Uso dei sistemi di videoconferenza e privacy: le indicazioni dell’Autorità garante tedesca (DSK)

La difficoltà e, in alcuni periodi, il divieto di incontrarsi in presenza a causa della pandemia da Covid 19 hanno reso dilagante, a volte perfino abusato, l’uso dei sistemi di videoconferenza nei più svariati ambiti: lavorativo, scolastico, medico, giudiziario etc…

Le videoconferenze sono ormai entrate nella quotidianità di ognuno di noi ma l’uso di tale sistema di comunicazione comporta necessariamente il trattamento di dati personali, spesso anche di categorie particolari di dati come quelli sanitari o giudiziari o dati di minori.

La Guida sui sistemi di videoconferenza elaborata dal Garante tedesco offre un aiuto ai Titolari affinché il trattamento dei dati personali rispetti i principi del GDPR.

In primo luogo i Titolari dovranno identificare la base giuridica su cui poggia il trattamento.

In molti casi la base giuridica potrà essere individuata

• nell’adempimento del contratto (in ambito lavorativo)
• nel legittimo interesse (tra professionisti oppure quando alla videoconferenza partecipano dipendenti di altre aziende diverse da quella del Titolare)
• in una norma di legge che preveda come obbligatorio l’uso della videoconferenza (in ambito scolastico ed universitario, in ambito giudiziario).

Quando nessuna altra base giuridica è possibile, il trattamento dovrà basarsi sul consenso.

Sul punto il Garante tedesco ribadisce quanto già noto, ovvero che il consenso deve essere libero e volontario.

Nell’ambito lavorativo la validità del consenso è spesso discutibile; in tale contesto la volontarietà del consenso e quindi la validità può essere presa in considerazione solo se ad esempio il datore di lavoro mette a disposizione diverse modalità (come la partecipazione solo telefonica).

Rimanendo in ambito lavorativo, l’uso dei sistemi di videoconferenza comporta il trattamento di

• dati che riguardano dichiarazioni di contenuto, suoni e immagini relativi ai partecipanti (da cui poter ricavare numerose informazioni necessarie ad identificarli in base alla voce e ai tratti del viso), all’ambiente, alla casa, al posto di lavoro o alla posizione corrente, c.d. dati di contenuto;
• dati sui contatti personali, sugli orari di lavoro, sulle prestazioni lavorative contenuti nelle chat e nelle registrazioni salvate, nei documenti discussi e resi visibili nell'ambito delle videoconferenze, dati elaborati in più videoconferenze, c.d. dati quadro.

L’ampia diffusione dello smart working comporta la partecipazione dei lavoratori alle videoconferenze dalle proprie case con la conseguente possibile raccolta di dati personali delle persone esterne alla sessione presenti nell'ambiente in cui avviene il collegamento; in tali ipotesi il Garante tedesco suggerisce l’adozione di misure tecniche ed organizzative anche semplici quali fornire uno schermo o inserire uno sfondo virtuale.

Il trattamento dei dati deve inoltre essere chiaramente e strettamente legato alla finalità per cui viene attivata la videoconferenza; in linea di massima la registrazione non è consentita e di questo divieto devono essere edotti anche i partecipanti. Qualora la registrazione sia invece resa necessaria, ad esempio nell’ipotesi in cui sussista un obbligo di documentazione, i partecipanti dovranno essere informati oppure il Titolare dovrà raccogliere il consenso se non vi è alcun obbligo.

Il Titolare che gestisce o utilizza un servizio di videoconferenza dovrà adempiere ad una serie di obblighi.

In primis agli obblighi di informazione. Il Titolare deve dunque fornire un’informativa chiara e comprensibile all’utente medio ai sensi degli artt. 13 e 14 del GDPR; inoltre l’organizzatore della videoconferenza deve informare i partecipanti dell’eventualità che la sessione venga registrata nonché delle possibilità a loro disposizione, quali l’uso di uno pseudonimo, l’impostazione di uno sfondo, l’allineamento della telecamera.

Sul titolare gravano poi ulteriori obblighi, quali

• l’inserimento dell’organizzazione delle videoconferenze nel registro dei trattamenti;
• la verifica della necessità di nominare il gestore del servizio come responsabile esterno;
• la verifica della necessità di effettuare una valutazione di impatto, in modo particolare quando nell’ambito delle videoconferenze vengano trattati diffusamente categorie particolari di dati (si pensi all’uso nell’ambito della telemedicina);
• la verifica dell’eventuale trasferimento dei dati verso un paese terzo;
• l’adozione di tutta una serie di misure tecniche ed organizzative volte ad assicurare la sicurezza della trasmissione, la garanzia che solo le persone autorizzate accedano ad una sessione di videoconferenza, l’aggiornamento del sistema al fine di rimediare ad eventuali lacune tecniche, la separazione dei ruoli identificando ad esempio l’amministratore, il moderatore e le persone partecipanti, le quali tipicamente possono solo controllare il proprio dispositivo.

I servizi di videoconferenza devono inoltre garantire il rispetto dei principi di protezione dei dati by default e by design, per cui, ad esempio, nel rispetto del principio di minimizzazione, la telecamera, il microfono e la condivisione degli schermi devono essere spenti per impostazione predefinita al momento dell’ingresso in conferenza. L’analisi del comportamento dell’utente ed il trattamento dei dati diagnostici e telemetrici è vietato, almeno che non siano necessari per la fornitura stessa del servizio e sia stata identificata una coerente base giuridica.

L’uso dei sistemi di videoconferenza è con alta probabilità destinato a consolidarsi al di là del periodo emergenziale come ordinaria modalità operativa in vari settori del nostro quotidiano, diventa pertanto fondamentale che lo strumento sia adeguato ai principi del corretto trattamento dei dati personali.