L'analisi

AssetProtection. CRM e video sorveglianza, il braccio di ferro tra sicurezza e privacy

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

In quest’occasione mi interessa soffermare l’attenzione sul tema specifico della video sorveglianza, un ambito normativo che appare come un terreno scivoloso, i cui confini sono esili, a volte ambigui, ed altre persino contraddittori.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Oramai è questione nota che le organizzazioni che si occupino per core business di gestione delle relazioni della clientela in modalità multicanale siano spesso (ri)chiamate ad operare in modo scrupoloso, in ambito normativo, su due fronti principali: da una parte la privacy, tutelando i dati personali degli interessati, dall’altra le condizioni di lavoro a tutela del personale interno, con specifico riferimento agli strumenti di controllo a distanza.

Pur essendo molte le implicazioni che riguardano l’argomento, in quest’occasione mi interessa soffermare l’attenzione sul tema specifico della video sorveglianza. Perché il rischio è che si finisca in un circolo vizioso, come il cane che si morde la coda, senza alla fine riuscire a soddisfare effettivamente le esigenze, di compliance ed operative, delle parti interessate.

Il General Data Protection Regulation (regolamento sulla privacy UE 2016/679) stabilisce che il Titolare del trattamento ed il Responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono […] la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (art. 32, b). Nello stesso regolamento si definisce anche che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano […] l’istituzione di meccanismi di certificazione della protezione dei dati (art. 42), attenzione, senza che questi possano assumere un significato esimente circa le responsabilità del Titolare.

Da ciò ne deriva che l’attuazione e la certificazione di un Sistema di Gestione per la Sicurezza delle Informazioni ISO / IEC 27001 possa costituire un ottimo meccanismo di presidio, in ogni caso facoltativo. Tra gli obiettivi di controllo e controlli previsti, la norma ISO stabilisce che deve essere progettata e applicata la sicurezza fisica agli uffici, ai locali e agli impianti (annex A, 11.1.3).

L’esigenza di controllo deve però essere posta in relazione con quanto specificato nelle Norme sulla tutela della libertà e dignità dei lavoratori a proposito di Impianti audiovisivi e altri strumenti di controllo (art. 4, Legge 300/70). Questi possono essere impiegati esclusivamente […] per la tutela del patrimonio aziendale, previa sottoscrizione di accordo collettivo oppure specifica autorizzazione della Sede territoriale o centrale dell’Ispettorato nazionale del lavoro. Inoltre le indicazioni operative sull’installazione e utilizzazione di strumenti di supporto all’attività operativa ordinaria dei Call Center (circolare n. 4/2017 dell’Ispettorato nazionale del lavoro) chiariscono che l’installazione e l’utilizzo di “impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”, può essere giustificata esclusivamente per le esigenze previste dall’art. 4 della legge n. 300/1970 […] evitando controlli prolungati, costanti, indiscriminati e invasivi.

Infine, per avere un quadro completo della questione, bisogna riflettere sul significato e sulle implicazioni tecniche ed operative delle attività di video sorveglianza. Infatti assume le caratteristiche di controllo preventivo qualora il monitoraggio sia presidiato: un addetto controlla i monitor ed in caso di attività sospette interviene oppure invia un allarme. In questo caso la video sorveglianza dovrebbe quindi essere intesa come estensione tecnica delle capacità uditive e visive di una persona durante lo svolgimento dell’attività lavorativa: un vero e proprio strumento di lavoro necessario per l’espletamento delle mansioni assegnate.

Assume invece le caratteristiche di contromisura reattiva qualora risulti attiva la registrazione. Le registrazioni possono rappresentare un elemento di supporto alle indagini delle autorità competenti, nel caso in cui si rilevi un’attività fraudolenta in relazione alle vigenti normative e ai regolamenti aziendali. Certo è che in entrambi i casi debba essere proporzionata – è un principio che governa tutti i controlli e le contromisure applicati – alle aree dove il rischio è più elevato, in relazione alle informazioni sensibili.

In conclusione, tutto ciò premesso, bisogna constatare che quest’ambito normativo appare come un terreno particolarmente scivoloso, i cui confini sono esili, a volte ambigui, ed altre persino contraddittori. Sulla base delle finalità espresse, prevale la sicurezza individuale (del lavoratore e dei suoi diritti circa i controlli di lavoro a distanza) oppure quella aziendale, chiamata a proteggere sia i lavoratori che tutte le persone che affidano all’organizzazione i propri dati personali? Ed ancora, la video sorveglianza assume veramente un valore così elevato nel garantire un livello adeguato di sicurezza? Ad ognuno la propria valutazione, posto il fatto che il Legislatore non si prende la briga di farlo nell’ambito del business privato, mentre il Governo, in nome della pubblica sicurezza, mette a punto discutibili criteri di “sorveglianza di massa”.