Che cosa deve fare il Security Manager di strutture ricettive affinché l’impianto di videosorveglianza installato sia in regola con la normativa sulla privacy?
L’installazione di telecamere di videosorveglianza all’interno di hotel e alberghi e, più in generale, nelle strutture ricettive (villaggi turistici, b&b, centri SPA, stabilimenti termali, beauty farm), risponde a tre obiettivi: cogliere tempestivamente, mediante il monitoraggio video, danneggiamenti e atti vandalici ai danni della struttura; intrusioni indesiderate, furti e aggressioni ai danni degli ospiti; malfunzionamenti, guasti e principi di incendio.
Parcheggi esterni, ingressi, hall, reception, sale ristoranti, sale conferenze e corridoi sono le aree degli hotel che richiedono la presenza di telecamere di videosorveglianza.
Ma, anche in questo caso, la presenza di telecamere deve poter mantenere il corretto equilibrio tra esigenze di sicurezza e diritto alla privacy delle persone, compresi gli ospiti e coloro che, nelle strutture ricettive, prestano attività lavorativa.
Cosa prevedono GDPR e Provvedimento del 2010 per la privacy negli hotel
Sappiamo che il punto di riferimento italiano in materia di videosorveglianza è il Provvedimento del Garante della Privacy del 2010. A questo dobbiamo attenerci sempre.
Quanto, invece, contenuto nel GDPR – General Data Protection Regulation, regolamento dell’Unione Europea divenuto operativo a maggio del 2018, riguarda da vicino il trattamento dei dati personali.
Il GDPR non tratta specificatamente di privacy correlata alla videosorveglianza. Entra nel merito con una sezione dedicata alle telecamere intelligenti.
Che cosa significa? Che quanto contenuto nel GDPR in materia di videosorveglianza va applicato alla luce di quanto espresso da Provvedimento del 2010.
Due sono gli adempimenti previsti dal Provvedimento: il primo riguarda l’area inquadrata dalle telecamere, il secondo l’informativa sulla privacy mediante il cartello “Area videosorvegliata”.
Il primo adempimento prevede che le telecamere poste all’ingresso degli hotel inquadrino solo le porzioni della proprietà, non andando a riprendere strade, altri edifici e passanti, ma solo coloro che entrano nella struttura.
Sempre d’obbligo è il cartello che informa che l’hotel è videosorvegliato, il quale va posto prima che si entri all’interno della zona soggetta a riprese video. Un cartello che informa in ritardo, non mette il pubblico nelle condizioni di scegliere se dare il proprio consenso oppure negarlo.
Un’informativa sulla privacy non tempestiva oppure poco visibile a causa del formato del cartello o per il suo posizionamento, espone al rischio di segnalazioni al Garante, con conseguenti sanzioni penali.
Il cartello va compilato: deve contenere il nome del titolare del trattamento delle immagini (il proprietario/gestore della struttura ricettiva) e il nome del responsabile del trattamento delle immagini, vale a dire chi riceve, visiona e cancella le immagini riprese.
Relativamente ai tempi di conservazione delle immagini registrate, il Provvedimento prevede 24 ore estendibili a 48. Per eventuali allungamenti dei tempi, devono esserci motivazioni oggettive connesse a rischi concreti ed è sempre d’obbligo consultare l’Autorità Garante.
Cosa prevede il GDPR per le telecamere intelligenti negli hotel
Nel caso in cui il sistema di videosorveglianza installato preveda la presenza di una più telecamere intelligenti, dotate di software in grado di rilevare e analizzare caratteristiche fisiche e comportamenti dei soggetti, è il GDPR a pronunciarsi sugli aspetti legati alla privacy.
In questo caso, nel cartello “Area videosorvegliata”, oltre alle informazioni sopra elencate, va specificato che si sta transitando in un luogo soggetto a videosorveglianza mediante telecamere che identificano caratteristiche fisiche e comportamentali (ad esempio, telecamere con riconoscimento facciale a bordo).
Ma, ancora prima di rendere operativo un sistema videosorveglianza di questi tipo, c’è l’obbligo, da parte del titolare/gestore dell’hotel, della valutazione di impatto sulla protezione dei dati (D.P.I.A.- Data Protection Impact Assessment), ai sensi dell’art. 35 del GDPR, un documento di valutazione preventiva dei rischi derivanti dal trattamento dei dati che si intende effettuare.
Rischi per la libertà e per il diritto alla privacy di tutti coloro che potrebbero essere ripresi da telecamere intelligenti, dotate di software di riconoscimento facciale a bordo oppure di altre funzioni di video/audio-analisi.
Quando, da tale documento, emerge che il trattamento dei dati è causa di un rischio relativamente elevato per il pubblico, c’è l’obbligo di interpello preventivo al Garante della Privacy.
L’informativa ai lavoratori sul trattamento dei dati
Oltre agli ospiti, all’interno degli hotel transitano ogni giorno persone che vi svolgono una regolare attività lavorativa.
Che cosa implica questo? Che l’installazione di telecamere di videosorveglianza nelle strutture ricettive deve rispettare anche quanto contenuto nell’articolo 4 della Legge n. 300 del 20 maggio 1970 – nota come Statuto dei Lavoratori – modificato dall’articolo 23 del Decreto Legislativo del 14 settembre 2015 n. 151, attuativo del Jobs Act.
Lo Statuto dei Lavoratori impone che il datore di lavoro stipuli un accordo collettivo con i rappresentanti sindacali oppure, laddove questi non siano presenti o in caso di mancato accordo, chieda esplicita autorizzazione all’Ispettorato Territoriale del Lavoro.
Inoltre, deve informare i dipendenti sul trattamento delle immagini, come prescritto dal GDPR: il trattamento dei dati video nei luoghi di lavoro deve sempre essere autorizzato dal lavoratore.
Il proprietario/gestore della struttura (il datore di lavoro), deve nominare per iscritto – e comunicarne i nomi ai dipendenti – i responsabili del trattamento delle immagini, vale a dire chi potrà intervenire sull’utilizzo delle telecamere e chi visionerà le immagini, le conserverà e le cancellerà al momento opportuno.
L’accesso di altri soggetti alle immagini è vietato, a eccezione delle Forze dell’Ordine. I dati video raccolti non possono essere utilizzati per finalità diverse – fatte salve eventuali esigenze da parte delle autorità giudiziarie – né possono essere diffusi o comunicati a terzi.
Fino a qualche anno fa, l’impianto di videosorveglianza installato nei luoghi di lavoro non poteva inquadrare direttamente i dipendenti.
La circolare n. 5 del 19 febbraio 2018 dell’Ispettorato Nazionale del Lavoro ha introdotto una novità importante in materia, ovvero la possibilità di inquadrare direttamente i lavoratori, senza oscurane il volto.
Ma, alla base di tale scelta, devono esserci precise ragioni, direttamente correlate alla sicurezza sul lavoro oppure alla tutela del patrimonio aziendale. Altrimenti non è ammessa.
E la stessa logica vale per la possibilità di visionare, da postazione remota, sia le immagini live che quelle registrate dalle telecamere. Senza le motivazioni suddette, non è consentita.