Negli ultimi anni, la digitalizzazione del settore delle costruzioni ha aperto nuovi scenari, tra cui l’impiego sempre più diffuso di sistemi di videosorveglianza potenziati da intelligenza artificiale (AI) per monitorare i cantieri.
Indice degli argomenti
Videosorveglianza nei cantieri: le innovazioni tecnologiche e i rischi legali
Una delle innovazioni più significative è rappresentata dai software in grado di rilevare in tempo reale la presenza di persone e rimuoverne le immagini, agendo attraverso tecniche di inpainting, ovvero ricostruzione digitale dello sfondo al posto del soggetto identificato. Questi sistemi vengono spesso presentati come strumenti in grado di assicurare contemporaneamente sicurezza operativa, tutela patrimoniale e rispetto della privacy. Tuttavia, dietro la promessa tecnologica si nascondono importanti obblighi giuridici che le imprese devono affrontare con consapevolezza e rigore.
Dal punto di vista tecnico, questi sistemi sono strutturati attraverso una catena di dispositivi e processi informatizzati. Una telecamera installata in cantiere esegue scatti a intervalli regolari, configurabili in base alle esigenze di monitoraggio. Le immagini catturate vengono trasmesse tramite un router VPN garantendo la sicurezza della comunicazione anche in ambienti privi di connessione cablata. Le immagini vengono inviate a un primo server dedicato. Questo server riceve le immagini in cartelle dedicate e le rende disponibili all’utente autenticato tramite una piattaforma web proprietaria.
Successivamente, le immagini vengono elaborate da un secondo server. È su questa infrastruttura che opera il cuore tecnologico del sistema: algoritmi di visione artificiale eseguono una rilevazione istantanea dei soggetti umani presenti nel fotogramma e attivano il processo di cancellazione, basato su modelli avanzati di inpainting. Questa tecnica consente di eliminare digitalmente la figura umana e di ricostruire lo sfondo sottostante con una coerenza visiva tale da mantenere l’utilità dell’immagine per finalità documentali o ingegneristiche, senza tuttavia conservare dati personali identificabili.
Le immagini elaborate, ovvero depurate dalla presenza di soggetti riconoscibili, sono poi inviate nuovamente al server per essere consultate dagli utenti autorizzati attraverso credenziali sicure.
Videosorveglianza e GDPR: quando le immagini diventano dati personali
La disciplina normativa che regola il trattamento dei dati personali – il Regolamento (UE) 2016/679 – impone infatti requisiti stringenti nel caso in cui vengano raccolte o trattate immagini dalle quali sia possibile identificare direttamente o indirettamente soggetti interessati. È sufficiente che, anche per un solo istante, il sistema acquisisca l’immagine riconoscibile di un individuo affinché si attivi l’intero corpus di obblighi previsti dal GDPR. A questo quadro si aggiungono le prescrizioni dell’articolo 4 della legge 300/1970, lo Statuto dei Lavoratori, che disciplina l’uso di strumenti audiovisivi nei luoghi di lavoro, in particolare laddove possano comportare un controllo, anche indiretto, sull’attività dei dipendenti.
La videosorveglianza nei cantieri ha dunque una doppia natura: da un lato è uno strumento tecnologico utile a documentare lo stato dei lavori; dall’altro, è una pratica che rischia di entrare in rotta di collisione con i diritti fondamentali dei lavoratori e con la disciplina sulla protezione dei dati personali. La possibilità di utilizzare software AI che cancellano automaticamente le immagini delle persone non esonera il titolare del trattamento dagli obblighi normativi, ma richiede, anzi, un’analisi ancora più attenta e documentata del trattamento dei dati e dei relativi impatti.
Obblighi normativi per la videosorveglianza nei cantieri
Uno dei primi aspetti da affrontare riguarda la qualificazione delle immagini come dati personali. Secondo quanto stabilito dall’articolo 4, paragrafo 1 del GDPR, sono dati personali tutte le informazioni relative a una persona fisica identificata o identificabile. Il considerando 14 dello stesso regolamento ribadisce che anche le immagini raccolte da sistemi di videosorveglianza possono costituire dati personali, qualora il soggetto sia riconoscibile. È dunque evidente che, nel momento in cui il sistema AI rileva la presenza di una persona, anche se poi ne cancella l’immagine, il trattamento si è già compiuto nella sua fase iniziale.
Proprio per questo motivo, il trattamento richiede una base giuridica ai sensi dell’art. 6 del GDPR. Le aziende possono fondare il trattamento su diverse basi, a seconda del contesto. Se il sistema è impiegato per adempiere a obblighi in materia di sicurezza sui luoghi di lavoro (es. il D.lgs. 81/2008), potrebbe trovare applicazione l’articolo 6, paragrafo 1, lettera c), che consente il trattamento quando è necessario per adempiere a un obbligo legale. In alternativa, qualora si voglia garantire la tutela del patrimonio aziendale o la sicurezza delle infrastrutture, si potrebbe invocare l’interesse legittimo del titolare del trattamento, come previsto dall’articolo 6, paragrafo 1, lettera f), a condizione che venga effettuata una valutazione d’impatto sul bilanciamento tra tale interesse e i diritti e le libertà degli interessati.
Statuto dei Lavoratori e videosorveglianza: diritti e limiti
Inoltre, l’utilizzo di videosorveglianza nei cantieri, in quanto contesto lavorativo, attiva l’applicazione dell’art. 4 dello Statuto dei lavoratori. Tale articolo, riformulato dal D.lgs. 151/2015, consente l’uso di impianti audiovisivi e altri strumenti dai quali possa derivare un controllo a distanza dell’attività dei lavoratori soltanto in presenza di specifiche condizioni: esigenze organizzative, produttive, di sicurezza o di tutela del patrimonio, e previa stipula di un accordo con le rappresentanze sindacali o, in alternativa, previa autorizzazione dell’Ispettorato del lavoro. Questo vale anche per i sistemi “intelligenti” dotati di cancellazione automatica, perché l’immagine originaria, prima dell’elaborazione, è comunque acquisita dal sistema e quindi suscettibile di controllo.
Il Garante per la protezione dei dati personali ha più volte ribadito che la sola intenzione del datore di lavoro non è determinante ai fini della configurabilità del controllo a distanza: ciò che rileva è la possibilità oggettiva che l’impianto consenta un controllo, anche se non attuato. In questa ottica, persino una videosorveglianza destinata apparentemente alla tutela del cantiere potrebbe risultare illegittima in assenza dell’accordo sindacale o dell’autorizzazione amministrativa prevista dallo Statuto.
Un ulteriore obbligo fondamentale è quello della valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA), previsto dall’art. 35 del GDPR. Tale valutazione è obbligatoria in tutti i casi di trattamento che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. La sorveglianza sistematica in un luogo di lavoro, anche se effettuata con sistemi intelligenti, rientra a pieno titolo in tale previsione. La DPIA deve essere dettagliata, documentata e aggiornata, e deve indicare le misure tecniche e organizzative adottate per mitigare i rischi.
Inoltre, è obbligatorio adottare misure tecniche adeguate, come previsto dall’articolo 32 del GDPR. Tali misure devono includere, tra le altre, la cifratura delle immagini, la limitazione dell’accesso ai dati raccolti, la tracciabilità degli accessi tramite audit log e l’implementazione di sistemi di autenticazione forte per gli utenti abilitati. Particolare attenzione va data alla sicurezza del software AI utilizzato, che dovrà essere mantenuto aggiornato, privo di vulnerabilità note e gestito secondo criteri di accountability.
Le imprese sono altresì tenute a fornire agli interessati un’informativa completa e trasparente ai sensi degli articoli 12, 13 e 14 del GDPR. Tale informativa deve descrivere in modo comprensibile la tipologia di dati trattati, le finalità, la base giuridica, i soggetti destinatari, i tempi di conservazione, le modalità con cui viene operato l’inpainting, e i diritti degli interessati. L’informativa deve essere fornita anche attraverso cartelli visibili e comprensibili affissi in prossimità delle aree sorvegliate.
Non meno importante è la definizione di un corretto periodo di conservazione delle immagini. Le aziende devono prevedere una retention limitata al minimo necessario: ad esempio, 24 o 48 ore per le immagini originali (quando conservate temporaneamente), con conservazione successiva solo delle versioni elaborate e depurate dai dati personali. Il periodo deve essere congruo e giustificato, oltre che documentato nella DPIA e nel registro delle attività di trattamento.
Infine, è essenziale tenere aggiornato il registro dei trattamenti, ai sensi dell’art. 30 del GDPR, che deve contenere tutte le informazioni relative alle operazioni effettuate, ai soggetti coinvolti, alle misure di sicurezza e ai tempi di conservazione. Questo registro rappresenta uno strumento centrale per dimostrare la conformità dell’organizzazione al principio di accountability.
Videosorveglianza, i paletti dell’AI Act
I sistemi di videosorveglianza con componenti di intelligenza artificiale all’interno di cantieri temporanei o mobili sono soggetti agli obblighi derivanti dal Regolamento sull’Intelligenza Artificiale (AI Act), in quanto tali applicazioni rientrano nella classificazione dei sistemi ad alto rischio prevista dall’articolo 6 e dall’Allegato III del regolamento stesso, in particolare quando l’AI è utilizzata per monitorare il comportamento dei lavoratori o rilevare automaticamente la presenza e l’attività delle persone in ambienti di lavoro.
Il Regolamento impone che tali sistemi siano progettati, sviluppati e utilizzati secondo un approccio strutturato alla gestione del rischio, che include l’identificazione, l’analisi e la mitigazione dei rischi potenziali per la salute, la sicurezza, i diritti fondamentali e la protezione dei dati. I dati utilizzati per l’addestramento, la validazione e il funzionamento del sistema devono essere di qualità elevata, pertinenti rispetto alla finalità perseguita, tecnicamente accurati, rappresentativi del contesto operativo e trattati nel rispetto delle normative in materia di protezione dei dati personali.
Il soggetto responsabile del sistema deve predisporre una documentazione tecnica esaustiva che descriva in modo chiaro le funzionalità del sistema, i parametri decisionali, le misure di sicurezza adottate, le modalità di supervisione umana e i meccanismi di sorveglianza post-commercializzazione. È inoltre obbligatorio garantire la tracciabilità delle operazioni compiute dal sistema mediante registri automatizzati, al fine di consentire un controllo successivo sulla correttezza e affidabilità delle decisioni algoritmiche.
Altrettanto essenziale è il rispetto dei requisiti di trasparenza nei confronti degli utilizzatori: questi devono essere messi nelle condizioni di comprendere il funzionamento del sistema, i limiti delle sue capacità e i rischi connessi. Inoltre, deve essere sempre garantita la possibilità di intervento umano qualificato in ogni fase del processo decisionale automatizzato, in modo da prevenire danni o effetti pregiudizievoli per le persone.
Conformità e sicurezza dei dati nella videosorveglianza AI
Prima della messa in servizio, il sistema deve essere sottoposto a una valutazione di conformità, secondo quanto previsto dagli articoli da 43 a 49 dell’AI Act, che può comportare sia un’autovalutazione interna sia, nei casi più complessi, l’intervento di un organismo notificato. Solo dopo tale verifica, il sistema potrà essere immesso sul mercato o attivato all’interno del cantiere, corredato dalla marcatura CE obbligatoria. Per approfondire ancor più, gli articoli da 43 a 49 del Regolamento sull’Intelligenza Artificiale definiscono le modalità attraverso cui il fornitore, prima di immettere sul mercato o mettere in servizio un sistema AI, è tenuto a verificarne la conformità rispetto a tutti i requisiti di sicurezza, trasparenza, robustezza e controllo umano previsti dal Regolamento.
L’articolo 43 stabilisce i diversi modelli procedurali per la valutazione della conformità, distinguendo tra:
- procedura basata sul controllo interno (per i casi meno complessi, come sistemi non destinati a interagire direttamente con persone fisiche);
- procedura con l’intervento di un organismo notificato, quando il sistema AI presenta criticità maggiori o utilizza modelli di apprendimento non statici.
Nei casi in cui il sistema venga utilizzato internamente da un’impresa (es. un sistema installato da un’impresa edile per sorvegliare un cantiere), la conformità può essere autocertificata attraverso una valutazione interna documentata, a patto che siano rispettati tutti i requisiti tecnici e organizzativi previsti dagli articoli precedenti (artt. 8-15).
L’articolo 44 richiede che ogni sistema ad alto rischio venga corredato di marcatura CE e di una dichiarazione UE di conformità. Questa dichiarazione deve specificare, tra le altre cose, le caratteristiche tecniche del sistema, le finalità d’uso, le misure di mitigazione dei rischi adottate, le procedure di sorveglianza post-commercializzazione e la tracciabilità del ciclo di vita del sistema.
L’articolo 45 disciplina i casi in cui un sistema venga modificato sostanzialmente dopo l’immissione sul mercato: ogni modifica che influisca sulla conformità o sulle prestazioni del sistema impone una nuova valutazione di conformità, a garanzia che il prodotto resti allineato con i requisiti dell’AI Act.
Gli articoli 46 e 47 trattano i controlli di sorveglianza esercitati dagli organismi notificati, nel caso in cui siano stati coinvolti nella procedura iniziale. Tali enti hanno il potere di effettuare controlli periodici o a campione per verificare che il sistema continui a rispettare le condizioni dichiarate e non presenti rischi per i diritti fondamentali degli interessati.
L’articolo 48 introduce un obbligo specifico in capo agli organismi notificati: mantenere indipendenza, imparzialità e competenza tecnica, al fine di garantire che la procedura di valutazione sia condotta in modo neutrale, accurato e conforme alle finalità regolatorie.
Infine, l’articolo 49 stabilisce che la Commissione europea possa, mediante atti di esecuzione, aggiornare le specifiche tecniche armonizzate o integrare le modalità operative delle valutazioni di conformità, in funzione dell’evoluzione tecnologica o delle criticità rilevate a livello di mercato.
Per garantire un’effettiva conformità normativa nell’utilizzo di sistemi di intelligenza artificiale ad alto rischio, le aziende sono tenute a strutturare un framework interno adeguato e documentato. Ciò implica, in primo luogo, la definizione di policy aziendali specifiche, che regolino l’intero ciclo di vita del sistema AI – dalla fase di progettazione a quella di dismissione – e che integrino i principi di accountability, data protection by design and by default, e risk management. È inoltre indispensabile attivare percorsi di formazione continua e mirata per tutto il personale coinvolto, in particolare per coloro che interagiscono direttamente con il sistema, supervisionano le sue decisioni o sono responsabili del trattamento dei dati.
A questo si aggiunge la necessità di predisporre procedure strutturate per la gestione degli incidenti di sicurezza, comprensive di canali interni di segnalazione, criteri di escalation, piani di risposta e notifiche alle autorità competenti nei casi previsti dalla normativa e la nomina del DPO ai sensi dell’art. 37 del GDPR, quale figura indipendente deputata a monitorare la conformità, fungere da punto di contatto con le autorità di controllo e supportare l’organizzazione nell’applicazione concreta della normativa in materia di protezione dei dati personali.
Il rispetto del GDPR e dello Statuto dei lavoratori come leva di competitività
In conclusione, l’adozione di sistemi di videosorveglianza basati su intelligenza artificiale nei cantieri rappresenta un’opportunità per migliorare la sicurezza e l’efficienza delle attività edilizie. Tuttavia, questa evoluzione tecnologica deve necessariamente confrontarsi con un impianto normativo articolato e rigoroso. L’intelligenza artificiale non esonera l’impresa dagli obblighi in materia di protezione dei dati e controllo dei lavoratori, ma impone un livello ancora più elevato di responsabilità e trasparenza. Le imprese che intendono adottare tali sistemi devono muoversi in modo strutturato, pianificando in anticipo tutti gli aspetti giuridici, organizzativi e tecnologici del trattamento, per evitare sanzioni, contenziosi e danni reputazionali.
Il rispetto del GDPR e dello Statuto dei lavoratori, lungi dall’essere un ostacolo, può diventare un vantaggio competitivo per le aziende che dimostrano attenzione verso i diritti fondamentali e l’etica tecnologica.
