Articoli

TVCC e Privacy: le nuove linee guida da seguire dell’European Data Protection Board

/0 Commenti/in

Torniamo a parlare del Regolamento Europeo 679/2016 e lo facciamo tramite il provvedimento n. 3 di luglio 2019, emendato dall’European Data Protection Board (composto dai rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo), il quale chiarisce una serie di perplessità legate all’applicazione delle nuove norme sulla privacy nel campo della sicurezza. Da esso possiamo trarre una serie di linee guida da seguire che non hanno comunque valenza normativa.

Per quanto riguarda la biometria (rilevamento dei volti e intelligenza artificiale legata anche ai comportamenti) per l’EDPB servono garanzie di un corretto funzionamento, onde incappare in malfunzionamenti capaci, all’estremo, di creare discriminazioni. Ecco che quindi si punta l’attenzione sugli algoritmi di riconoscimento, spesso vincolati anche all’età e all’etnia del soggetto inquadrato dalle telecamere.

La videosorveglianza, secondo il gruppo di lavoro europeo, andrebbe utilizzata “cum grano salis”, vale a dire in quei contesti in cui non ci sono altre situazioni perseguibili e non per una scelta di comodità economica o tecnologica (vedi l’alta risoluzione delle immagini che possiamo ottenere oggi). Gli articoli 35 e 37 del GDPR, non a casa, prevedono che venga stilata una valutazione d’impatto sui diritti e sulle libertà degli interessati nell’ipotesi di monitoraggio sistematico di aree pubbliche, oltre che la nomina di un responsabile per la protezione dei dati che aumenti la tutela degli interessati.

E per le telecamere “finte”, ovvero quelle installate come mero deterrente? In quel caso il regolamento, secondo l’EDPB, non è applicabile, come del resto tutti i dispositivi che nascono con scopi diversi dal videocontrollo o dalla videoregistrazione. Il GDPR non è invece di riferimento per i sistemi di TVCC legati alla pubblica sicurezza, i quali invece devono seguire la Direttiva Europea 680/2016.

Altro tema è quello della “esclusione familiare”: se le immagini sono prodotte per un uso domestico senza alcuna diffusione esterna, allora siamo fuori dall’ambito del GDPR: diversamente sarebbe se quelle immagini, come quelle di una videosorveglianza, finissero sul web.

La legittimità di una ripresa è data, ai fini di videosorveglianza, qualora ci sia un legittimo interesse di tutelare un bene o delle persone, come i dipendenti di un’azienda, di un interesse pubblico, o comunque contesti in cui i presenti, se danno il loro consenso, sanno che certe immagini potranno essere pubblicate sul web o diffuse.

“Ai sensi dell’articolo 21, il responsabile del trattamento può procedere alla videosorveglianza dell’interessato solo se si tratta di un interesse legittimo, convincente e che prevalga sugli interessi, i diritti e le libertà dell’interessato…”: quando si parla di legittimo interesse significa che la necessità riscontrata sia effettiva. Per esempio, un’attività commerciale può necessitare di TVCC in maniera effettiva a seconda della tipologia (esempio una oreficeria) o del contesto in cui si trova.

Molte altre spiegazioni possono essere fornite dai tecnici commerciali di Datacom Tecnologie all’indirizzo info@datacomtecnologie.it.

Videosorveglianza, una panoramica sulle nuove linee guida europee

/0 Commenti/in

Le nuove linee guida europee sulla videosorveglianza: sono state adottate dal comitato europeo per la protezione dei dati per mettere chiarezza su come il regolamento UE 2016/679 viene applicato al trattamento dei dati personali nelle circostanze in cui vengono utilizzati dei dispositivi video.

Le “Guidelines 3/2019 on processing of personal data through video devices” riguardano i sistemi video tradizionali e intelligenti, per i quali le norme interessano soprattutto il trattamento di particolari categorie di dati. Vengono approfondite una serie di tematiche specifiche come la divulgazione di filmati a terzi, la liceità del trattamento e l’applicabilità dei criteri di esclusione relativi ai trattamenti in ambito domestico.

Nelle linee guida si parla di informativa a più livelli, combinando più metodi. Nella videosorveglianza per esempio può essere utilizzato un cartello per le comunicazioni più importanti (primo livello) e altri mezzi per comunicare altri obblighi in un secondo livello (Linee guida Capitolo 7, § 109). Il primo livello prevede per esempio la facilitazione del messaggio attraverso un’icona subito riconoscibile, per poi spiegare tutte le informazioni necessarie per spiegare in modo sintetico il trattamento dei dati svolto dal gestore dell’impianto (articolo 12 GDPR, Capitolo 7.1, § 110). L’informativa deve riportare, oltre ai dati del titolare del trattamento e le finalità del sistema di tvcc, anche gli estremi del data protection officer qualora fosse stato designato. Il secondo livello può essere rappresentato dall’utilizzo di un qr code, capace di rimandare a una pagina web con tutti i dettagli dell’informativa.

Le informazioni da fornire a una persona che si trova in una zona videosorvegliata devono essere collocati a una distanza tale che chi entra nel perimetro sia subito informato di quello che sta accadendo e posizionate ad altezza uomo (WP 89, p.22). Questo significa che una persona in teoria, una volta di fronte al cartello, deve avere un’idea dell’area inquadrata in modo tale da decidere se evitarla o entrare mantenendo un comportamento idoneo (Capitolo 7.1, § 111). Il gestore dell’impianto in ogni caso non è tenuto a specificare l’ubicazione degli apparati di videosorveglianza (WP 89, p.22).

Per spiegare meglio, ecco qui sotto un articolo uscito su SecSolution che affronta la questione nel dettaglio, a cura di Marco Soffientini (esperto di Privacy e Diritto delle Nuove Tecnologie; docente Ethos Academy).

GDPR e videosorveglianza: le norme da seguire

/0 Commenti/in ,

Spesso si sente parlare di GDPR, ma nello specifico cosa è?

Il General Data Protection Regulation, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 e divenuto operativo a partire dal 25 maggio 2018, si occupa di trattamento dei dati personali e di privacy. Nonostante non si occupi solo di videosorveglianza ma in realtà abbracci un po’ tutto l’ambito della privacy, il contenuto del GDPR entra nella legge italiana accompagnandosi al Provvedimento del Garante della Privacy del 2010. Quest’ultimo si focalizza sugli aspetti dell’inquadratura, ovvero della scena che l’apparecchio descrive, e dell’informazione tramite gli appositi cartelli. L’inquadratura deve riguardare il solo bene difeso e non andare oltre, per esempio in aree pubbliche. Il cartello invece rappresenta di fatto una informativa breve sulla privacy e deve essere visibile in ogni condizione di luminosità: deve contenere i nomi dei titolari e dei responsabili del trattamento delle immagini, che possono non essere la stessa persona fisica o giuridica. Il dipendente autorizzato a visionare le immagini deve farlo tramite una nomina apposita e una formazione relativa.

Le riprese posso essere conservate per 24 ore, estendibili a 48 ore. Solo le banche possono avere registrazioni che vanno indietro di sette giorni. Il prolungamento si può chiedere ed è a discrezione del Garante della Privacy.

Il GDPR parla al suo interno di “telecamere intelligenti”: trattasi di dispositivi evoluti con Intelligenza Artificiale a bordo. Questi riescono ad analizzare, rilevare e identificare caratteristiche fisiche e comportamenti dei soggetti ripresi tramite, per esempio, il riconoscimento facciale, dei suoni e dei rumori. Per il riconoscimento facciale serve una valutazione di impatto sulla protezione dei dati (D.P.I.A.- Data Protection Impact Assessment), ai sensi dell’articolo 35 del GDPR, da eseguire prima che venga attivato un impianto “intelligente” di TVCC. Si tratta di un documento di valutazione preventiva dei rischi derivanti dal trattamento dei dati che si intende effettuare come la violazione della privacy. Valutati i rischi, il titolare del trattamento, assistito dal responsabile che visiona e gestisce le immagini, deve poter individuare concrete misure tecnico-organizzative atte a ridurre, o ad annullare del tutto, certi rischi che, se elevati, devono essere sottoposti al Garante.

Nei luoghi di lavoro

Il Jobs Act (o meglio, l’articolo 23 del Decreto Legislativo del 14 settembre 2015 n. 151) ha aggiornato le disposizioni della Legge n. 300 del 20 maggio 1970. Oggi lo Statuto dei Lavoratori consente l’utilizzo di dispositivi per il controllo a distanza dei lavoratori in via esclusiva per “esigenze organizzativo-produttive, per la sicurezza sul lavoro e per la tutela del patrimonio aziendale”, quindi non per controllare il lavoro e i comportamenti dei dipendenti. Se non c’è accordo con i sindacati o il sindacato non è presente in azienda, va richiesta esplicitamente un’autorizzazione all’installazione all’Ispettorato Territoriale del Lavoro. Il GDPR obbliga i datori di lavoro a informare i dipendenti sulla presenza di impianti di TVCC in azienda, attivi o meno, e sul trattamento dei dati. I lavoratori dovranno sapere chi gestisce le immagini riprese e solo le forze dell’ordine, in più alle persone designate, potranno visionare certe immagini. Le telecamere devono inquadrare punti sensibili alla vita aziendale e alla produzione, per esempio non possono andare in locali accessori come gli spogliatoi. Non rispettare certi parametri può portare a vertenze sindacali e, nei casi peggiori, a denunce penali.

Nei condomini

La differenza sta nelle aree che si vogliono controllare, se comuni o private. Nel primo caso, i condòmini devono decidere a maggioranza di voti e le aree interessate da TVCC devono essere spazi frequentati da tutti. Sta all’amministratore di condominio contattare le imprese fornitrici degli impianti e mettere il cartello “Area Videosorvegliata” (articolo 1122-ter del codice civile). In privato non deve violare il Codice della Privacy, quindi inquadrare soltanto proprie pertinenze.

Nei negozi

In questo caso valgono tutte le regole imposte dal Garante della Privacy del 2010 più quanto previsto dallo Statuto dei Lavoratori, se ci sono dipendenti. La circolare n. 5 del 19 febbraio 2018 dell’Ispettorato Nazionale del Lavoro ha intanto introdotto la possibilità di inquadrare direttamente i lavoratori, senza oscurane il volto: questo per far sì, per esempio, di sorvegliare le casse in uscita. Ovviamente il permesso viene concesso se la situazione viene ritenuta idonea.

Nelle abitazioni private

Chi mette a casa un impianto di TVCC non deve mettere obbligatoriamente il cartello di segnalazione. Il parere n. drep/ac/113990 del 7 marzo 2017 del Garante della Privacy mostra dunque l’assenza di limiti anche nella conservazione dei filmati, salvo che gli impianti di ripresa non invadano lo spazio altrui e che si rispetti il diritto alla privacy di ognuno.

Nel caso delle ville o grandi residenze la ripresa può allargare il suo sguardo purché non si inquadrino i volti delle persone che passano. Per i videocitofoni, l’importante è non utilizzare le immagini video per altri scopi che non siano di sicurezza personale.

Il reato di “interferenza illecita nella vita privata” prevede una reclusione da sei mesi a quattro anni e il rischio di dover pagare un risarcimento morale nei confronti di colui che è stato ripreso illecitamente dalle telecamere.

Colf, badanti e babysitter

L’Ispettorato Nazionale del Lavoro, con la nota 1004/2017, spiega che “Il rapporto di lavoro domestico è sottratto alla tutela dello Statuto dei Lavoratori (legge n. 300/1970) poiché, in questo caso, il datore di lavoro è un soggetto privato, non organizzato in forma di impresa”. I collaboratori domestici devono essere informati e, se non danno il loro consenso, non possono essere ripresi. Le immagini in ogni caso devono servire per la sicurezza della casa e non per controllare il personale.

Datacom Videosorveglianza

Il nuovo prodotto web Datacom Videosorveglianza consente di gestire tutte le varie pratiche richieste dalla legge in una sola piattaforma: vai su http://www.datacomtecnologiegdpr.it/ per saperne di più oppure contatta i nostri uffici a info@datacomtecnologie.it.

Datacom Videosorveglianza: la novità per metterti in regola con il GDPR

/0 Commenti/in , ,

Datacom Tecnologie di Firenze lancia sul mercato una novità per aiutare gli installatori di sicurezza a ottemperare a tutti gli obblighi in materia di privacy, in base anche al nuovo regolamento europeo GDPR.

Con Datacom Videosorveglianza gli installatori e i distributori di impianti di videosorveglianza possono contare su uno strumento che semplifica tutte le procedure.

Chi installa un impianto di TVCC, secondo le normative continentali, deve seguire una serie di adempimenti come, per esempio, il principio di necessità, la descrizione dell’impianto e della tipologia di telecamere, la domanda alla direzione territoriale del Lavoro (qualora ci fossero dipendenti e non fosse presente internamente un sindacato), l’informativa estesa, le lettere di incarico e i mansionari al responsabile e, se designati, agli incaricati, una cartellonistica a norma europea con QR Code o link all’informativa.

Tramite il sito www.datacomtecnologiegdpr.it è possibile ricostruire la mappa del proprio impianto di TVCC con tutti gli elementi che lo compongono come telecamere, schermi, impianto di registrazione, eccetera. La comodità sta anche nell’inserimento degli elementi con un pratico sistema “drag and drop”. Attraverso un percorso guidato, è possibile produrre tutta la documentazione in modo da essere pienamente in regola con la normativa. Inoltre tutti i documenti possono essere modificabili nel tempo grazie anche a una archiviazione su cloud.

Il servizio offerto da Datacom è stato certificato anche dall’Accademia Italiana Privacy che ne ha testato la conformità con il GDPR.

Con la sua nuova sezione ADEMPIMENTI FLASH, ogni installatore potrà infine generare in pochi secondi una nuova cartellonistica con link alla relativa informativa pronta on-line: tutto in automatico (vedi il filmato).

Due le modalità di utilizzo: in accesso diretto, così da compilare tutti i documenti in maniera autonoma, o con un servizio “senza pensieri”, tramite il quale i nostri esperti compileranno tutte le pratiche, fino a quelle da inviare alla direzione territoriale del Lavoro e alla ricezione dei nulla osta.

Per ogni chiarimento o delucidazione vai sul sito www.datacomtecnologiegdpr.it oppure scrivi a u.chiatti@datacomtecnologie.it.

Fino alla fine dell’anno 2021, con Datacom Tecnologie puoi ottenere gratis la cartellonistica conforme al GDPR e l’informativa sulla Privacy per i tuoi clienti. Scopri come: contattaci allo 055.696706 o chiedi direttamente al tuo commerciale di riferimento!

GDPR, due guide sulla biometria a cura di Eter Biometric e Suprema

/0 Commenti/in

Il regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore da maggio 2018 per stabilire un nuovo standard per proteggere la privacy dei cittadini dell’Unione Europea. Anche se le aziende nell’UE hanno ancora 2 anni di deroga, Suprema ha anticipato il regolamento fornendo funzionalità tecniche al proprio portafoglio di soluzioni, al fine di rendere semplice per i propri clienti la conformità al GDPR (Biometria, controllo degli accessi, video).

Eter Biometric Technologies Suprema, aziende i cui prodotti sono distribuiti da Datacom Tecnologie di Firenze, mettono a disposizione i due documenti sottostanti (uno in italiano, l’altro in inglese) per aiutare meglio i propri clienti a comprendere i passaggi previsti dal GDPR. Cliccando sulle immagini puoi accedere ai rispettivi documenti.

TVCC: le linee guida europee per il trattamento dei dati personali

/0 Commenti/in ,

C’è tempo fino al 9 settembre 2019 per inviare commenti relativi alle linee guida 3/2019 del 12 luglio 2019 a cura dell’European Data Protection Board (EDPB), le quali interessano il trattamento dei dati personali in merito ai servizi di videosorveglianza. Il testo è in lingua inglese ed è disponibile cliccando qui.

Al centro del documento tutti i dispositivi di TVCC, che siano quelli classici o quelli considerati intelligenti, e l’utilizzo dei filmati, in modo particolare l’eventuale divulgazione delle riprese a terzi. Il rischio infatti è che si vada sempre contro il GDPR.

Distinzione viene fatta tra le tecnologie biometriche complesse e gli algoritmi che contano le presenze in un locale: secondo l’ente europeo, i responsabili dei sistemi hanno la responsabilità che questi siano affidabili almeno una certo grado, onde evitare scelte giuridiche errate.