Il Regolamento Generale sulla protezione dei dati personali (REG. UE 016/679), meglio noto come GDPR, è divenuto applicabile in tutto il territorio europeo dal 25 maggio 2018. Tra gli altri, ha due obiettivi fondamentali: adeguare la normativa alle nuove tecnologie informatiche e armonizzare ed uniformare la normativa europea utilizzando il Regolamento, e non la direttiva, per dare uno strumento che sia immediatamente applicabile all’interno degli Stati (abrogando la direttiva 95/46/CE e, di conseguenza, il codice privacy nella parte in cui questa direttiva viene recepita).
Rispetto al codice della privacy, nel GDPR cambia radicalmente la filosofia della norma. Si passa da un sistema normativo dove venivano indicate le misure minime di sicurezza da adottare, ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione del titolare del trattamento a cui è richiesta la capacità di esaminare le proprie attività di gestione dati, individuare le mancanze e di dimostrare, anche attraverso policies interne, la conformità al GDPR e l’adeguatezza delle proprie scelte di tutela all’organizzazione e alla tipologia di dati gestiti. Infatti, il titolare del trattamento, tenuto conto della natura, dell’ambito, del contesto, delle finalità e dei rischi del proprio trattamento dati, dovrà mettere in atto tutte le misure tecniche e organizzative atte al fine di garantire un livello di sicurezza adeguato al rischio. Per tale motivo risulta fondamentale un’auto analisi della situazione aziendale a livello di gestione e di trattamento dei dati e degli adempimenti in materia di privacy.
La modifica dell’ambito di applicazione della norma che tutela tutti i dati delle persone fisiche ed esclude completamente i dati delle persone giuridiche compresi i dati di contatto che rimangono fuori dall’ambito di applicazione della nuova normativa;
L’inasprimento delle sanzioni, che risultano molto più pesanti rispetto alla precedente normativa;
L’introduzione del concetto di accountability del titolare del trattamento, ovvero l’individuazione delle misure tecniche organizzative adeguate al rischio, tenuto conto della situazione aziendale, dei costi di attuazione, nonché della natura, oggetto e finalità di trattamento dei dati;
L’introduzione dell’obbligo di comunicare all’autorità di controllo, le violazioni dei dati entro 72 ore dalla scoperta.
Ogni titolare del trattamento dovrà, durante la propria autovalutazione aziendale, individuare che tipologia di dati sono trattati, le procedure già in atto per il trattamento dei dati delle persone fisiche, aggiornare le informative privacy (es. informativa nel sito, nei prodotti, nei moduli di intervento) e valutare se le misure tecniche, organizzative e di sicurezza esistenti in azienda sono coerenti con i rischi di tutela dei dati personali.
Se non sono coerenti, il titolare del trattamento dovrà implementare le misure ritenute adeguate sulla base della tipologia dei dati trattati, dei costi di attivazione, del rischio per i diritti e le libertà delle persone fisiche e delle finalità del trattamento. Dovrà inoltre essere valutata la necessità di nominare il Responsabile della protezione dei dati (DPO) nei casi in cui si faccia trattamento dei dati su larga scale e nel caso in cui vengano monitorati su larga scala i dati.
Quando si parla in generale di privacy è inevitabile parlare anche del tema videosorveglianza. Ma cosa cambia in tema di videosorveglianza con l’applicazione del Reg. UE 2016/679? In realtà il GDPR non ha modificato nella sostanza le regole relative all’installazione dei sistemi di videosorveglianza, ma solo le modalità di trattamento dei dati e della sicurezza degli stessi. Avremo modo nei prossimi numeri di approfondire questo importante argomento che coinvolge molto da vicino il nostro settore, collegandolo con la nuova normativa privacy.
Relativamente all’ambito della videosorveglianza, il GDPR non modifica nella sostanza le regole relative alla installazione dei sistemi stessi, ma solo le modalità di trattamento dei dati e della sicurezza degli stessi e i riferimenti nella cartellonistica. Riportiamo di seguito alcuni ambiti di adozione di sistemi di videosorveglianza.
Nei luoghi di lavoro si possono installare sistemi di videosorveglianza previa:
Se le videocamere riprendono direttamente uno o più dipendenti mentre lavorano è necessario ottenere preventivamente un Accordo Collettivo con le rappresentanze sindacali aziendali (RSA/RSU) o le associazioni sindacali più rappresentative nel territorio e l’Autorizzazione da parte della DTL (Direzione Territoriale del Lavoro) o del Ministero del Lavoro (in caso di imprese plurilocalizzate). Le telecamere NON possono inquadrare bagni e spogliatoi o i corridoi antistanti questi due locali.
In ogni caso, le videocamere non possono essere installate con lo scopo di monitorare o controllare i lavoratori, ma il loro utilizzo DEVE essere giustificato ai fini della tutela dei beni aziendali o per la protezione del personale (previo accordo sindacale).
Con riferimento all’installazione dei sistemi di videosorveglianza nelle altre aree pubbliche, il provvedimento in materia di Videosorveglianza dell’08 aprile 2010 prevede l’introduzione di alcuni principi generali:
Nelle abitazioni private, i proprietari possono decidere di installare impianti di videosorveglianza senza il consenso degli interessati se hanno intenzione di rilevare le immagini per un interesse legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro, ecc. sempre sulla base delle prescrizioni del Garante.
Qualora però le telecamere riprendessero anche aree pubbliche, il proprietario dell’impianto di videosorveglianza dovrà affiggere il cartello di informativa previsto dal Garante che dovrà essere visibile anche di notte.