Articoli

Informare i dipendenti della presenza di telecamere in azienda: istruzioni per l’uso

Come ci si deve comportare con i dipendenti di un’azienda in cui, internamente, sono installate telecamere di sicurezza? Secondo le normative vigenti, è sufficiente l’installazione di cartelli informativi di tipo semplificato, che rinviano ad informazioni più dettagliate disponibili presso la sede dell’azienda o sul sito web della stessa, per ottemperare all’obbligo di informazione, anche nei confronti dei dipendenti, previsto dagli articoli 12 e 13 del Regolamento UE 679/2016. Buona pratica, in ogni caso, è quella per cui, quando si stipula un contratto, al dipendente si forniscano dei documenti informativi che avvisino della presenza di un impianto di videosorveglianza all’interno dell’azienda. Altro consiglio è quello di emanare periodicamente circolari interne sull’uso corretto delle risorse tecnologiche aziendali e sulle misure di sicurezza poste a tutela dei dati e del patrimonio, incluso il sistema di videoregistrazione.

Le telecamere interne in un’azienda, lo ricordiamo, sono soggette a alla preventiva autorizzazione delle rappresentanze sindacali aziendali o della Direzione territoriale del lavoro. Il Garante indica in 24 ore il termine massimo di conservazione delle immagini, salvo specifiche e documentate esigenze. L’informativa deve essere fornita in modalità semplificata, chiara e visibile anche nelle ore notturne, per consentire di scegliere liberamente se farsi riprendere dalla telecamera.

Secondo la Corte di Cassazione, solo i controlli del patrimonio aziendale, adeguatamente motivati, permettono di non informare il dipendente della presenza delle telecamere. In questo caso, però i dispositivi devono essere posizionati in modo tale da non consentire la rilevazione dell’attività lavorativa.

Per ogni questione di natura legale, chiedi comunque consigli ai tecnici commerciali di Datacom Tecnologie di Firenze alla mail info@datacomtecnologie.it oppure tramite il form Contatti.

Privacy, informative sempre aggiornate anche nelle aule universitarie. Come evitare multe salate

Il Garante per la protezione dei dati personali ha specificato come in una sede universitaria sia necessario apporre in maniera chiara e aggiornata le informative per la privacy nel caso in cui si installino telecamere nelle aule per le lezioni. Questo deve essere fatto in accordo con le rappresentanze sindacali, altrimenti potrebbero scattare importanti sanzioni pecuniarie a fronte di un banalissimo reclamo.

La precisazione, che si può leggere cliccando qui o nel player in fondo a questo articolo, arriva in seguito alla sanzione di 10mila euro comminata all’Università Federico II di Napoli poiché erano state installate telecamere senza che venissero presi gli accorgimenti prima descritti. La questione è stata sollevata da un dipendente dell’istituto di fisica nucleare che si è rivolto direttamente all’Authority.

L’ordinanza del Garante riporta come le rappresentanze sindacali non erano state interpellate come previsto dall’articolo 4 della legge 20 maggio 1970, numero 300, e i cartelli non erano conformi all’articolo 13 del Regolamento europeo: mancavano infatti tutti i dati legati al titolare del trattamento.

Per evitare situazioni di questo tipo, Datacom Tecnologie di Firenze offre tutto il proprio aiuto affinché le regole vengano rispettate e l’impianto di videosorveglianza funzioni in un contesto in cui è legittimato. Per questo, ricordiamo il prodotto Datacom Videosorveglianza nato proprio per aiutare a ottemperare al meglio possibile alle necessità imposte dal GDPR. Per ogni necessità, contatta i nostri tecnici commerciali all’indirizzo info@datacomtecnologie.it oppure tramite il form di contatto del nostro sito, cliccando qui.

Conservazione di immagini di videosorveglianza? Se è prolungata va giustificata

“Salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone”. Lo si legge nella pagina delle domande frequenti del Garante della Privacy, il quale a fine 2020 ha fornito ulteriori precisazioni sul tema e in particolar modo per i contesti lavorativi. “I dati personali – prosegue il Garante – dovrebbero essere nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) cancellati dopo pochi giorni equanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione”.

L’interrogativo si pone in merito alla gestione di un sistema di telecamere all’interno di un’azienda, che può essere utile per la sicurezza ma potrebbe avere altri fini. I chiarimenti sono stati necessari in virtù delle nuove previsioni introdotte dal Regolamento 2016/679, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate.

Le Faq (scaricabili dal nostro sito, cliccando qui) tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB) e contengono un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Tra i chiarimenti del Garante c’è l’affermazione del principio di “minimizzazione dei dati” riguardo alla scelta delle modalità di ripresa e alla dislocazione dell’impianto: la quantità di informazioni deve essere pertinente e non eccedente rispetto alle finalità perseguite. Sarà il titolare del trattamento a valutare la liceità e la proporzionalità del trattamento e se ci sia bisogno anche di attivare un esperto per la valutazione.

Ricordiamo che con il prodotto Datacom Videosorveglianza gli installatori e i distributori di impianti di videosorveglianza possono semplificare molto tutte le procedure relative al comparto della privacy. Per tutte le informazioni in merito puoi chiedere direttamente a Datacom Tecnologie di Firenze, alla mail info@datacomtecnologie.it o tramite il form contatti.

TVCC in azienda, niente “silenzio assenso”. Fatti aiutare da Datacom Videosorveglianza!

Non ci può essere il silenzio assenso per installare impianti di videosorveglianza capaci di controllare a distanza i lavoratori di un’azienda. Lo dice la nota dell’8 aprile 2019 con cui il Garante della privacy ha dato risposta a un quesito formulato dal Ministero del lavoro a sua volta interpellato dal Consiglio nazionale dei consulenti del lavoro. In sostanza il dubbio era: se l’Ispettorato nazionale del lavoro non risponde a una richiesta di autorizzazione amministrativa legata alla tvcc all’interno di un’azienda, si può agire come se fosse un tacito consenso?

La risposta dunque è negativa per il Garante: l’articolo 4 dello Statuto dei lavoratori prevede illecita e sanzionabile a livello penale l’installazione di impianti audiovisivi capaci di controllare i lavoratori a distanza qualora non siano state attivate le procedure di garanzia. L’autorizzazione ha un iter di 60 giorni: una volta concluso, non si può parlare di silenzio assenso.

Ai sensi dell’articolo 4 della legge 300/1970, gli impianti e le apparecchiature, “dai quali può derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l´uso di tali impianti”. Insomma, senza accordo sindacale solo l’Ispettorato può valutare se le telecamere si possono mettere o meno e deve esprimersi in maniera netta.

Per avere un aiuto concreto su come installare il proprio impianto di videosorveglianza senza problemi dal punto di vista delle normative e della privacy, la soluzione più efficace è quella di affidarsi a Datacom Videosorveglianza, il servizio online che Datacom Tecnologie offre per ottemperare alle regole del GDPR. Scopri di più cliccando qui, andando sul sito dedicato oppure contattandoci alla mail info@datacomtecnologie.it o tramite il nostro form.

Sono entrati in vigore i nuovi cartelli per la TVCC. Ecco come fare

Sono entrati in vigore dal 29 gennaio 2020 i nuovi cartelli legati alla gestione della privacy nei luoghi in cui si trovano telecamere di videosorveglianza. Lo stabilisce il Garante italiano della Privacy in ottemperanza alle norme europee del Gdpr.

Relativamente a quanto stabilito dal regolamento continentale stesso, di seguito pubblichiamo, tradotta in italiano, la parte relativa ai nuovi cartelli delle “Linee guida 3/2019 sul trattamento dei dati personali tramite dispositivi video”, versione 2.0 adottata il 29 gennaio 2020. Tutto il documento, in inglese, è disponibile su questo sito cliccando qui.

Per avere un valido aiuto in questi contesti, puoi contare anche sulla soluzione Datacom Videosorveglianza, che trovi a questo link: https://www.datacomtecnologiegdpr.it/.

Cosa dice il GDPR sui nuovi cartelli

È da tempo insito nella legislazione europea sulla protezione dei dati che gli interessati dovrebbero essere consapevoli di quando la videosorveglianza è in funzione. Dovrebbero essere informati in modo dettagliato in merito ai luoghi monitorati. Ai sensi del GDPR, gli obblighi generali di trasparenza e informazione sono stabiliti nell’articolo 12 GDPR e seguenti. Gli “Orientamenti sulla trasparenza ai sensi del regolamento 2016/679 (WP260) del Gruppo di lavoro” Articolo 29, approvati dall’EDPB il 25 maggio 2018, forniscono ulteriori dettagli. In linea con il par. WP260. 26, è l’articolo 13 del GDPR, che è applicabile se i dati personali vengono raccolti “[…] da una persona interessata mediante osservazione (ad esempio utilizzando dispositivi di acquisizione dati automatizzati o software di acquisizione dati come telecamere […].”.

Alla luce della quantità di informazioni da fornire necessariamente all’interessato, i responsabili del trattamento possono seguire un approccio a più livelli in cui scelgono di utilizzare una combinazione di metodi per garantire la trasparenza (WP260, par. 35; WP89, par 22). Per quanto riguarda la videosorveglianza, le informazioni più importanti dovrebbero essere visualizzate sul segnale di avvertimento stesso (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello).

Informazioni sul primo livello (segnale di avvertimento)

Il primo livello riguarda il modo principale in cui il responsabile del trattamento si impegna per la prima volta con il soggetto interessato. In questa fase, i controller possono utilizzare un segnale di avvertimento che mostra le informazioni pertinenti. Le informazioni visualizzate possono essere fornite in combinazione con un’icona al fine di fornire, in modo facilmente visibile, comprensibile e chiaramente leggibile, una panoramica significativa dell’elaborazione prevista (articolo 12, paragrafo 7, GDPR). Il formato delle informazioni dovrebbe essere adattato alla posizione individuale (WP89 par. 22).

Posizionamento del segnale di avvertimento

Le informazioni dovrebbero essere posizionate in modo tale che l’interessato possa facilmente riconoscere le circostanze della sorveglianza prima di entrare nell’area monitorata (approssimativamente a livello degli occhi). Non è necessario rivelare la posizione della telecamera fintanto che non vi sono dubbi su quali aree siano soggette a monitoraggio e il contesto di sorveglianza sia chiarito in modo inequivocabile (WP 89, paragrafo 22). L’interessato deve essere in grado di stimare quale area è acquisita da una telecamera in modo da poter evitare la sorveglianza o adattare il suo comportamento, se necessario.

Contenuto del primo livello

Le informazioni del primo livello (segnale di avvertimento) dovrebbero in genere trasmettere le informazioni più importanti, ad esempio i dettagli delle finalità del trattamento, l’identità del responsabile del trattamento e l’esistenza dei diritti dell’interessato, insieme alle informazioni sui maggiori impatti del trattamento. Ciò può includere ad esempio gli interessi legittimi perseguiti dal responsabile del trattamento (o da una terza parte) e i dettagli di contatto del responsabile della protezione dei dati (se applicabile). Deve anche fare riferimento al secondo strato più dettagliato di informazioni e dove e come trovarle.

Inoltre, il segno dovrebbe contenere anche tutte le informazioni che potrebbero sorprendere l’interessato (WP260, paragrafo 38). Ciò potrebbe ad esempio essere la trasmissione a terzi, in particolare se si trovano al di fuori dell’UE, e il periodo di conservazione. Se queste informazioni non sono indicate, l’interessato dovrebbe essere in grado di fidarsi che esiste solo un monitoraggio in tempo reale (senza alcuna registrazione o trasmissione di dati a terzi).

Informazioni sul secondo livello

Le informazioni del secondo livello devono anche essere rese disponibili in un luogo facilmente accessibile all’interessato, ad esempio come un foglio informativo completo disponibile in una posizione centrale (ad esempio banco informazioni, reception o cassiere) o visualizzato su un poster facilmente accessibile. Come accennato in precedenza, il segnale di avvertimento del primo livello deve fare riferimento chiaramente alle informazioni del secondo livello. Inoltre, è meglio se le informazioni del primo livello si riferiscono a una fonte digitale (ad esempio QR-code o indirizzo di un sito Web) del secondo livello. Tuttavia, le informazioni dovrebbero anche essere facilmente disponibili in modo non digitale. Dovrebbe essere possibile accedere alle informazioni del secondo livello senza entrare nell’area rilevata, specialmente se le informazioni sono fornite in modo digitale (ciò può essere ottenuto ad esempio tramite un collegamento). Altri mezzi appropriati potrebbero essere un numero di telefono che può essere chiamato. Tuttavia, le informazioni fornite devono contenere tutto ciò che è obbligatorio ai sensi dell’articolo 13 del GDPR.

Oltre a queste opzioni e anche per renderle più efficaci, l’EDPB promuove l’uso di mezzi tecnologici per fornire informazioni agli interessati. Ciò può includere ad esempio la geolocalizzazione delle telecamere e l’inclusione di informazioni in app o siti Web di mappatura, in modo che le persone possano facilmente identificare e specificare le fonti video relative all’esercizio dei propri diritti e, dall’altro, ottenere informazioni più dettagliate sull’operazione di elaborazione.

Esempio: un proprietario di un negozio sta monitorando il suo negozio. Per conformarsi all’articolo 13 è sufficiente posizionare un segnale di avvertimento in un punto facilmente visibile all’ingresso del suo negozio, che contiene le informazioni di primo livello. Inoltre, deve fornire un foglio informativo contenente le informazioni del secondo livello presso la cassa o qualsiasi altra posizione centrale e facilmente accessibile nel suo negozio.

Datacom Videosorveglianza, scopri come funziona con il nostro webinar

Un webinar per scoprire i vantaggi e le funzionalità di Datacom Videosorveglianza, la novità di Datacom Tecnologie di Firenze per aiutare gli installatori di sicurezza a ottemperare a tutti gli obblighi in materia di privacy, in base anche al nuovo regolamento europeo GDPR. Uno strumento che semplifica la vita di chi sceglie di utilizzare la TVCC per proteggere la propria azienda o abitazione, stando sicuri non solo dal punto dei vista dei malintenzionati ma anche dei possibili controlli – e annesse sanzioni – da parte delle autorità competenti. Per capire meglio il funzionamento, guarda il video qui sotto.

Per qualsiasi domanda, scrivi a info@datacomtecnologie.it oppure collegati al sito internet dedicato al prodotto che è http://www.datacomtecnologiegdpr.it/.

Telecamere in azienda solo con accordi sindacali: lo dice la Cassazione

Sanzioni pesanti per il datore di lavoro che, pur ottenendo il consenso dei dipendenti, installa delle telecamere di videosorveglianza in azienda senza che ci sia un accordo sindacale. Lo dice la Corte di Cassazione tramite la sentenza 50919 del 17 dicembre 2019 che respinge il ricorso di un imprenditore il quale aveva fatto uso degli impianti di controllo a distanza con il bene placet dei dipendenti. L’articolo 4 dello Statuto dei Lavoratori, secondo la Suprema Corte, è quello che però che fa testo in questa situazione per cui, in assenza di specifica autorizzazione da parte dell’Ispettorato del lavoro o di un accordo sindacale, gli impianti sono fuori regola anche se i dipendenti hanno detto di sì.

«Il consenso o l’acquiescenza che il lavoratore potrebbe, in ipotesi, prestare o avere prestato, – scrive la Corte di Cassazione – non svolge alcuna funzione esimente, atteso che, in tal caso, l’interesse collettivo tutelato, quale bene di cui il lavoratore non può validamente disporre, resta fuori dalla teoria del consenso dell’avente diritto. Non è, nel caso descritto, la condotta del lavoratore riconducibile al paradigma generale dell’esercizio di un diritto, trattandosi della disposizione di una posizione soggettiva, a lui non spettante in termini di esclusività». Quindi, fate attenzione quando dovete mettere degli impianti a non incappare in questo tipo di errori.

Immagini a terzi e sul web: cosa dice il GDPR a riguardo?

Cosa dicono le nuove regole relativamente alla consegna a terzi di immagini di videosorveglianza, la diffusione di queste sul web e l’utilizzo delle tecnologie biometriche? Sono tutti aspetti sui cui andiamo a indagare in questo articolo di approfondimento legato al provvedimento numero 3 dell’European Data Protection Board (luglio 2019), basato sui nuovi principi del GDPR.

I primi due aspetti sono normati dall’articolo 4 comma 2: fondamentale è capire chi è il terzo a cui si cede il filmato. Se per esempio fare vedere le immagini a un avvocato può essere lecito, specialmente se devono essere messe in atto azioni di risarcimento, al contrario la diffusione sui social di filmati in cui si vede un ladro in azione non rientra nelle regole. Le basi normative sono l’articolo 6 del regolamento europeo (liceità della condotta), 45 e 46 (accordi internazionali legati alla trasmissione di dati extra UE o a organizzazioni esterne). Sempre giustificata invece la cessione alle forze dell’ordine o alla magistratura in quanto la collaborazione è un obbligo di legge che giustifica dunque l’atto. Questo anche quando si è in possesso di una telecamera che, nella sua azione, inquadra una scena utile ad altre indagini, anche non pertinenti al proprio ambito. Se la polizia giudiziaria chiede delle immagini, il titolare del trattamento non può opporsi alla consegna pena il sequestro. Disco verde anche alla spontanea consegna di immagini alle forze dell’ordine se queste inquadrano un crimine o un danno a un soggetto terzo, per esempio un passante.

Le immagini possono cogliere molti aspetti e per questo vale il principio di minimizzazione del trattamento. Significa che le telecamere non dovrebbero puntare su luoghi sensibili come chiese, sedi di partito o altro capace di dare informazioni di natura sanitaria, sessuale, politica o religiosa. Diverso è il caso, per esempio, della ripresa di un portatore di handicap di passaggio per la strada, la cui situazione è evidente. L’importante è ridurre al minimo questo tipo di elementi ambientali i quali non possono essere rimossi del tutto. Comunque, ciò che conta è anche la finalità di trattamento indicata sui cartelli dell’area videosorvegliata. Necessario anche trovare il punto di mezzo tra chi è inquadrato e il titolare del trattamento: in un’azienda la ripresa può essere utilizzata per scoprire eventuali furti ma non per vedere chi sono le persone che hanno aderito a un’assemblea sindacale, per esempio.

La biometria e il GDPR

Il principio base è il seguente: videosorveglianza e biometria insieme per i riconoscimento dei volti vanno utilizzati solo quando non ci sono alternative. Per l’accesso dei dipendenti al lavoro, per esempio, un marcatempo può essere sufficiente, diverso il procedimento legato al controllo dei varchi degli aeroporti. L’identificazione biometrica, secondo gli articoli 4.14 e 9 del GDPR, è composta da tre criteri: l’individuazione di una o più caratteristiche fisiche, psicologiche o comportamentali dell’interessato; un procedimento tecnico di rilevazione e trattamento di tali caratteristiche; l’elaborazione di un dato capace di far identificare una persona in maniera univoca.

Tornando all’esempio dell’aeroporto, il passeggero deve essere messo in condizione di non dover forzatamente utilizzare il varco biometrico ma avere alternative. Infine, il dato estratto dal sistema biometrico deve essere tale da avere i soli elementi essenziali alla finalità del trattamento. Il titolare del trattamento deve anche fare in modo che le informazioni raccolte e crittografate non possano finire in mani sbagliate.

Dal Comitato Europeo per la Protezione dei Dati arrivano alcune misure di sicurezza consigliate come vietare gli accessi esterni ai dati, associare un codice di integrità ai dati e attuare misure per il rilevamento delle frodi, dividere i database dei modelli biometrici e dei dati grezzi, compartimentare i dati durante la trasmissione e l’archiviazione e infine crittografarli seguendo una politica chiara, anche per la gestione delle chiavi. La divisione degli utenti in segmenti profilati non viene considerata come un’attività di identificazione biometrica.

TVCC e Privacy: le nuove linee guida da seguire dell’European Data Protection Board

Torniamo a parlare del Regolamento Europeo 679/2016 e lo facciamo tramite il provvedimento n. 3 di luglio 2019, emendato dall’European Data Protection Board (composto dai rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo), il quale chiarisce una serie di perplessità legate all’applicazione delle nuove norme sulla privacy nel campo della sicurezza. Da esso possiamo trarre una serie di linee guida da seguire che non hanno comunque valenza normativa.

Per quanto riguarda la biometria (rilevamento dei volti e intelligenza artificiale legata anche ai comportamenti) per l’EDPB servono garanzie di un corretto funzionamento, onde incappare in malfunzionamenti capaci, all’estremo, di creare discriminazioni. Ecco che quindi si punta l’attenzione sugli algoritmi di riconoscimento, spesso vincolati anche all’età e all’etnia del soggetto inquadrato dalle telecamere.

La videosorveglianza, secondo il gruppo di lavoro europeo, andrebbe utilizzata “cum grano salis”, vale a dire in quei contesti in cui non ci sono altre situazioni perseguibili e non per una scelta di comodità economica o tecnologica (vedi l’alta risoluzione delle immagini che possiamo ottenere oggi). Gli articoli 35 e 37 del GDPR, non a casa, prevedono che venga stilata una valutazione d’impatto sui diritti e sulle libertà degli interessati nell’ipotesi di monitoraggio sistematico di aree pubbliche, oltre che la nomina di un responsabile per la protezione dei dati che aumenti la tutela degli interessati.

E per le telecamere “finte”, ovvero quelle installate come mero deterrente? In quel caso il regolamento, secondo l’EDPB, non è applicabile, come del resto tutti i dispositivi che nascono con scopi diversi dal videocontrollo o dalla videoregistrazione. Il GDPR non è invece di riferimento per i sistemi di TVCC legati alla pubblica sicurezza, i quali invece devono seguire la Direttiva Europea 680/2016.

Altro tema è quello della “esclusione familiare”: se le immagini sono prodotte per un uso domestico senza alcuna diffusione esterna, allora siamo fuori dall’ambito del GDPR: diversamente sarebbe se quelle immagini, come quelle di una videosorveglianza, finissero sul web.

La legittimità di una ripresa è data, ai fini di videosorveglianza, qualora ci sia un legittimo interesse di tutelare un bene o delle persone, come i dipendenti di un’azienda, di un interesse pubblico, o comunque contesti in cui i presenti, se danno il loro consenso, sanno che certe immagini potranno essere pubblicate sul web o diffuse.

“Ai sensi dell’articolo 21, il responsabile del trattamento può procedere alla videosorveglianza dell’interessato solo se si tratta di un interesse legittimo, convincente e che prevalga sugli interessi, i diritti e le libertà dell’interessato…”: quando si parla di legittimo interesse significa che la necessità riscontrata sia effettiva. Per esempio, un’attività commerciale può necessitare di TVCC in maniera effettiva a seconda della tipologia (esempio una oreficeria) o del contesto in cui si trova.

Molte altre spiegazioni possono essere fornite dai tecnici commerciali di Datacom Tecnologie all’indirizzo info@datacomtecnologie.it.

Videosorveglianza, una panoramica sulle nuove linee guida europee

Le nuove linee guida europee sulla videosorveglianza: sono state adottate dal comitato europeo per la protezione dei dati per mettere chiarezza su come il regolamento UE 2016/679 viene applicato al trattamento dei dati personali nelle circostanze in cui vengono utilizzati dei dispositivi video.

Le “Guidelines 3/2019 on processing of personal data through video devices” riguardano i sistemi video tradizionali e intelligenti, per i quali le norme interessano soprattutto il trattamento di particolari categorie di dati. Vengono approfondite una serie di tematiche specifiche come la divulgazione di filmati a terzi, la liceità del trattamento e l’applicabilità dei criteri di esclusione relativi ai trattamenti in ambito domestico.

Nelle linee guida si parla di informativa a più livelli, combinando più metodi. Nella videosorveglianza per esempio può essere utilizzato un cartello per le comunicazioni più importanti (primo livello) e altri mezzi per comunicare altri obblighi in un secondo livello (Linee guida Capitolo 7, § 109). Il primo livello prevede per esempio la facilitazione del messaggio attraverso un’icona subito riconoscibile, per poi spiegare tutte le informazioni necessarie per spiegare in modo sintetico il trattamento dei dati svolto dal gestore dell’impianto (articolo 12 GDPR, Capitolo 7.1, § 110). L’informativa deve riportare, oltre ai dati del titolare del trattamento e le finalità del sistema di tvcc, anche gli estremi del data protection officer qualora fosse stato designato. Il secondo livello può essere rappresentato dall’utilizzo di un qr code, capace di rimandare a una pagina web con tutti i dettagli dell’informativa.

Le informazioni da fornire a una persona che si trova in una zona videosorvegliata devono essere collocati a una distanza tale che chi entra nel perimetro sia subito informato di quello che sta accadendo e posizionate ad altezza uomo (WP 89, p.22). Questo significa che una persona in teoria, una volta di fronte al cartello, deve avere un’idea dell’area inquadrata in modo tale da decidere se evitarla o entrare mantenendo un comportamento idoneo (Capitolo 7.1, § 111). Il gestore dell’impianto in ogni caso non è tenuto a specificare l’ubicazione degli apparati di videosorveglianza (WP 89, p.22).

Per spiegare meglio, ecco qui sotto un articolo uscito su SecSolution che affronta la questione nel dettaglio, a cura di Marco Soffientini (esperto di Privacy e Diritto delle Nuove Tecnologie; docente Ethos Academy).