Articoli

Oltre il 90% delle telecamere “fuorilegge” secondo Federprivacy: come metterle in regola?

/0 Commenti/in

Tantissimi impianti di videosorveglianza in Italia sarebbero ancora fuori regola e a rischio sanzioni. Lo spiega una recente ricerca che Federprivacy, in collaborazione con Ethos Academy, ha messo in atto dimostrando come oltre il 90% dei sistemi debba gioco forza adeguarsi. Tra le violazioni troviamo quella dell’articolo 13 Regolamento (Ue) 2016/679 in tema di informativa sulla privacy e la questione della segnaletica. Lo studio rivela come nel 38% dei casi gli impianti di TVCC siano sprovvisti di cartelli e nel 54% dei casi in cui questi sono compilati ci sono errori per quanto riguarda i riferimenti normativi, spesso obsoleti.

Altro motivo sanzionatorio è legato al mancato rispetto delle norme in tema di controllo a distanza negli ambienti di lavoro (art.4 L. N.300/1970), come per esempio quando una telecamera inquadra oltre il raggio di azione consentito. Spesso i titolari del trattamento dei dati non sono consci delle sanzioni previste dal Regolamento europeo sulla protezione dei dati, ma è anche vero come gli installatori non siano sempre aggiornati sulle normative da applicare oppure sottovalutano i rischi.

In merito alla questione dell’angolo di visuale, il Garante per la Privacy con il Provv. N. 20 del 27 Gennaio 2022 si è espresso con un’ordinanza ingiunzione emessa nei confronti di un circolo culturale il quale aveva puntato alcune telecamere verso la stazione dei carabinieri situata nelle vicinanze. In tale caso, per fare un esempio, non erano presenti nemmeno i cartelli informativi obbligatori. In tale caso, le violezioni hanno interessato l’articolo 166, comma 5, del Codice in relazione alla violazione dell’articolo 5, par. 1, lett. a) e c) del Regolamento (angolo di visuale non circoscritto all’area del Circolo) e l’articolo 13 del Regolamento (assenza dell’informativa). Fondamentale è il fatto per cui chi passa davanti a una telecamera di videosorveglianza sappia che può essere ripreso e il modo lecito per farlo è applicare deicartelli che seguano le indicazioni contenute al punto 3.1. del provvedimento in materia di videosorveglianza – 8 aprile 2010, tenuto conto delle Linee Guida n.3/2019 del Comitato Europeo per la Protezione dei Dati. La telecamera non deve inquadrare oltre la proprietà di propria pertinenza, quindi si deve procedere oscurando l’angolo di inquadratura (riferimento Linee Guida n. 3/2019 del Comitato europeo per la protezione dei dati sul trattamento dei dati personali attraverso dispositivi video, punto 27).

Se si inquadra al di fuori del consentito, si applicano le sanzioni pecuniarie previste dall’art. 83, par. 5, del Regolamento, mediante l’adozione di un’ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689).

Passando invece alla parte relativa alla violazione dell’articolo 4 dello Statuto dei lavoratori, si ricorda come sia necessario attivare un accordo sindacale oppure avere il nulla osta dell’Ispettorato del Lavoro per applicare telecamere in azienda allo scopo di controllare le attività da remoto. «La mancanza di questi permessi, comporta la responsabilità penale del datore di lavoro», spiega la Corte di Cassazione, con la sentenza 4331/2014, quindi il solo consenso informato dei dipendenti non è sufficiente, anche quando tutti sono d’accordo. Questo concetto trova conferma nell’orientamento di Cass., pen, sez. III, 08 maggio 2017 n. 22148, che ha ribaltato un precedente orientamento espresso da Cass. pen. Sez. III, 17 aprile 2012, n.22611, per cui il rispetto dell’articolo 4 dello Statuto dei lavoratori viene prima di tutto. Riferimenti sulla non validità del solo accordo con i dipendenti sono presenti anche in Cass., pen, sez. III, 17 Dicembre 2019 n. 50919. Infine, secondo Cass. Pen., Sez. III, 17 gennaio 2020,. N.1733, il consenso del lavoratore all’installazione di telecamere potrebbe anche essere condizionato dal fatto che tale richiesta sia vincolante con il fatto di poter entrare in una determinata azienda. «Dato lo squilibrio di potere tra datori di lavoro e dipendenti – dicono le linee guida n.3/2019 dell’EDPB – nella maggior parte dei casi i datori di lavoro non dovrebbero invocare il consenso nel trattare i dati personali, in quanto è improbabile che quest’ultimo venga fornito liberamente. In tale contesto si dovrebbe tener conto delle linee guida sul consenso».

Installatori e clienti possono trovare un valido aiuto nell’aggiornare la privacy e restare lontani dal rischio sanzionatorio rivolgendosi alla soluzione Datacom Videosorveglianza che fornisce assistrnza nella compilazione dei documenti, cartelli compresi. Per info: www.datacomtecnologiegdpr.it, oppure scrivi ai tecnici commerciali di Datacom Tecnologie alla mail info@datacomtecnologie.it.

Telecamere a scuola: come si deve comportare un dirigente

/0 Commenti/in

Parola d’ordine: chiarezza e informazione. È attorno a questi due concetti che ruota la possibilità per una scuola di poter installare dei sistemi di videosorveglianza. Approfondendo un argomento trattato recentemente, Datacom Tecnologie vuole fornire alcune indicazioni relative alle modalità con cui un istituto d’istruzione può procedere a inserire al proprio interno uno strumento importante per la sicurezza restando comunque in linea con il Regolamento europeo in tema di protezione dei dati personali (ex art. 5 GDPR) e le Linee Guida n. 3/2019 dei Garanti europei sul “trattamento dei dati personali mediante dispositivi video”, oltre alle normative legati ai luoghi di lavoro, come la scuola di fatto è (ex art. 4, L. n. 300/1970), in accordo con i sindacati e con l’Ispettorato, come avevamo scritto nell’articolo precedente.

Il dirigente scolastico, se decide di installare delle telecamere, è chiamato a svolgere una campagna di informazione e dimostrare che tutte le misure idonee sono state adottate in materia di raccolta delle immagini, registrazione, conservazione, l’eventuale trasmissione e gli utilizzi. C’è un tema importante che è appunto quello della gestione di questi materiali altamente sensibili, in un quadro di normative della privacy altamente restrittivo, tra l’altro in contesti dove la maggior parte delle persone presenti sono minorenni.

Ecco quindi che entra in gioco l’ex articolo 13 del GDPR il quale chiede che il titolare dell’impianto di registrazione fornisca a chi accede in un’area videosorvegliata tutte le informazioni relative al trattamento dei dati personali. Ciò si può fare o con un cartello a norma (e su questo di può aiutare Datacom Videosorveglianza) in cui si dà notizia dell’informativa sulla privacy prima di accedere al perimetro controllato dalle telecamere. Nel cartello, seguendo le considerazioni dell’Autorità Garante nazionale presenti nel Provvedimento dell’8 Aprile 2010, devono essere presenti indicazioni sul titolare del trattamento dei dati, la finalità delle riprese, ma non necessariamente la posizione delle telecamere: l’importante è che sia chiaro il raggio di azioni in modo tale che una persona possa essere libera di non accedere per non essere filmata oppure adeguare il proprio comportamento. Devono invece essere presenti riferimenti sull’articolo 13 del Regolamento: non importa che venga riportato integralmente, può bastare un QR Code o un link al web oppure un’affissione in una bacheca. I cartello deve essere ben visibile, di dimensioni accettabili, collocato in maniera ottimale (“all’altezza degli occhi”): su questo si sono raccomandati sia l’Autorità Garante nazionale quanto i Garanti europei.

Le informative utilizzabili possono essere classificate in due tipi. Quella di primo livello riguarda un cartello semplificato in cui si inseriscono le informazioni di cui abbiamo detto adesso, comprese quindi le identità del Titolare del Trattamento e del Responsabile della Protezione dei Dati. Un cartello di secondo livello, invece, specifica per esteso tutte le informazioni richieste dall’ex art. 13 del GDPR, vale a dire titolare e/o RPD, base giuridica, finalità del trattamento, oggetto del

trattamento, modalità di trattamento, periodo di conservazione dei dati e diritti degli interessati. In questo caso si raccomanda di scrivere il cartello in un linguaggio chiaro, fare in modo che questo sia accessibile con una congrua pubblicazione in bacheca e sul sito della scuola.

Infine, una scuola per gestire a regola d’arte l’installazione di telecamere, dovrebbe deliberare tramite il proprio Consiglio d’Istituto un Regolamento sull’utilizzo della Videosorveglianza, all’interno del quale trovino luogo le formule individuate per il trattamento dei dati personali e delle immagini oggetto delle riprese, in linea con il Regolamento UE n. 2016/679, con i Provvedimenti a carattere generale del Garante per la protezione dei dati personali e il WP29 (Working Party 29 dell’European Data Protection Board).

Informare i dipendenti della presenza di telecamere in azienda: istruzioni per l’uso

/0 Commenti/in

Come ci si deve comportare con i dipendenti di un’azienda in cui, internamente, sono installate telecamere di sicurezza? Secondo le normative vigenti, è sufficiente l’installazione di cartelli informativi di tipo semplificato, che rinviano ad informazioni più dettagliate disponibili presso la sede dell’azienda o sul sito web della stessa, per ottemperare all’obbligo di informazione, anche nei confronti dei dipendenti, previsto dagli articoli 12 e 13 del Regolamento UE 679/2016. Buona pratica, in ogni caso, è quella per cui, quando si stipula un contratto, al dipendente si forniscano dei documenti informativi che avvisino della presenza di un impianto di videosorveglianza all’interno dell’azienda. Altro consiglio è quello di emanare periodicamente circolari interne sull’uso corretto delle risorse tecnologiche aziendali e sulle misure di sicurezza poste a tutela dei dati e del patrimonio, incluso il sistema di videoregistrazione.

Le telecamere interne in un’azienda, lo ricordiamo, sono soggette a alla preventiva autorizzazione delle rappresentanze sindacali aziendali o della Direzione territoriale del lavoro. Il Garante indica in 24 ore il termine massimo di conservazione delle immagini, salvo specifiche e documentate esigenze. L’informativa deve essere fornita in modalità semplificata, chiara e visibile anche nelle ore notturne, per consentire di scegliere liberamente se farsi riprendere dalla telecamera.

Secondo la Corte di Cassazione, solo i controlli del patrimonio aziendale, adeguatamente motivati, permettono di non informare il dipendente della presenza delle telecamere. In questo caso, però i dispositivi devono essere posizionati in modo tale da non consentire la rilevazione dell’attività lavorativa.

Per ogni questione di natura legale, chiedi comunque consigli ai tecnici commerciali di Datacom Tecnologie di Firenze alla mail info@datacomtecnologie.it oppure tramite il form Contatti.

Privacy, informative sempre aggiornate anche nelle aule universitarie. Come evitare multe salate

/0 Commenti/in

Il Garante per la protezione dei dati personali ha specificato come in una sede universitaria sia necessario apporre in maniera chiara e aggiornata le informative per la privacy nel caso in cui si installino telecamere nelle aule per le lezioni. Questo deve essere fatto in accordo con le rappresentanze sindacali, altrimenti potrebbero scattare importanti sanzioni pecuniarie a fronte di un banalissimo reclamo.

La precisazione, che si può leggere cliccando qui o nel player in fondo a questo articolo, arriva in seguito alla sanzione di 10mila euro comminata all’Università Federico II di Napoli poiché erano state installate telecamere senza che venissero presi gli accorgimenti prima descritti. La questione è stata sollevata da un dipendente dell’istituto di fisica nucleare che si è rivolto direttamente all’Authority.

L’ordinanza del Garante riporta come le rappresentanze sindacali non erano state interpellate come previsto dall’articolo 4 della legge 20 maggio 1970, numero 300, e i cartelli non erano conformi all’articolo 13 del Regolamento europeo: mancavano infatti tutti i dati legati al titolare del trattamento.

Per evitare situazioni di questo tipo, Datacom Tecnologie di Firenze offre tutto il proprio aiuto affinché le regole vengano rispettate e l’impianto di videosorveglianza funzioni in un contesto in cui è legittimato. Per questo, ricordiamo il prodotto Datacom Videosorveglianza nato proprio per aiutare a ottemperare al meglio possibile alle necessità imposte dal GDPR. Per ogni necessità, contatta i nostri tecnici commerciali all’indirizzo info@datacomtecnologie.it oppure tramite il form di contatto del nostro sito, cliccando qui.

Conservazione di immagini di videosorveglianza? Se è prolungata va giustificata

/0 Commenti/in

“Salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone”. Lo si legge nella pagina delle domande frequenti del Garante della Privacy, il quale a fine 2020 ha fornito ulteriori precisazioni sul tema e in particolar modo per i contesti lavorativi. “I dati personali – prosegue il Garante – dovrebbero essere nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) cancellati dopo pochi giorni equanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione”.

L’interrogativo si pone in merito alla gestione di un sistema di telecamere all’interno di un’azienda, che può essere utile per la sicurezza ma potrebbe avere altri fini. I chiarimenti sono stati necessari in virtù delle nuove previsioni introdotte dal Regolamento 2016/679, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate.

Le Faq (scaricabili dal nostro sito, cliccando qui) tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB) e contengono un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Tra i chiarimenti del Garante c’è l’affermazione del principio di “minimizzazione dei dati” riguardo alla scelta delle modalità di ripresa e alla dislocazione dell’impianto: la quantità di informazioni deve essere pertinente e non eccedente rispetto alle finalità perseguite. Sarà il titolare del trattamento a valutare la liceità e la proporzionalità del trattamento e se ci sia bisogno anche di attivare un esperto per la valutazione.

Ricordiamo che con il prodotto Datacom Videosorveglianza gli installatori e i distributori di impianti di videosorveglianza possono semplificare molto tutte le procedure relative al comparto della privacy. Per tutte le informazioni in merito puoi chiedere direttamente a Datacom Tecnologie di Firenze, alla mail info@datacomtecnologie.it o tramite il form contatti.

TVCC in azienda, niente “silenzio assenso”. Fatti aiutare da Datacom Videosorveglianza!

/0 Commenti/in

Non ci può essere il silenzio assenso per installare impianti di videosorveglianza capaci di controllare a distanza i lavoratori di un’azienda. Lo dice la nota dell’8 aprile 2019 con cui il Garante della privacy ha dato risposta a un quesito formulato dal Ministero del lavoro a sua volta interpellato dal Consiglio nazionale dei consulenti del lavoro. In sostanza il dubbio era: se l’Ispettorato nazionale del lavoro non risponde a una richiesta di autorizzazione amministrativa legata alla tvcc all’interno di un’azienda, si può agire come se fosse un tacito consenso?

La risposta dunque è negativa per il Garante: l’articolo 4 dello Statuto dei lavoratori prevede illecita e sanzionabile a livello penale l’installazione di impianti audiovisivi capaci di controllare i lavoratori a distanza qualora non siano state attivate le procedure di garanzia. L’autorizzazione ha un iter di 60 giorni: una volta concluso, non si può parlare di silenzio assenso.

Ai sensi dell’articolo 4 della legge 300/1970, gli impianti e le apparecchiature, “dai quali può derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l´uso di tali impianti”. Insomma, senza accordo sindacale solo l’Ispettorato può valutare se le telecamere si possono mettere o meno e deve esprimersi in maniera netta.

Per avere un aiuto concreto su come installare il proprio impianto di videosorveglianza senza problemi dal punto di vista delle normative e della privacy, la soluzione più efficace è quella di affidarsi a Datacom Videosorveglianza, il servizio online che Datacom Tecnologie offre per ottemperare alle regole del GDPR. Scopri di più cliccando qui, andando sul sito dedicato oppure contattandoci alla mail info@datacomtecnologie.it o tramite il nostro form.

Sono entrati in vigore i nuovi cartelli per la TVCC. Ecco come fare

/0 Commenti/in

Sono entrati in vigore dal 29 gennaio 2020 i nuovi cartelli legati alla gestione della privacy nei luoghi in cui si trovano telecamere di videosorveglianza. Lo stabilisce il Garante italiano della Privacy in ottemperanza alle norme europee del Gdpr.

Relativamente a quanto stabilito dal regolamento continentale stesso, di seguito pubblichiamo, tradotta in italiano, la parte relativa ai nuovi cartelli delle “Linee guida 3/2019 sul trattamento dei dati personali tramite dispositivi video”, versione 2.0 adottata il 29 gennaio 2020. Tutto il documento, in inglese, è disponibile su questo sito cliccando qui.

Per avere un valido aiuto in questi contesti, puoi contare anche sulla soluzione Datacom Videosorveglianza, che trovi a questo link: https://www.datacomtecnologiegdpr.it/.

Cosa dice il GDPR sui nuovi cartelli

È da tempo insito nella legislazione europea sulla protezione dei dati che gli interessati dovrebbero essere consapevoli di quando la videosorveglianza è in funzione. Dovrebbero essere informati in modo dettagliato in merito ai luoghi monitorati. Ai sensi del GDPR, gli obblighi generali di trasparenza e informazione sono stabiliti nell’articolo 12 GDPR e seguenti. Gli “Orientamenti sulla trasparenza ai sensi del regolamento 2016/679 (WP260) del Gruppo di lavoro” Articolo 29, approvati dall’EDPB il 25 maggio 2018, forniscono ulteriori dettagli. In linea con il par. WP260. 26, è l’articolo 13 del GDPR, che è applicabile se i dati personali vengono raccolti “[…] da una persona interessata mediante osservazione (ad esempio utilizzando dispositivi di acquisizione dati automatizzati o software di acquisizione dati come telecamere […].”.

Alla luce della quantità di informazioni da fornire necessariamente all’interessato, i responsabili del trattamento possono seguire un approccio a più livelli in cui scelgono di utilizzare una combinazione di metodi per garantire la trasparenza (WP260, par. 35; WP89, par 22). Per quanto riguarda la videosorveglianza, le informazioni più importanti dovrebbero essere visualizzate sul segnale di avvertimento stesso (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello).

Informazioni sul primo livello (segnale di avvertimento)

Il primo livello riguarda il modo principale in cui il responsabile del trattamento si impegna per la prima volta con il soggetto interessato. In questa fase, i controller possono utilizzare un segnale di avvertimento che mostra le informazioni pertinenti. Le informazioni visualizzate possono essere fornite in combinazione con un’icona al fine di fornire, in modo facilmente visibile, comprensibile e chiaramente leggibile, una panoramica significativa dell’elaborazione prevista (articolo 12, paragrafo 7, GDPR). Il formato delle informazioni dovrebbe essere adattato alla posizione individuale (WP89 par. 22).

Posizionamento del segnale di avvertimento

Le informazioni dovrebbero essere posizionate in modo tale che l’interessato possa facilmente riconoscere le circostanze della sorveglianza prima di entrare nell’area monitorata (approssimativamente a livello degli occhi). Non è necessario rivelare la posizione della telecamera fintanto che non vi sono dubbi su quali aree siano soggette a monitoraggio e il contesto di sorveglianza sia chiarito in modo inequivocabile (WP 89, paragrafo 22). L’interessato deve essere in grado di stimare quale area è acquisita da una telecamera in modo da poter evitare la sorveglianza o adattare il suo comportamento, se necessario.

Contenuto del primo livello

Le informazioni del primo livello (segnale di avvertimento) dovrebbero in genere trasmettere le informazioni più importanti, ad esempio i dettagli delle finalità del trattamento, l’identità del responsabile del trattamento e l’esistenza dei diritti dell’interessato, insieme alle informazioni sui maggiori impatti del trattamento. Ciò può includere ad esempio gli interessi legittimi perseguiti dal responsabile del trattamento (o da una terza parte) e i dettagli di contatto del responsabile della protezione dei dati (se applicabile). Deve anche fare riferimento al secondo strato più dettagliato di informazioni e dove e come trovarle.

Inoltre, il segno dovrebbe contenere anche tutte le informazioni che potrebbero sorprendere l’interessato (WP260, paragrafo 38). Ciò potrebbe ad esempio essere la trasmissione a terzi, in particolare se si trovano al di fuori dell’UE, e il periodo di conservazione. Se queste informazioni non sono indicate, l’interessato dovrebbe essere in grado di fidarsi che esiste solo un monitoraggio in tempo reale (senza alcuna registrazione o trasmissione di dati a terzi).

Informazioni sul secondo livello

Le informazioni del secondo livello devono anche essere rese disponibili in un luogo facilmente accessibile all’interessato, ad esempio come un foglio informativo completo disponibile in una posizione centrale (ad esempio banco informazioni, reception o cassiere) o visualizzato su un poster facilmente accessibile. Come accennato in precedenza, il segnale di avvertimento del primo livello deve fare riferimento chiaramente alle informazioni del secondo livello. Inoltre, è meglio se le informazioni del primo livello si riferiscono a una fonte digitale (ad esempio QR-code o indirizzo di un sito Web) del secondo livello. Tuttavia, le informazioni dovrebbero anche essere facilmente disponibili in modo non digitale. Dovrebbe essere possibile accedere alle informazioni del secondo livello senza entrare nell’area rilevata, specialmente se le informazioni sono fornite in modo digitale (ciò può essere ottenuto ad esempio tramite un collegamento). Altri mezzi appropriati potrebbero essere un numero di telefono che può essere chiamato. Tuttavia, le informazioni fornite devono contenere tutto ciò che è obbligatorio ai sensi dell’articolo 13 del GDPR.

Oltre a queste opzioni e anche per renderle più efficaci, l’EDPB promuove l’uso di mezzi tecnologici per fornire informazioni agli interessati. Ciò può includere ad esempio la geolocalizzazione delle telecamere e l’inclusione di informazioni in app o siti Web di mappatura, in modo che le persone possano facilmente identificare e specificare le fonti video relative all’esercizio dei propri diritti e, dall’altro, ottenere informazioni più dettagliate sull’operazione di elaborazione.

Esempio: un proprietario di un negozio sta monitorando il suo negozio. Per conformarsi all’articolo 13 è sufficiente posizionare un segnale di avvertimento in un punto facilmente visibile all’ingresso del suo negozio, che contiene le informazioni di primo livello. Inoltre, deve fornire un foglio informativo contenente le informazioni del secondo livello presso la cassa o qualsiasi altra posizione centrale e facilmente accessibile nel suo negozio.

Datacom Videosorveglianza, scopri come funziona con il nostro webinar

/0 Commenti/in

Un webinar per scoprire i vantaggi e le funzionalità di Datacom Videosorveglianza, la novità di Datacom Tecnologie di Firenze per aiutare gli installatori di sicurezza a ottemperare a tutti gli obblighi in materia di privacy, in base anche al nuovo regolamento europeo GDPR. Uno strumento che semplifica la vita di chi sceglie di utilizzare la TVCC per proteggere la propria azienda o abitazione, stando sicuri non solo dal punto dei vista dei malintenzionati ma anche dei possibili controlli – e annesse sanzioni – da parte delle autorità competenti. Per capire meglio il funzionamento, guarda il video qui sotto.

Per qualsiasi domanda, scrivi a info@datacomtecnologie.it oppure collegati al sito internet dedicato al prodotto che è http://www.datacomtecnologiegdpr.it/.

Telecamere in azienda solo con accordi sindacali: lo dice la Cassazione

/0 Commenti/in

Sanzioni pesanti per il datore di lavoro che, pur ottenendo il consenso dei dipendenti, installa delle telecamere di videosorveglianza in azienda senza che ci sia un accordo sindacale. Lo dice la Corte di Cassazione tramite la sentenza 50919 del 17 dicembre 2019 che respinge il ricorso di un imprenditore il quale aveva fatto uso degli impianti di controllo a distanza con il bene placet dei dipendenti. L’articolo 4 dello Statuto dei Lavoratori, secondo la Suprema Corte, è quello che però che fa testo in questa situazione per cui, in assenza di specifica autorizzazione da parte dell’Ispettorato del lavoro o di un accordo sindacale, gli impianti sono fuori regola anche se i dipendenti hanno detto di sì.

«Il consenso o l’acquiescenza che il lavoratore potrebbe, in ipotesi, prestare o avere prestato, – scrive la Corte di Cassazione – non svolge alcuna funzione esimente, atteso che, in tal caso, l’interesse collettivo tutelato, quale bene di cui il lavoratore non può validamente disporre, resta fuori dalla teoria del consenso dell’avente diritto. Non è, nel caso descritto, la condotta del lavoratore riconducibile al paradigma generale dell’esercizio di un diritto, trattandosi della disposizione di una posizione soggettiva, a lui non spettante in termini di esclusività». Quindi, fate attenzione quando dovete mettere degli impianti a non incappare in questo tipo di errori.

Immagini a terzi e sul web: cosa dice il GDPR a riguardo?

/0 Commenti/in

Cosa dicono le nuove regole relativamente alla consegna a terzi di immagini di videosorveglianza, la diffusione di queste sul web e l’utilizzo delle tecnologie biometriche? Sono tutti aspetti sui cui andiamo a indagare in questo articolo di approfondimento legato al provvedimento numero 3 dell’European Data Protection Board (luglio 2019), basato sui nuovi principi del GDPR.

I primi due aspetti sono normati dall’articolo 4 comma 2: fondamentale è capire chi è il terzo a cui si cede il filmato. Se per esempio fare vedere le immagini a un avvocato può essere lecito, specialmente se devono essere messe in atto azioni di risarcimento, al contrario la diffusione sui social di filmati in cui si vede un ladro in azione non rientra nelle regole. Le basi normative sono l’articolo 6 del regolamento europeo (liceità della condotta), 45 e 46 (accordi internazionali legati alla trasmissione di dati extra UE o a organizzazioni esterne). Sempre giustificata invece la cessione alle forze dell’ordine o alla magistratura in quanto la collaborazione è un obbligo di legge che giustifica dunque l’atto. Questo anche quando si è in possesso di una telecamera che, nella sua azione, inquadra una scena utile ad altre indagini, anche non pertinenti al proprio ambito. Se la polizia giudiziaria chiede delle immagini, il titolare del trattamento non può opporsi alla consegna pena il sequestro. Disco verde anche alla spontanea consegna di immagini alle forze dell’ordine se queste inquadrano un crimine o un danno a un soggetto terzo, per esempio un passante.

Le immagini possono cogliere molti aspetti e per questo vale il principio di minimizzazione del trattamento. Significa che le telecamere non dovrebbero puntare su luoghi sensibili come chiese, sedi di partito o altro capace di dare informazioni di natura sanitaria, sessuale, politica o religiosa. Diverso è il caso, per esempio, della ripresa di un portatore di handicap di passaggio per la strada, la cui situazione è evidente. L’importante è ridurre al minimo questo tipo di elementi ambientali i quali non possono essere rimossi del tutto. Comunque, ciò che conta è anche la finalità di trattamento indicata sui cartelli dell’area videosorvegliata. Necessario anche trovare il punto di mezzo tra chi è inquadrato e il titolare del trattamento: in un’azienda la ripresa può essere utilizzata per scoprire eventuali furti ma non per vedere chi sono le persone che hanno aderito a un’assemblea sindacale, per esempio.

La biometria e il GDPR

Il principio base è il seguente: videosorveglianza e biometria insieme per i riconoscimento dei volti vanno utilizzati solo quando non ci sono alternative. Per l’accesso dei dipendenti al lavoro, per esempio, un marcatempo può essere sufficiente, diverso il procedimento legato al controllo dei varchi degli aeroporti. L’identificazione biometrica, secondo gli articoli 4.14 e 9 del GDPR, è composta da tre criteri: l’individuazione di una o più caratteristiche fisiche, psicologiche o comportamentali dell’interessato; un procedimento tecnico di rilevazione e trattamento di tali caratteristiche; l’elaborazione di un dato capace di far identificare una persona in maniera univoca.

Tornando all’esempio dell’aeroporto, il passeggero deve essere messo in condizione di non dover forzatamente utilizzare il varco biometrico ma avere alternative. Infine, il dato estratto dal sistema biometrico deve essere tale da avere i soli elementi essenziali alla finalità del trattamento. Il titolare del trattamento deve anche fare in modo che le informazioni raccolte e crittografate non possano finire in mani sbagliate.

Dal Comitato Europeo per la Protezione dei Dati arrivano alcune misure di sicurezza consigliate come vietare gli accessi esterni ai dati, associare un codice di integrità ai dati e attuare misure per il rilevamento delle frodi, dividere i database dei modelli biometrici e dei dati grezzi, compartimentare i dati durante la trasmissione e l’archiviazione e infine crittografarli seguendo una politica chiara, anche per la gestione delle chiavi. La divisione degli utenti in segmenti profilati non viene considerata come un’attività di identificazione biometrica.