videosorveglianza e privacy dopo il nuovo … · inteso come responsabilizzazione e dovere di...

1

VIDEOSORVEGLIANZA E PRIVACY DOPO IL NUOVO REGOLAMENTO EUROPEO

© Studio Legale Rosadi-Soffientini Associati

Il Responsabile della protezione dei dati:Requisiti, compiti e certificazioni

DPO– Data Protection Officer

2

VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI – ART. 35 -

Protezione dei dati fin dalla progettazione e per impostazione predefinita – ART. 25 -

DIRITTO ALL’OBLIO –ART. 17 -

Diritto alla portabilità dei dati – ART. 20 -

Notifica di una violazione dei dati personali – ART. 33 -

Diritto di accesso dell’interessato – ART. 15 -

Meccanismo dello sportello unico (One stop shop) – ART. 60 -

Il responsabile della protezione dei dati –Articoli 37 – 38 - 39

SOCIAL E MINORI –ART. 8 -

RESPONSABILITA’ VERIFICABILE – ART. 5.2 -

Registro delle attività di trattamento – ART. 30 -

SANZIONI –ART. 83 -

© Studio Legale Rosadi-Soffientini Associati 3



CON L’APPLICAZIONE DEL PRINCIPIO DELL’ ACCOUNTABILITYINTESO COME RESPONSABILIZZAZIONE E DOVERE DIRENDICONTAZIONE, LA FIGURA DEL DATA PROTECTIONOFFICER DIVENTA FONDAMENTALE AFFINCHE’ IL TITOLAREDEL TRATTAMENTO OTTEMPERI CON DILIGENZA ALLEPRESCRIZIONI CONTENUTE NEL REGOLAMENTO UE2016/679.

4

Chi è il “Privacy Officer” ?Il Privacy Officer, definito ancheChief Privacy Officer nellestrutture di grandi dimensioni, èun dirigente oppure unfunzionario di alto livello,all’interno di un’azienda oun’organizzazione, responsabiledella gestione dei rischi edell’impatto della normativa edelle politiche privacy sulleattività concernenti l’azienda.

Tratto da “Privacy Officer” la figura chiave della data protection europea, cit. pag. 1, IPSOA 2013



Nel Regolamento UE 2016/679 il Data ProtectionOfficer si presenta come una figura manageriale diconsulenza e controllo, paragonabile, per taluniaspetti e per i requisiti di autonomia e indipendenza,alle funzioni che esercita un Organismo di Vigilanza(ex D.Lgs. 231/2001).

5

Quando e dove è nata la figura del Privacy Officer ?

La figura organizzativa del Privacy Officer èstata istituita per la prima volta nel 1999dalla società AllAdvantage (USA-California), specializzata in servizipubblicitari attraverso internet.



6

Chi è stato il primo Privacy Officer ?

Ray Everett Church – unavvocato statunitense.

. . . Quando nel 1999 sono stato nominato Chief privacy Officer il mio ruolo è stato il primo nel suo genere: una posizione di dirigente con il compito di vigilare su tutte le questioni legate alla privacy. . .



2012

Il Privacy Officer oggi in Italia visto dal Garante

Un ruolo positivo è sicuramente giocato dallefigure di responsabili privacy, oramaipiuttosto diffuse, che, coordinando eindirizzando l’azione degli uffici periferici,assicurano una più puntuale e attentaapplicazione della legge. In una qualchemisura, dall’esperienza di queste nuove figureprofessionali viene quasi anticipata lafunzione del privacy officer, ben conosciuta inaltri ordinamenti e recentemente inseritanelle bozze del nuovo regolamentocomunitario in materia di protezione dei datipersonali .

Rel. Garante 2012



DPO – Data Protection Officer

La posizione e le caratteristiche del DPO nel Regolamento


1) Aver conseguito un adeguato livello di conoscenza della disciplina sulla gestione dei dati personali

2) Esercitare le proprie funzioni in piena indipendenza

3) Operare alle dipendenze del Titolare o sulla base di un contratto di servizi

Il DPO deve:

9

F

INTERNET – LOCALIZZAZIONE SATELLITARE - BIOMETRIA VID

EOSO

RV

EGLIA

NZA

–SO

CIA

L NETW

OR

K

CLOUD COMPUTING – RFID – GPS – BYOD – BIG DATA

SYST

EM A

DM

INIS

TRAT

OR

-C

YBER

CR

IME

DPO

DP

OD

PO



10

FORMAZIONE

PRIVACY OFFICER

ESPERIENZA CAPACITA’ AFFIDABILITA’



11

La Professionalità

FORMAZIONE

AGGIORNAMENTO

La certificazione del ruolo del Privacy Officer eConsulente della protezione dei dati può essererilasciata solo da un'autorità indipendente ecertificata, che opera nell'ambito dellaregolamentazione internazionale stabilito dalla normaISO / IEC 17024 standard "Valutazione dellaconformità - Criteri generali per gli organismi dicertificazione del personale operativo".

CERTIFICAZIONE

Per ulteriori dettagli : http://www.tuv.it/it-it/attivita/certificazione-del-personale/privacy-officer-e-consulente-della-privacy




Skills

Formazione

Nomina

La scelta e l’incardinazione del DPO



Sono obbligati alla nomina del DPO:


1 Amministrazioni ed enti pubblici ad eccezione delle autorità giudiziarie

2) Tutti i soggetti la cui attività principale consiste in trattamenti che per natura, oggetto o finalità richiedono il controllo regolare e sistematico degli interessati

3) Tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici

Art. 37 Reg. UE 2016/679

14


I principali compiti del DPO:


1 Informare e assistere il Titolare del trattamento e i lavoratori nella corretta applicazione del Regolamento

2) Vigilare sulla corretta applicazione della disciplina privacy (regolamento – policy) attraverso attività di audit e di formazione/sensibilizzazione dei lavoratori.

3) Fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.

4) Fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti.

5) Gestire le richieste provenienti dall’Autorità Garante per la protezione dei dati personali (es. rispondendo alle note di chiarimenti) oppure le istanze presentate dal Titolare del trattamento (es. istanze di verifica preliminare ex art. 17 C.d.P.)

15



Il Data Protection Officer deve essere tempestivamente eadeguatamente coinvolto in tutte le questioni riguardanti laprotezione dei dati personali; devono essergli fornite le risorsenecessarie per assolvere tali compiti e, quindi, anche un budgetdi spesa (Art. 38 Reg. UE 2016/679).

IL RAPPORTO TITOLARE - DPO

16



La direzione del sistema di gestione privacy attraverso unafigura manageriale come il DPO consentirà al titolare deltrattamento non solo il rispetto delle prescrizioni in tema di dataprotection ma anche il controllo dei profili di responsabilitàgiuridica derivanti dall’applicazione del principiodell’accountability.

IL RAPPORTO PRINCIPIO ACCOUNTABILITY - DPO

17

VIDEOSORVEGLIANZA:LE FONTI NORMATIVE

DIRETTIVA 95/46/CE

CODICE DELLA PRIVACY .

STATUTO DEI LAVORATORI

PROVVEDIMENTI DEL GARANTE

18

Il Regolamento Europeo sul trattamentodei dati personali UE 2016/679 ABROGAla direttiva a decorrere dal 25 maggio2018, data a partire dalla quale ilRegolamento si applicherà. (art.95, co.1 e99,co.2 Reg. UE 2016/679).

D.Lgs n.196/2003

L. n.300/1970

© Riproduzione riservata

• Provv. 29 novembre 2000 (“Il decalogo delle regole per

non violare la privacy”), doc. web n. 31019;

• Provv. Generale 29 aprile 2004, doc. web n. 1003482;

• Provv. Generale 08 aprile 2010, doc. web n. 1712680.

• Il Garante sta lavorando su un nuovo Provvedimento

19

I PR

OV

VED

IMEN

TI D

EL G

AR

AN

TE


Trattamento (Art. 4, comma 1, lett.a.)

TRATTAMENTO: Qualunque operazione ocomplesso di operazioni, effettuati anchesenza l'ausilio di strumenti elettronici,concernenti la raccolta, la registrazione,l'organizzazione, la conservazione, laconsultazione, l'elaborazione, lamodificazione, la selezione, l'estrazione, ilraffronto, l'utilizzo, l'interconnessione, ilblocco, la comunicazione, la diffusione, lacancellazione e la distruzione di dati, anche senon registrati in una banca di dati.

ll titolare o il responsabile devono designare per iscrittotutte le persone fisiche, incaricate del trattamento,autorizzate sia ad accedere ai locali dove sono situate lepostazioni di controllo, sia ad utilizzare gli impianti e, neicasi in cui sia indispensabile per gli scopi perseguiti, avisionare le immagini. (§ 3.3.2 Provv. 08.04.2010).

20© Copyright

21

SI PUO’ INSTALLARE ALL’INTERNO DI UNESERCIZIO COMMERCIALE UN MONITOR CHECONSENTA LA VISIONE DELLE IMMAGINI ACHIUNQUE SIA PRESENTE NEI LOCALI ?


22

VEDI NOTA GARANTE17 APRILE 2014

“Anche la sola presa di visione di immagini acquisite amezzo di sistemi di videosorveglianza integra untrattamento di dati personali. Pertanto, i dati rilevati – ecioè le immagini trasmesse su un monitor – devonoessere oggetto di protezione, sicché la loro visione deveessere riservata soltanto a coloro che, nominatipreviamente dal titolare del trattamento dei dati“incaricati”, ai sensi dell’art. 30 del Codice, abbiano ilcompito di controllare le stesse per evitare laconsumazione di possibili illeciti. Ne consegue che nonpuò ritenersi conforme a legge una visione delleimmagini “generalizzata”, che non solo non sia limitataai soggetti effettivamente titolati a prenderne visione,ma addirittura si estenda a “chiunque sia presente neilocali dell’esercizio commerciale o della farmacia”


23

I Principi da rispettare per una corretta installazione di un impianto di Videosorveglianza

Va rispettato il principio per cui gli interessati

devono essere sempre informati quando stanno

per accedere ad una zona videsorvegliata.

Informativa – Art. 13 -

Finalità

Modalità

Natura obbligatoria o facoltativa del

conferimento dati

Conseguenze di un eventuale rifiuto a

rispondere

Soggetti ai quali possono essere

comunicati i dati

I Diritti di cui all’art.7

Estremi del Titolare e dei Responsabili

se designati

L’informativa, che deve essere conforme aquanto stabilito dall’art. 13 del Codice Privacy,può essere resa in forma“minima” (semplificata),indicando il titolare del trattamento e la finalitàperseguita e seguendo il fac-simile


IL GARANTE HA INDIVIDUATO AI SENSI DELL’ART. 13,

COMMA 3, DEL CODICE, L’UTILIZZO DI UN MODELLO

SEMPLIFICATO DI INFORMATIVA MINIMA, INDICANTE IL

TITOLARE DEL TRATTAMENTO E LA FINALITA’

PERSEGUITA.

§ 3.1 PROVV. 08.04.2010

Questo fac-simile può essere utilizzato dai soggetti

privati che effettuano trattamenti di dati personali

effettuati tramite sistemi di videosorveglianza

direttamente collegati con le forze di polizia.

Afferma il provv. 08.04.2010 che questo tipo di

collegamento DEVE ESSERE RESO NOTO AGLI

INTERESSATI. (vedi § 3.1.3. provv. 08.04.2010)L’IN

FOR

MAT

IVA

BR

EVE

NEL

LA V

IDEO

SOR

VEG

LIA

NZA

24© Riproduzione riservata

L’IN

FOR

MAT

IVA

BR

EVE

NEL

LA V

IDEO

SOR

VEG

LIA

NZA

25

In presenza di più telecamere, inrelazione alla vastità dell'area oggetto dirilevamento e alle modalità delle riprese,potranno essere installati più cartelli.

Il supporto con l'informativa:

• deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;

• deve avere un formato ed un posizionamentotale da essere chiaramente visibile in ognicondizione di illuminazione ambientale, anchequando il sistema di videosorveglianza siaeventualmente attivo in orario notturno;

• può inglobare un simbolo o una stilizzazione diesplicita e immediata comprensione,eventualmente diversificati al fine di informare sele immagini sono solo visionate o anche registrate.

Provv. 08.04.2010, § 3.1.

"L'installazione di un impianto divideosorveglianza all'interno di unesercizio commerciale, costituendotrattamento di dati personali, deveformare oggetto di previa informativa,ex art. 13 del d.lgs. n. 196 del 2003, resaai soggetti interessati prima che faccianoaccesso nell'area videosorvegliata,mediante supporto da collocare perciòfuori del raggio d'azione delletelecamere che consentono la raccoltadelle immagini delle persone e dannocosì inizio al trattamento stesso". (Cass.5 luglio 2016, n. 13663).


26

Naturalmente occorre ricordarsi di compilare la cartellonistica, con l’indicazione del titolare del trattamento e la finalità della rilevazione/registrazione.


Controlli a distanza

27

Art. 4 L.n.300/1970

Gazzetta Ufficiale n. 221 del 23/09/2015 – Suppl. Ordinario n. 53

L’articolo 23 del Decreto Legislativo 14 settembre 2015, n. 151 ha modificato l’articolo 4 della legge n. 300/1970 (Statuto dei Lavoratori).


IL NUOVO ARTICOLO 4

“Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità dicontrollo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamenteper esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela delpatrimonio aziendale e possono essere installati previo accordo collettivo stipulato dallarappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. Inalternativa, nel caso di imprese con unità produttive ubicate in diverse province dellastessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazionisindacali comparativamente più rappresentative sul piano nazionale. In mancanza diaccordo gli impianti e gli strumenti di cui al periodo precedente possono essere installatiprevia autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso diimprese con unità produttive dislocate negli ambiti di competenza di più Direzioniterritoriali del lavoro, dal Ministero del lavoro e delle politiche sociali.La disposizione di cui al primo comma non si applica agli strumenti utilizzati dallavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degliaccessi e delle presenze.Le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti ifini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguatainformazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nelrispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196» (Codice dellaprivacy)”.

28

NU

OV

O



[OMISSIS] in relazione al contenuto del quesito proposto, a parere di questa Direzione nonoccorrerà autorizzazione alla installazione degli impianti nei confronti del condominio chenon occupi lavoratori alle proprie dipendenze, ed a condizione che il datore di lavoroesterno (società di pulizie) con la quale sia stato stipulato un contratto di appalto nonabbia alcun accesso alle immagini acquisite tramite il sistema di videosorveglianza.(Risposta a interpello della DTL di Arezzo del 23 febbraio 2016).

NO

PRIMA DI INSTALLARE UN IMPIANTO DI

VIDEOSORVEGLIANZA IN LUOGHI DI

LAVORO CI VUOLE L’ACCORDO

SINDACALE O L’AUTORIZZAZIONE DELLA

D.T.L.

30

V. FAQ Minist. N.4© Riproduzione riservata

31

• La ditta occupa lavoratori dipendenti o altre figure professionali ad essi assimilabili;

• Non sono stati eletti in ditta rappresentanti sindacali aziendali (RSA) o rappresentanti sindacali unitari (RSU);

• Pur essendo presenti in ditta RSA o RSU, è stato sottoscritto un verbale di mancato accordo

in relazione all'utilizzo dell'impianto di videosorveglianza.

QUANDO CI SI RIVOLGE ALLA D.T.L.


32

Il Ministero del lavoro hapubblicato nel corso dellaprimavera del 2016 il modellounificato di autorizzazioneall’installazione di impianti divideosorveglianza nei luoghidi lavoro.


33

Impianti installati senza accordo o autorizzazione della DTL: Parere del Ministero del 01.06.2016

Il Ministero del Lavoro e delle Politiche Socialiin data 01 giugno 2016, prot.37/0011241/MA007.A.001.10742 ha reso unparere in merito ad accertamenti ispettivi easpetti sanzionatori riguardanti impiantiaudiovisivi installati senza accordo sindacale oautorizzazione ai sensi dell’articolo 4, comma1, legge n. 300/1970.


Quando si deve ottenere l’Autorizzazione del Garante per installare determinati impianti di

videosorveglianza ? - LA Verifica Preliminare -

• dei sistemi di videosorveglianza abbinati a dati biometrici;• degli impianti dotati di software, che consentono il riconoscimento dellepersone;• dei sistemi c.d. intelligenti, che cioè non si limitano a riprendere e registrarele immagini, ma sono in grado di rilevare automaticamente comportamenti oeventi anomali, segnalarli ed eventualmente registrarli;• dei sistemi integrati di videosorveglianza;• delle casistiche di allungamento dei tempi di conservazione delle immaginioltre il previsto termine massimo di sette giorni.

il Garante enuncia tutta una serie di ipotesi che vanno sottoposte a verifica preliminare. Si tratta:


SISTEMI INTELLIGENTI

I sistemi di videosorveglianza c.d. intelligenti sono queisistemi in grado di rilevare automaticamentecomportamenti o eventi anomali, segnalarli eall’occorrenza registrarli.



Le telecamere ad inseguimento hanno la funzione, in situazione dinormalità, di effettuare una scansione panoramica della zona dicompetenza e, grazie alla modalità di video-analisi, in caso diintrusione, si orientano verso la zona interessata per seguire eregistrare l'evento. Esse rientrano nel concetto di sistema divideosorveglianza “intelligente”, che richiede, oltre ai normaliadempimenti previsti dal provv. 08.04.2010 e dallo Statuto deiLavoratori, anche una istanza di verifica preliminare ai sensidell’articolo 17 del D.Lgs n.196/2003.

LE TELECAMERE AD INSEGUIMENTO



Permette di distinguere, all'interno di un'immagine,persone, veicoli, animali e altri oggetti che nonappartengono propriamente alla struttura dellascena.

object classification


38

SISTEMA INTELLIGENTE ANTISCAVALCAMENTOPRESSO AREE PORTUALI DI OLBIA ISOLABIANCA, GOLFO ARANCI E COCCIANI.

Provv. 17.09.2015 [doc. web n. 4361006 ]

VIDEO ANALISI:

L’Autorità Portuale ha sottoposto a verifica preliminare l'utilizzo di sistemi di videosorveglianzache prevedono una specifica attività di video analisi volta a "segnalare automaticamentel'eventuale scavalcamento della recinzione metallica posizionata lungo il perimetro delle areead accesso ristretto".

CARATTERISTICHE DELL’IMPIANTO:


39

IL GIUDIZIO DEL GARANTE

Il Garante ha preso atto che l'impianto di videosorveglianza che l'Autorità portuale di Olbia eGolfo Aranci ha inteso sottoporre alla verifica preliminare dell'Autorità è abilitato a svolgerela specifica funzione di attivare un allarme sonoro presso la control room in caso diattraversamento di una linea virtuale posta in corrispondenza del limite superiore dellarecinzione metallica, con lo scopo di segnalare l'eventuale scavalcamento da parte di soggettinon autorizzati della recinzione metallica posizionata lungo il perimetro delle aree ad accessoristretto.

Provv. 17.09.2015 [doc. web n. 4361006]

Linea Virtuale


40


Sotto il profilo, poi, degli effetti previsti conseguenti all'attivazione dell'allarme, dalladocumentazione trasmessa emerge che le caratteristiche specifiche del sistema divideosorveglianza in esame, nel rilevare il superamento di una barriera virtuale, delimitata dauna linea predefinita, e l'accesso ad una zona interdetta segnalata con la "presenza di idoneicartelli informativi e (con) dispositivi di delimitazione delle zone protette", hanno come unicaconseguenza quella di richiamare l'attenzione dell'operatore presente nella control room, alfine di favorirne un eventuale tempestivo intervento, volto a verificare la fondatezza dellasegnalazione d'allarme sonoro (eventualmente anche azionando "delle telecamere dome,per seguire manualmente l'intruso fino all'arrivo delle guardie giurate") e non comportanol'attivazione di ulteriori funzionalità, quali, ad esempio, l'analisi audio, la geolocalizzazione o ilriconoscimento tramite incrocio con ulteriori specifici dati personali, anche biometrici, oconfronto con una campionatura precostituita.Pertanto, con riferimento alla valutazione di proporzionalità del trattamento dei datipersonali effettuato tramite il sistema intelligente oggetto della verifica preliminare, si ritieneche, allo stato degli elementi acquisiti in atti, il sistema di videosorveglianza così comedescritto e in relazione alle finalità dichiarate non comporti, in concreto, un pregiudiziorilevante per gli interessati, tale da determinare effetti invasivi sulla loro sfera diautodeterminazione e, conseguentemente, sui loro comportamenti.

Provv. 17.09.2015 [doc. web n. 4361006]


41


Sotto il profilo, poi, degli effetti previsti conseguenti all'attivazione dell'allarme, dalladocumentazione trasmessa emerge che le caratteristiche specifiche del sistema divideosorveglianza in esame, nel rilevare il superamento di una barriera virtuale, delimitata dauna linea predefinita, e l'accesso ad una zona interdetta segnalata con la "presenza di idoneicartelli informativi e (con) dispositivi di delimitazione delle zone protette", hanno come unicaconseguenza quella di richiamare l'attenzione dell'operatore presente nella control room, alfine di favorirne un eventuale tempestivo intervento, volto a verificare la fondatezza dellasegnalazione d'allarme sonoro (eventualmente anche azionando "delle telecamere dome,per seguire manualmente l'intruso fino all'arrivo delle guardie giurate") e non comportanol'attivazione di ulteriori funzionalità, quali, ad esempio, l'analisi audio, la geolocalizzazione o ilriconoscimento tramite incrocio con ulteriori specifici dati personali, anche biometrici, oconfronto con una campionatura precostituita.Pertanto, con riferimento alla valutazione di proporzionalità del trattamento dei datipersonali effettuato tramite il sistema intelligente oggetto della verifica preliminare, si ritieneche, allo stato degli elementi acquisiti in atti, il sistema di videosorveglianza così comedescritto e in relazione alle finalità dichiarate non comporti, in concreto, un pregiudiziorilevante per gli interessati, tale da determinare effetti invasivi sulla loro sfera diautodeterminazione e, conseguentemente, sui loro comportamenti.

Provv. 17.09.2015 [doc. web n. 4361006]


TEMPI DI CONSERVAZIONE DELLE IMMAGINI


La conservazione deve essere limitata a poche

ore o, al massimo, alle ventiquattro ore

successive alla rilevazione, fatte salve speciali

esigenze di ulteriore conservazione in relazione

a festività o chiusura di uffici o esercizi . . . .

(§3.4 Provv. 08.04.2010).

PRINCIPIO GENERALE


PECULIARI ESIGENZE TECNICHE O PER LA

PARTICOLARE RISCHIOSITA’ DELL’ATTIVITA’ SVOLTA

AMMESSO UN TEMPO PIU’ AMPIO

NON SUPERIORE ALLA SETTIAMANA


45

A CHI E’ RIMESSA LA CONCRETA VALUTAZIONEDEI TEMPI DI CONSERVAZIONE DELLE IMMAGINI?



“La concreta valutazione dei tempi – comunqueinfrasettimanali –reputati necessari per laconservazione delle immagini è direttamenterimessa al titolare del trattamento che, alriguardo, assume ogni responsabilità; ciò,ovviamente, tranne che nell’ipotesi in cuidall’installazione degli impianti audiovisiviall’interno dell’azienda possa derivare, seppur invia indiretta, un controllo a distanza sull’attivitàlavorativa: nel qual caso si rende necessarioespletare anche le procedure di cui all’art. 4della legge n. 300/1970. Pertanto, in assenza diaccordo con le rappresentanze sindacaliaziendali, i tempi di conservazione delleimmagini debbono essere fissati – anche oltre le24 ore, purché non oltre la settimana – dalledirezioni del lavoro territorialmente competenti,anche alla luce dei principi stabiliti dall’art. 11del Codice.”

NOTA GARANTE 02 AGOSTO 2013 IN MERITO ALL’INTERPRETAZIONE DEL PAR. 3.4. DEL PROVV. 08.04.2010

In tutti i casi in cui si voglia procedere a un allungamento

dei tempi di conservazione per un periodo superiore alla

settimana, la richiesta va sottoposta ad una verifica

preliminare da parte del Garante (v. punto 3.2.1.Provv.

08.04.2010).


INIDONEA INFORMATIVA E VIOLAZIONE DELLA DISCIPLINA SUI TEMPI DI CONSERVAZIONE DELLE IMMAGINI

Un form di raccolta dati presente sul sito internet dell’azienda privodell’informativa;

Presenza di un impianto di Videosorveglianza composto da 4 telecamere,rispetto al quale l'informativa apposta è priva dell'indicazione del titolare edelle finalità del trattamento;

Le immagini conservate risalgono a 11 giorni precedenti, ovvero a un periodosuperiore a quello massimo (7 giorni) previsto dal Garante con il provvedimentosulla videosorveglianza dell'8 aprile 2010.

La Guardia di Finanza a seguito di accertamenti presso una sas

RILEVA

CASO PRATICO


la violazione amministrativa prevista dall'art. 161 del Codice, in combinatodisposto con l'art. 164-bis, comma 1, in relazione all'omessa informativa sul sitoweb.

Art. 161. Omessa o inidonea informativa all'interessato1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.

Art. 164-bis. Casi di minore gravità e ipotesi aggravate1. Se taluna delle violazioni dicui agli articoli 161, 162, 162-ter, 163 e 164 è di minoregravità, avuto altresì riguardoalla natura anche economica osociale dell'attività svolta, ilimiti minimi e massimistabiliti dai medesimi articolisono applicati in misura pari adue quinti.

€ 2.400,00


la violazione amministrativa prevista dall'art. 161 del Codice, in combinatodisposto con l'art. 164-bis, comma 1, in relazione all'inidonea informativa rispettoal trattamento effettuato mediante il sistema di videosorveglianza;

Art. 161. Omessa o inidonea informativa all'interessato1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.


€ 2.400,00


la violazione amministrativa prevista dall'art. 162, comma 2-ter, del Codice per l'inosservanza del provvedimento sulla videosorveglianza (punti 3.3 e 3.4 relativi ai tempi di conservazione delle immagini).

Art. 162, comma 2 ter . In caso di inosservanza dei

provvedimenti di prescrizione dimisure necessarie o di divieto dicui, rispettivamente, all'articolo154, comma 1, lettere c) e d), èaltresì applicata in sedeamministrativa, in ogni caso, lasanzione del pagamento di unasomma da trentamila euro acentottantamila euro


€ 12.000,00


IL GARANTE HA INGIUNTO ALL’AZIENDA DI PAGARE LA SOMMA COMPLESSIVA DI

€ 16.800,00

entro 30 giorni dalla notificazione dell’ordinanza di ingiunzione, penal'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge24 novembre 1981, n. 689.

NB: Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso l’ordinanza ingiunzione può essereproposta opposizione all'autorità giudiziaria ordinaria.

PROVV. 13 MAGGIO 2015 n.295 [doc web n. 4215422]


LA RESPONSABILITA’ DEGLI INSTALLATORI

La responsabilità di coloro i quali operano di fatto nell’ambito dell’installazione di impianti di sicurezza, quindi – a titolo meramente esemplificativo – progettisti, installatori e/o manutentori.


LA RESPONSABILITA’ CIVILE EXTRACONTRATTUALE

L’installatore è tenuto, in ossequio ad un generico obbligo didiligenza e vigilanza, anche a controllare, nei limiti delle suecognizioni tecniche, la bontà del progetto e delle istruzioniimpartite dal committente e, se del caso, è tenuto asegnalarne gli errori.


UN CONSIGLIO PRATICO

TERMINATA L’INSTALLAZIONE:

1) EFFETTUATE UN CONTROLLO ACCURATO DEI REQUISITI LEGALI DELL’IMPIANTO;2) SE RICHIESTO DAL COMMITTENTE, RILASCIATE LA DICHIARAZIONE DI

CONFORMITA’ PREVISTA DALLA REGOLA 25 DELL’ ALLEGATO “B” AL CODICE PRIVACY (FATE ATTENZIONE CHE QUANTO DICHIARATO CORRISPONDA ALLA REALE CONFIGURAZIONE DELL’IMPIANTO).


56

PER APPROFONDIRE IL TEMA DELLA RESPONSABILITA’ DEGLI OPERATORI DEL SETTORE DELLA VIDEOSORVEGLIANZA E’ ATTIVO UN CORSO SPECIFICO.

VAI SU: http://www.ethosacademy.it/formazione-security-safety-corso.asp?c=1&id=10


Avv. Marco SoffientiniDocente Università degli Studi di Roma UnitelmaSapienzaAutore IPSOA e Banca Dati IGF Web GIAPPICHELLI

Privacy Officer certificato TÜV Italia n° Reg. CDP 015

Coordinatore Nazionale Comitato Scientifico FederprivacyFellow Istituto Italiano per la Privacy e la valorizzazione dei dati

https://it.linkedin.com/in/marcosoffientini

@msoffientini1

GRAZIE PER LA CORTESE ATTENZIONE

57

https://it.linkedin.com/in/marcosoffientini

58

Marco Soffientini è un avvocato, esperto di diritto delle nuove tecnologie, privacy e data

protection

Coordinatore nazionale del Comitato Scientifico di Federprivacy e delegato provinciale di Arezzo

per la medesima associazione. Laureato in Giurisprudenza all’Università di Perugia, avvocato

del Foro di Arezzo, è socio fondatore dal 2001 dello Studio legale Rosadi – Soffientini Associati.

Esperto di Privacy e Diritto delle Nuove Tecnologie, contrattualistica e proprietà industriale, è

membro fellow dell’Istituto Italiano per la Privacy e “Privacy Officer e Consulente Privacy”

certificato con TÜV Italia. Svolge attività di consulenza e assistenza in diritto dell’information

technology, privacy e diritto d’impresa a primarie società nazionali e multinazionali. Autore di

articoli per vari periodici, come “Il Corriere della Privacy”, “Diritto e Pratica del Lavoro”, “Diritto

e Pratica del Lavoro Oro”, “a&s Italy”, “vigilanzaprivataonline.com” e per la banca dati IGFWeb

di Giappichelli editore, è anche autore dei seguenti testi, editi da IPSOA: “Privacy Officer: La

figura chiave della data protection europea” pubblicato nel 2013 e “Privacy – Protezione e

Trattamento dei dati – del 2015. Sempre per IPSOA, ha curato la stesura dei seguenti e-book:

“privacy e condominio”, “privacy e ordini professionali” e “Videosorveglianza sui luoghi di

lavoro”. Relatore in vari convegni e corsi in tema di protezione dei dati personali, svolge

regolarmente attività di docenza per l'Università degli Studi di Roma Unitelma Sapienza nel

corso di perfezionamento teorico-pratico: “Investigazioni private, pubbliche, informazioni

commerciali e della sicurezza privata”, per l’Istituto di formazione IFOA e per la scuola di

formazione Ethos Academy. Ha svolto docenze per: l’Università degli Studi “Guglielmo Marconi”

nel corso di perfezionamento in Scienze delle Investigazioni Private e della Sicurezza; Università

degli Studi di Torino “SAA School of Management”, nel corso Gestione e trasparenza dei dati

informatici delle pubbliche amministrazioni (open data) e Università degli Studi di Milano, nel

corso di laurea in giurisprudenza sulle nuove professionalità giuridiche.

Contatti: [email protected];

mailto:[email protected]

videosorveglianza e privacy dopo il nuovo … · inteso come responsabilizzazione e dovere di...

Documents