Cybersec & GDPR #6. Tecnologie per l’impresa

Nell’ambito dell’attività imprenditoriale si perseguono numerosi e variegati interessi, come quello di migliorare le capacità di analisi del mercato, di garantire maggiore sicurezza sul lavoro, di difendere i propri beni e investimenti infrastrutturali da accessi non autorizzati, danneggiamenti e rapine, oppure di ridurre comportamenti fraudolenti o non in linea con le direttive aziendali.
Questi legittimi interessi possono essere perseguiti con molteplici soluzioni tecnologiche e organizzative,alcune delle quali, se comportano un trattamento di dati personali, possono però confliggere con la dignità e la riservatezza delle persone coinvolte.
In questi casi è previsto l’intervento del Garante per valutare e “bilanciare” i diritti e gli interessi esistenti.

Controllo sul lavoro
L’imprenditore deve ponderare con attenzione quali strumenti adottare al fine di evitare trattamenti di dati non necessari che, tra l’altro, possono risultare eccessivi o anche discriminatori. È lecito, ad esempio, installare un sistema di videosorveglianza per esigenze organizzative e produttive, per consentire, ad esempio, di intervenire immediatamente nel caso in cui si verifichino situazioni di rischio (come negli ambienti dove si effettuano lavorazioni pericolose). Ma se tale raccolta di immagini può consentire anche il controllo a distanza e la verifica dell’attività dei lavoratori, occorre tenere in considerazione non solo le norme previste dal Codice della privacy, ma anche quelle indicate nello Statuto dei lavoratori (tenendo presente che l’installazione di tecnologie per l’esclusiva finalità di controllo a distanza dei lavoratori è comunque vietata). Pari cautele vanno adottate, ad esempio, anche quando si utilizzano software che, al fine di migliorare le prestazioni della rete internet aziendale, potrebbero però consentire il monitoraggio della navigazione o della posta elettronica dei dipendenti.
Occorre definire bene anche l’utilizzo di tecnologie che consentono la precisa localizzazione del lavoratore come, ad esempio, il Gps dell’autoveicolo o dello smartphone in dotazione, o l’Rfid (Identificazione a radio frequenza del documento di riconoscimento. Ciò non significa che non si possa ricorrere alla geolocalizzazione, ma che devono essere valutate tutte le circostanze del caso e la proporzionalità del suo utilizzo.
Anche in questi casi il Garante è intervenuto per semplificare l’attività aziendale, facilitando l’attività di controllo della flotta aziendale senza per questo limitare i diritti dei lavoratori.
Altre volte lo strumento adottato non consente necessariamente il monitoraggio dell’attività del lavoratore, ma si dimostra comunque sproporzionato rispetto alle finalità dichiarate. Succede spesso quando si decide di usare dati biometrici (come il riconoscimento dell’iride o il codice numerico riferibile all’impronta digitale) per controllare gli accessi in una determinata area. Tale misura è giustificata solo in situazioni di particolare rischio.

Verifica preliminare
La normativa sulla privacy, al fine di evitare possibili gravi pregiudizi alle persone interessate e successivi problemi alle imprese, prevede che il Garante debba essere contattato preventivamente, chiedendo una verifica preliminare, nel caso in cui la società intenda avviare un trattamento di dati personali (diversi da quelli sensibili e giudiziari) che possa presentare rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato. Tale situazione può verificarsi sia per la natura dei dati o per le modalità del trattamento o per gli effetti che il trattamento stesso può determinare.
È necessario richiedere una verifica preliminare, ad esempio, quando si intendono attivare sistemi di videosorveglianza “intelligente” – come quelli in grado di rilevare automaticamente comportamenti o eventi anomali – oppure quelli dotati di un software che consenta il riconoscimento della persona tramite collegamento o incrocio o confronto delle immagini rilevate (ad es. la morfologia del volto) con dati biometrici, o sulla base del confronto dell’immagine con una campionatura di soggetti precostituita alla rilevazione dell’immagine. La verifica preliminare è richiesta anche quando, per particolari esigenze, si vogliano allungare i tempi di conservazione delle immagini registrate oltre il termine massimo di sette giorni, a meno che questa necessità non derivi da una specifica richiesta dell’autorità giudiziaria o di una forza di polizia per un’attività investigativa in corso.
La normativa, quindi, non vieta in assoluto l’adozione di misure tecnologiche a tutela delle attività aziendali, ma cerca un bilanciamento con altri diritti fondamentali della persona. L’eventuale autorizzazione concessa dall’Autorità, a conclusione della verifica preliminare, può essere inoltre vincolata da precise condizioni come, ad esempio, quella che impone alle banche di garantire modalità di accesso alternativo ai clienti che non desiderano lasciare la propria impronta digitale (dato biometrico) per entrare nelle agenzie o per accedere ai locali dove sono custodite le cassette di sicurezza.

Fonte: www.garanteprivacy.it