Privacy e Videosorveglianza

Il Regolamento Generale GDPR: la normativa europea sulla protezione dei dati personali si aggiorna
Tvcc-Videosorveglianza-Vimar

Il Regolamento Generale sulla protezione dei dati personali (REG. UE 016/679), meglio noto come GDPR, è divenuto applicabile in tutto il territorio europeo dal 25 maggio 2018. Tra gli altri, ha due obiettivi fondamentali: adeguare la normativa alle nuove tecnologie informatiche e armonizzare ed uniformare la normativa europea utilizzando il Regolamento, e non la direttiva, per dare uno strumento che sia immediatamente applicabile all’interno degli Stati (abrogando la direttiva 95/46/CE e, di conseguenza, il codice privacy nella parte in cui questa direttiva viene recepita).

Rispetto al codice della privacy, nel GDPR cambia radicalmente la filosofia della norma. Si passa da un sistema normativo dove venivano indicate le misure minime di sicurezza da adottare, ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione del titolare del trattamento a cui è richiesta la capacità di esaminare le proprie attività di gestione dati, individuare le mancanze e di dimostrare, anche attraverso policies interne, la conformità al GDPR e l’adeguatezza delle proprie scelte di tutela all’organizzazione e alla tipologia di dati gestiti. Infatti, il titolare del trattamento, tenuto conto della natura, dell’ambito, del contesto, delle finalità e dei rischi del proprio trattamento dati, dovrà mettere in atto tutte le misure tecniche e organizzative atte al fine di garantire un livello di sicurezza adeguato al rischio. Per tale motivo risulta fondamentale un’auto analisi della situazione aziendale a livello di gestione e di trattamento dei dati e degli adempimenti in materia di privacy.

Alcune tra le novità del GDPR:
  • La modifica dell’ambito di applicazione della norma che tutela tutti i dati delle persone fisiche ed esclude completamente i dati delle persone giuridiche compresi i dati di contatto che rimangono fuori dall’ambito di applicazione della nuova normativa;

  • L’inasprimento delle sanzioni, che risultano molto più pesanti rispetto alla precedente normativa;

  • L’introduzione del concetto di accountability del titolare del trattamento, ovvero l’individuazione delle misure tecniche organizzative adeguate al rischio, tenuto conto della situazione aziendale, dei costi di attuazione, nonché della natura, oggetto e finalità di trattamento dei dati;

  • L’introduzione dell’obbligo di comunicare all’autorità di controllo, le violazioni dei dati entro 72 ore dalla scoperta.

Privacy_Vigilanza
Il titolare del trattamento dati

Ogni titolare del trattamento dovrà, durante la propria autovalutazione aziendale, individuare che tipologia di dati sono trattati, le procedure già in atto per il trattamento dei dati delle persone fisiche, aggiornare le informative privacy (es. informativa nel sito, nei prodotti, nei moduli di intervento) e valutare se le misure tecniche, organizzative e di sicurezza esistenti in azienda sono coerenti con i rischi di tutela dei dati personali.

Se non sono coerenti, il titolare del trattamento dovrà implementare le misure ritenute adeguate sulla base della tipologia dei dati trattati, dei costi di attivazione, del rischio per i diritti e le libertà delle persone fisiche e delle finalità del trattamento. Dovrà inoltre essere valutata la necessità di nominare il Responsabile della protezione dei dati (DPO) nei casi in cui si faccia trattamento dei dati su larga scale e nel caso in cui vengano monitorati su larga scala i dati.

Quando si parla in generale di privacy è inevitabile parlare anche del tema videosorveglianza. Ma cosa cambia in tema di videosorveglianza con l’applicazione del Reg. UE 2016/679? In realtà il GDPR non ha modificato nella sostanza le regole relative all’installazione dei sistemi di videosorveglianza, ma solo le modalità di trattamento dei dati e della sicurezza degli stessi. Avremo modo nei prossimi numeri di approfondire questo importante argomento che coinvolge molto da vicino il nostro settore, collegandolo con la nuova normativa privacy.

Quali sono gli accorgimenti da osservare per tutelare la privacy?

Relativamente all’ambito della videosorveglianza, il GDPR non modifica nella sostanza le regole relative alla installazione dei sistemi stessi, ma solo le modalità di trattamento dei dati e della sicurezza degli stessi e i riferimenti nella cartellonistica. Riportiamo di seguito alcuni ambiti di adozione di sistemi di videosorveglianza.

Nei luoghi di lavoro si possono installare sistemi di videosorveglianza previa:

  • Informativa privacy (sulla base del GDPR) ai lavoratori interessati dalle riprese, comprensiva di consenso;
  • Nomina di un responsabile della gestione dei dati registrati;
  • Posizionamento delle telecamere nelle zone a rischio evitando di riprendere in maniera unidirezionale i lavoratori;
  • Affissione dei cartelli visibili che informino i dipendenti ed eventuali clienti, ospiti o visitatori della presenza dell’impianto di sicurezza;
  • Conservazione delle immagini per un tempo che va dalle 24 alle 48 ore (in alcuni casi si può estendere fino al 1 settimana), ogni altra diversa tempistica di conservazione deve essere motivata dal titolare del trattamento e autorizzata dal Garante della Privacy.
Vimar-Composizione-Elvox-Tvcc-7Dfew6V

Se le videocamere riprendono direttamente uno o più dipendenti mentre lavorano è necessario ottenere preventivamente un Accordo Collettivo con le rappresentanze sindacali aziendali (RSA/RSU) o le associazioni sindacali più rappresentative nel territorio e l’Autorizzazione da parte della DTL (Direzione Territoriale del Lavoro) o del Ministero del Lavoro (in caso di imprese plurilocalizzate). Le telecamere NON possono inquadrare bagni e spogliatoi o i corridoi antistanti questi due locali.

In ogni caso, le videocamere non possono essere installate con lo scopo di monitorare o controllare i lavoratori, ma il loro utilizzo DEVE essere giustificato ai fini della tutela dei beni aziendali o per la protezione del personale (previo accordo sindacale).

Con riferimento all’installazione dei sistemi di videosorveglianza nelle altre aree pubbliche, il provvedimento in materia di Videosorveglianza dell’08 aprile 2010 prevede l’introduzione di alcuni principi generali:

  1. Informativa ai cittadini che transitano su aree videosorvegliate tramite cartelli visibili anche al buio se la sorveglianza avviene anche durante le ore notturne (modifica della cartellonistica con riferimento alla nuova normativa in materia di trattamento dei dati);
     
  2. I sistemi di videosorveglianza collegati con le forze di polizia devono avere una cartellonistica dedicata;
     
  3. Le telecamere installate per fini di sicurezza pubblica non devono essere segnalate ma il Garante auspica la presenza in ogni caso del cartello informativo
Per quanto riguarda le regole relative alla conservazione:
  • Periodo limitato di 24 ore salvo speciali esigenze di conservazione in relazione ad indagini pubbliche e giudiziarie;
  • Per attività rischiose (es. Banche) è ammesso un tempo più ampio che non può superare la settimana;
  • Eventuali esigenze di allungamento delle tempistiche devono essere verificate preliminarmente dal Garante.
Altri Settori di particolare interesse:
  • Sicurezza urbana: i Comuni che installano telecamere devono prevedere l’affissione del cartello, salvo esigenze di tutela sicurezza pubblica. Tempo conservazione 7 giorni salve specifiche esigenze;
  • Violazione Codice della Strada: ammessi solo previa informativa e ripresa della sola targa. L’immagine deve pervenire al domicilio dell’intestatario del veicolo;
  • Deposito rifiuti: lecite le telecamere per monitorare le eco-piazzole e le discariche di sostanze pericolose, per monitorare uso, materiale scaricato e orari di deposito;
  • Istituti scolastici: è ammesso il monitoraggio delle aree che possono essere interessate da ‘atti vandalici’ e solo negli orari di chiusura dell’istituto.
Vimar-Privacy-Videosorveglianza-Tvcc-Monitor-7C40Gi0

Nelle abitazioni private, i proprietari possono decidere di installare impianti di videosorveglianza senza il consenso degli interessati se hanno intenzione di rilevare le immagini per un interesse legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro, ecc. sempre sulla base delle prescrizioni del Garante.

Qualora però le telecamere riprendessero anche aree pubbliche, il proprietario dell’impianto di videosorveglianza dovrà affiggere il cartello di informativa previsto dal Garante che dovrà essere visibile anche di notte.