. Spagna). I ricorrenti, inter alia, lamentavano la violazione dell’art. 8 della convenzione europea dei diritti dell’uomo (“CEDU”), articolo che stabilisce il diritto al rispetto della vita privata e familiare. In particolare, i ricorrenti impugnavano di essere stati ripresi tramite telecamere nascoste, dunque a loro insaputa, dal loro datore di lavoro, durante lo svolgimento delle loro mansioni. Tali registrazioni avevano condotto al loro licenziamento ed erano state utilizzate come prova nei giudizi conseguenti. I ricorrenti, in considerazione dell’esaurimento degli strumenti d’impugnazione interni, si rivolgevano contro il governo spagnolo alla Corte europea dei diritti dell’uomo per il loro ingiusto licenziamento.
2.2 Margine d’apprezzamento. Nella sentenza, la Corte ribadisce il margine d’apprezzamento degli Stati nell’ambito dell’applicazione dell’art. 8 CEDU e l’importanza di misure proporzionate e adeguate che tutelino un equo bilanciamento d’interessi. In proposito, occorre tutelare, infatti, da una parte, gli interessi dei lavoratori alla tutela della loro privacy, e, dall’altra, quelli del datore di lavoro relativi alla protezione e sicurezza dei propri beni e al regolare funzionamento della propria attività economica.
2.3 Conclusione. La Corte conclude che la videosorveglianza “occulta” è ammessa solo come extrema ratio, con modalità spazio-temporali tali da limitare al massimo l’incidenza del controllo sul lavoratore, tenendo in debito conto i rimedi in favore degli interessati, le ragioni che ne giustificano l’utilizzo e i presidi previsti al fine di limitare il trattamento di tali dati.
Nel caso di specie, l’installazione di telecamere nascoste è stata ritenuta ammissibile solo perché: (i) vi erano fondati e ragionevoli sospetti di furti commessi dai lavoratori; (ii) l’area oggetto di ripresa era alquanto circoscritta; (iii) le videocamere erano state in funzione soltanto per un periodo di tempo limitato; (iv) non era possibile ricorrere a soluzioni alternative; e (v) le immagini erano state utilizzate soltanto per i fini di prova.
Per quanto riguarda il diritto italiano, tale sentenza può costituire materiale interpretativo sulla nota tematica dei controlli difensivi da parte del datore di lavoro in rapporto all’art. 4 Stat. Lav.
3. Le linee guida 2/2019 (in versione definitiva) sul trattamento dei dati personali ai sensi dell’art. 6(1) (b) GDPR nell’ambito della fornitura di servizi online
3.1 L’art. 6(1)(b) – la base giuridica per il trattamento. Tra le basi giuridiche per il trattamento, l’art. 6 del GDPR alla lettera b) dispone che il trattamento è lecito nella misura in cui “è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”. Con le sue linee guida, l’EDPB ha chiarito l’interpretazione di tale requisito in relazione ai servizi online.
3.2 Definizione di servizi online. Innanzitutto, l’EDPB ha inteso chiarire cosa debba intendersi per servizi online, definendoli come ogni servizio fornito a distanza, mediante strumenti elettronici e su specifica richiesta dell’interessato che li riceve, anche se non pagati da quest’ultimo (come i servizi che si finanziano mediante la pubblicità).
3.3 Il concetto di “necessità”. Perno delle linee guida emanate dall’EDPB è stato cosa debba intendersi con il concetto di “necessità”, nell’espressione “necessario all’esecuzione di un contratto” e in quella “necessario all’esecuzione di misure precontrattuali”. A tal riguardo, l’EDPB ha precisato che l’utilizzabilità di tale base giuridica deve essere limitata ai dati personali oggettivamente necessari all’esecuzione del contratto o delle misure precontrattuali. Tale nozione deve dunque essere interpretata restrittivamente: se vi sono alternative meno invasive, in linea con il principio di minimizzazione, il trattamento non è “necessario”.
(i) La valutazione della necessità. La valutazione del concetto di necessità deve essere effettuata indipendentemente da quanto è ammesso o previsto dalle condizioni contrattuali del servizio e, in particolare, alla luce della comune finalità del contratto. Un trattamento utile ma non oggettivamente indispensabile per il raggiungimento delle finalità contrattuali non può essere “necessario”.
(ii) L’irrilevanza delle condizioni contrattuali. Le condizioni contrattuali del servizio non possono ampliare l’ambito dei dati personali necessari per l’esecuzione del contratto. Il trattamento “necessario” secondo tale base giuridica non dipende dalle clausole contrattuali: un trattamento può essere necessario anche se non previsto in esse, o essere non necessario anche se da esse previsto. In sostanza, tale base giuridica non copre le ipotesi in cui un trattamento sia imposto dal titolare per la stipula del contratto.
(iii) Interessi di entrambe le parti. La finalità contrattuale rilevante per tale base giuridica deve essere “comune”, cioè dipende non solo dalla prospettiva del titolare del trattamento (fornitore dei servizi online) ma anche dalle ragionevoli aspettative dell’interessato, inteso come uomo medio.
(iv) Criteri di valutazione. Al fine di condurre la valutazione sull’applicabilità di tale base giuridica occorre esaminare i seguenti aspetti:
– Qual è la natura del servizio offerto? Quali sono le caratteristiche che lo distinguono?
– Qual è la sostanza e l’oggetto del contratto?
– Quali sono gli elementi essenziali del contratto?
– Quali sono gli interessi e le aspettative delle parti?
(v) Gli “incidenti” nell’adempimento. Il concetto di necessità deve essere interpretato al netto degli eventuali “incidenti” e, cioè, delle azioni eventualmente necessarie nel caso di mancata esecuzione del contratto, inadempimento o inesatto adempimento. Ciò detto, è possibile tenere in considerazione alcune azioni che possono essere ragionevolmente prevedibili e necessarie nel contesto dell’esecuzione del contratto. Per esempio, può essere considerato “necessario” il trattamento di dati personali per l’invio di solleciti formali sui pagamenti in sospeso o per la correzione di inesatti adempimenti o ritardi nell’esecuzione del contratto.
3.4 Esempi. Il provvedimento termina con alcuni esempi concreti in relazione alla necessità di trattamento di dati personali per applicare tale base giuridica. In particolare:
(i) Il miglioramento del servizio – nella maggior parte dei casi, la raccolta di dati personali per verificare l’engagement di un utente e, in ultimo, per il miglioramento del servizio offerto non può considerarsi trattamento necessario, poiché il servizio potrebbe essere fornito anche senza tale trattamento. Ciò non toglie l’utilizzabilità di una diversa base giuridica, come per esempio il consenso o il legittimo interesse.
(ii) il miglioramento della pubblicità – in generale, il tracciamento del comportamento dell’utente al fine di fornirgli una migliore pubblicità non può considerarsi coperto da tale base giuridica; il fatto che il servizio si finanzi tramite tale pubblicità resta irrilevante per determinare i dati necessari al contratto.
(iii) la personalizzazione dei contenuti – l’EDPB ammette che la personalizzazione dei contenuti possa (ma non sempre) giustificare un trattamento necessario per l’esecuzione del contratto. Ciò avviene quando la personalizzazione dei contenuti costituisca un intrinseco elemento dei servizi online, rientrante nell’aspettativa dell’utente. Ciò non avviene quando la personalizzazione dei contenuti è diretta solo all’aumento dell’engagement dell’utente. L’EDPB fornisce un esempio: il monitoraggio da parte di un sito di prenotazione di alloggi delle passate prenotazioni o delle passate ricerche degli utenti al fine di fornire futuri suggerimenti, non rientra in tale base giuridica.
Il Dipartimento di Data Protection di Legance è a disposizione per qualsiasi chiarimento ed approfondimento, anche in relazione a fattispecie specifiche.