Il Regolamento Europeo: Videosorveglianza ed impatto sul

cittadino

Relatore Avv. Alessandro Cecchetti

Firenze, 7 giugno 2013

Il Regolamento Europeo come strumento

Presentato alla Commissione Europea lo scorso 25 gennaio 2012

Art. 288 TFUE

Ha portata generale: ha efficacia per un numero indeterminato ed indeterminabile di destinatari.

È obbligatorio in tutti i suoi elementi: l’obbligatorietà è riferita a tutte le disposizioni del regolamento e vale a distinguere tale atto normativo dalle direttive

(come la Direttiva 95/46 CE) che, invece, sono obbligatorie soltanto con riferimento alle finalità che devono essere raggiunte.

È direttamente applicabile: nel senso che le disposizioni del regolamento operano al’interno di ciascun Stato membro dell’Unione Europea senza che occorra un atto di

attuazione dell’Unione o degli Stati

Il Regolamento Europeo come strumento

Sentenza CGCE 10 ottobre 1973 (Sent. F.lli Variola/Amministrazione Italiana delle Finanze)

La Corte ha condannato la riproduzione delle disposizioni di regolamenti in atti

legislativi nazionali dichiarando in contrasto con il Trattato le modalità di attuazione che

possono avere la conseguenza di ostacolare l’efficacia diretta dei regolamenti

comunitari e di comprometterne, quindi, la simultanea ed uniforme applicazione

nell’intera Comunità

Pertanto:

In virtù di tali caratteristiche il regolamento è di per sé idoneo a far sorgere in capo alle

persone fisiche o giuridiche degli Stati membri situazioni giuridiche soggettive che

essi possono far valere nei confronti degli Stati, delle Istituzioni dell’Unione e delle altre

persone fisiche o giuridiche.

Alcune novità introdotte dal nuovo Regolamento Europeo

Resta fermo il concetto di interessato: la persona fisica cui si riferiscono i dati personali

Ambito di applicazione: strutture che hanno più di 250 dipendenti / strutture che gestiscono almeno 500 interessati.

Principio dell’applicazione delle sue disposizioni anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi ai cittadini dell’UE o tali

da permettere il monitoraggio dei comportamenti dei cittadini dell’UE.

Introduzione del diritto degli interessati alla portabilità del dato e del diritto all’oblio, quest’ultimo prevalentemente riferito alla realtà digitale nel rispetto della

libertà di espressione e nella possibilità di condurre ricerche storiche.

Sono aggiunte le definizioni di dato genetico e dato biometrico.

Alcune novità introdotte dal nuovo Regolamento Europeo – Il Data Protection

Officer Art. 37 della Bozza di Regolamento

Con competenze informatiche e giuridiche - che conosca il mercato in cui opera l’Ente designante - soggetto indipendente rispetto all’Ente

Designato con mandato, un contatto di lavoro o di servizi, in carica per almeno 2/4

anni (ciò anche per garantire la continuità necessaria nell’applicazione delle normativa)

Compiti di sorveglianza e applicazione della normativa anche rispetto alla privacy by default

Dovrà comunicare all’Autorità eventuali violazioni che interessino i dati

Il Regolamento Europeo: alcune questioni ancora in sospeso

L’Autorità Statale: chi sarà – ruolo composizione e compiti

Resta da definire se e come ci sarà ancora autonomia in materia per gli Stati membri

Che ne sarà dei provvedimenti del Garante ad oggi in vigore?

Probabilmente sopravvivranno al nuovo assetto normativo:

-Amministratore di sistema (27 novembre 2008);

-Posta elettronica ed internet (1 marzo 2007)

-Videosorveglianza (8 aprile 2010)

Il Regolamento Europeo: la Privacy by Design ed il Privacy Impact Assessment per la

Videosorveglianza

Art. 23 comma 1 Bozza del Regolamento

Privacy by Design: disposizione che impone la previsione di misure a protezione dei

dati già al momento della progettazione di un software o di un prodotto che impatti

in materia di trattamento dei dati.

Trasposizione europea del Principio di Necessità codicistico.

Strettamente connessa alla privacy by default di competenza del DPO.

Il Regolamento Europeo: la Privacy by Design ed il Privacy Impact Assessments per la

VideosorveglianzaArt. 33 della Bozza del Regolamento

Privacy Impact Assessment: valutazione preventiva dell’impatto privacy con

riferimento all’avvio di un nuovo trattamento per talune tipologie di dati

(videosorveglianza, sanitari, biometrici). Pertanto, la necessità di preventivare i rischi,

adottare preliminarmente soluzioni che già in sede di prima raccolta del dato siano

capaci di tutelarlo, con una anticipazione di responsabilità sulla parte di progettazione.

Il Regolamento Europeo: la Privacy by Design ed il Privacy Impact Assessments per la

VideosorveglianzaPrivacy Impact Assessment:

La valutazione contiene almeno una descrizione sistematica:

-del trattamento previsto e della sua necessità e proporzionalità in relazione alla

finalità;

-una valutazione dei rischi per i diritti e le libertà degli interessati;

-le misure previste per affrontare i rischi e ridurre al minimo il volume dei dati

personali trattati;

-le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati

personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e dei

legittimi interessi degli interessati e delle altre persone in questione

Lo Statuto dei Lavoratori – L. 300/1970

Art. 4 comma 1– vieta il controllo diretto a distanza dell’attività dei lavoratori.

Art. 4 comma 2 – in presenza di esigenze organizzative e produttive o per la sicurezza

del lavoro, il datore può installare strumenti (ad es. telecamere o sistemi di

geolocalizzazione) che permettono un controllo indiretto, anche potenziale, dell’attività

lavorativa del dipendente solo con l’esperimento di opportune procedure di

autorizzazione con le rappresentanza sindacali aziendali o alla direzione provinciale del

lavoro territorialmente competente.

Sia lo Statuto dei Lavoratori che il Provv. a carattere generale dell’Autorità di

ambito nella materia di cui trattasi, ma anche il Codice Privacy influiscono anche sulle

zone che possono formare oggetto di ripresa