Articoli

Telecamere in azienda solo con accordi sindacali: lo dice la Cassazione

/0 Commenti/in

Sanzioni pesanti per il datore di lavoro che, pur ottenendo il consenso dei dipendenti, installa delle telecamere di videosorveglianza in azienda senza che ci sia un accordo sindacale. Lo dice la Corte di Cassazione tramite la sentenza 50919 del 17 dicembre 2019 che respinge il ricorso di un imprenditore il quale aveva fatto uso degli impianti di controllo a distanza con il bene placet dei dipendenti. L’articolo 4 dello Statuto dei Lavoratori, secondo la Suprema Corte, è quello che però che fa testo in questa situazione per cui, in assenza di specifica autorizzazione da parte dell’Ispettorato del lavoro o di un accordo sindacale, gli impianti sono fuori regola anche se i dipendenti hanno detto di sì.

«Il consenso o l’acquiescenza che il lavoratore potrebbe, in ipotesi, prestare o avere prestato, – scrive la Corte di Cassazione – non svolge alcuna funzione esimente, atteso che, in tal caso, l’interesse collettivo tutelato, quale bene di cui il lavoratore non può validamente disporre, resta fuori dalla teoria del consenso dell’avente diritto. Non è, nel caso descritto, la condotta del lavoratore riconducibile al paradigma generale dell’esercizio di un diritto, trattandosi della disposizione di una posizione soggettiva, a lui non spettante in termini di esclusività». Quindi, fate attenzione quando dovete mettere degli impianti a non incappare in questo tipo di errori.

Immagini a terzi e sul web: cosa dice il GDPR a riguardo?

/0 Commenti/in

Cosa dicono le nuove regole relativamente alla consegna a terzi di immagini di videosorveglianza, la diffusione di queste sul web e l’utilizzo delle tecnologie biometriche? Sono tutti aspetti sui cui andiamo a indagare in questo articolo di approfondimento legato al provvedimento numero 3 dell’European Data Protection Board (luglio 2019), basato sui nuovi principi del GDPR.

I primi due aspetti sono normati dall’articolo 4 comma 2: fondamentale è capire chi è il terzo a cui si cede il filmato. Se per esempio fare vedere le immagini a un avvocato può essere lecito, specialmente se devono essere messe in atto azioni di risarcimento, al contrario la diffusione sui social di filmati in cui si vede un ladro in azione non rientra nelle regole. Le basi normative sono l’articolo 6 del regolamento europeo (liceità della condotta), 45 e 46 (accordi internazionali legati alla trasmissione di dati extra UE o a organizzazioni esterne). Sempre giustificata invece la cessione alle forze dell’ordine o alla magistratura in quanto la collaborazione è un obbligo di legge che giustifica dunque l’atto. Questo anche quando si è in possesso di una telecamera che, nella sua azione, inquadra una scena utile ad altre indagini, anche non pertinenti al proprio ambito. Se la polizia giudiziaria chiede delle immagini, il titolare del trattamento non può opporsi alla consegna pena il sequestro. Disco verde anche alla spontanea consegna di immagini alle forze dell’ordine se queste inquadrano un crimine o un danno a un soggetto terzo, per esempio un passante.

Le immagini possono cogliere molti aspetti e per questo vale il principio di minimizzazione del trattamento. Significa che le telecamere non dovrebbero puntare su luoghi sensibili come chiese, sedi di partito o altro capace di dare informazioni di natura sanitaria, sessuale, politica o religiosa. Diverso è il caso, per esempio, della ripresa di un portatore di handicap di passaggio per la strada, la cui situazione è evidente. L’importante è ridurre al minimo questo tipo di elementi ambientali i quali non possono essere rimossi del tutto. Comunque, ciò che conta è anche la finalità di trattamento indicata sui cartelli dell’area videosorvegliata. Necessario anche trovare il punto di mezzo tra chi è inquadrato e il titolare del trattamento: in un’azienda la ripresa può essere utilizzata per scoprire eventuali furti ma non per vedere chi sono le persone che hanno aderito a un’assemblea sindacale, per esempio.

La biometria e il GDPR

Il principio base è il seguente: videosorveglianza e biometria insieme per i riconoscimento dei volti vanno utilizzati solo quando non ci sono alternative. Per l’accesso dei dipendenti al lavoro, per esempio, un marcatempo può essere sufficiente, diverso il procedimento legato al controllo dei varchi degli aeroporti. L’identificazione biometrica, secondo gli articoli 4.14 e 9 del GDPR, è composta da tre criteri: l’individuazione di una o più caratteristiche fisiche, psicologiche o comportamentali dell’interessato; un procedimento tecnico di rilevazione e trattamento di tali caratteristiche; l’elaborazione di un dato capace di far identificare una persona in maniera univoca.

Tornando all’esempio dell’aeroporto, il passeggero deve essere messo in condizione di non dover forzatamente utilizzare il varco biometrico ma avere alternative. Infine, il dato estratto dal sistema biometrico deve essere tale da avere i soli elementi essenziali alla finalità del trattamento. Il titolare del trattamento deve anche fare in modo che le informazioni raccolte e crittografate non possano finire in mani sbagliate.

Dal Comitato Europeo per la Protezione dei Dati arrivano alcune misure di sicurezza consigliate come vietare gli accessi esterni ai dati, associare un codice di integrità ai dati e attuare misure per il rilevamento delle frodi, dividere i database dei modelli biometrici e dei dati grezzi, compartimentare i dati durante la trasmissione e l’archiviazione e infine crittografarli seguendo una politica chiara, anche per la gestione delle chiavi. La divisione degli utenti in segmenti profilati non viene considerata come un’attività di identificazione biometrica.

TVCC e Privacy: le nuove linee guida da seguire dell’European Data Protection Board

/0 Commenti/in

Torniamo a parlare del Regolamento Europeo 679/2016 e lo facciamo tramite il provvedimento n. 3 di luglio 2019, emendato dall’European Data Protection Board (composto dai rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo), il quale chiarisce una serie di perplessità legate all’applicazione delle nuove norme sulla privacy nel campo della sicurezza. Da esso possiamo trarre una serie di linee guida da seguire che non hanno comunque valenza normativa.

Per quanto riguarda la biometria (rilevamento dei volti e intelligenza artificiale legata anche ai comportamenti) per l’EDPB servono garanzie di un corretto funzionamento, onde incappare in malfunzionamenti capaci, all’estremo, di creare discriminazioni. Ecco che quindi si punta l’attenzione sugli algoritmi di riconoscimento, spesso vincolati anche all’età e all’etnia del soggetto inquadrato dalle telecamere.

La videosorveglianza, secondo il gruppo di lavoro europeo, andrebbe utilizzata “cum grano salis”, vale a dire in quei contesti in cui non ci sono altre situazioni perseguibili e non per una scelta di comodità economica o tecnologica (vedi l’alta risoluzione delle immagini che possiamo ottenere oggi). Gli articoli 35 e 37 del GDPR, non a casa, prevedono che venga stilata una valutazione d’impatto sui diritti e sulle libertà degli interessati nell’ipotesi di monitoraggio sistematico di aree pubbliche, oltre che la nomina di un responsabile per la protezione dei dati che aumenti la tutela degli interessati.

E per le telecamere “finte”, ovvero quelle installate come mero deterrente? In quel caso il regolamento, secondo l’EDPB, non è applicabile, come del resto tutti i dispositivi che nascono con scopi diversi dal videocontrollo o dalla videoregistrazione. Il GDPR non è invece di riferimento per i sistemi di TVCC legati alla pubblica sicurezza, i quali invece devono seguire la Direttiva Europea 680/2016.

Altro tema è quello della “esclusione familiare”: se le immagini sono prodotte per un uso domestico senza alcuna diffusione esterna, allora siamo fuori dall’ambito del GDPR: diversamente sarebbe se quelle immagini, come quelle di una videosorveglianza, finissero sul web.

La legittimità di una ripresa è data, ai fini di videosorveglianza, qualora ci sia un legittimo interesse di tutelare un bene o delle persone, come i dipendenti di un’azienda, di un interesse pubblico, o comunque contesti in cui i presenti, se danno il loro consenso, sanno che certe immagini potranno essere pubblicate sul web o diffuse.

“Ai sensi dell’articolo 21, il responsabile del trattamento può procedere alla videosorveglianza dell’interessato solo se si tratta di un interesse legittimo, convincente e che prevalga sugli interessi, i diritti e le libertà dell’interessato…”: quando si parla di legittimo interesse significa che la necessità riscontrata sia effettiva. Per esempio, un’attività commerciale può necessitare di TVCC in maniera effettiva a seconda della tipologia (esempio una oreficeria) o del contesto in cui si trova.

Molte altre spiegazioni possono essere fornite dai tecnici commerciali di Datacom Tecnologie all’indirizzo info@datacomtecnologie.it.

Videosorveglianza e accesso ai filmati: le modalità per sporgere reclamo

/0 Commenti/in

Come sporgere reclamo per mancato accesso a filmati di videosorveglianza?

Come sporgere reclamo per mancato accesso a filmati di videosorveglianza? Se dopo 90 giorni infatti non si ottengono risposte relativamente al diritto di accesso ai dati acquisiti mediante un impianto di videosorveglianza, è possibile rivalersi sul responsabile trattamento dei dati con una propria istanza (ai sensi dell’articolo 1, comma 2, lettera c, della legge n. 675/1996).

Questa disciplina è normata da anni dal Garante della Privacy, chiamato a trovare una mediazione tra sicurezza e dati personali. Già nel 2000 sono state buttate già delle linee guida, poi il Provvedimento del 29 aprile 2004 ha fatto sì che si arrivasse a informare le persone presenti in un’area sorvegliata, attraverso i cartelli che tutti conosciamo (articolo 13, comma 3 del Codice). Questi devono essere disposti in più copie a seconda della vastità dell’area videosorvegliata e degli impianti presenti. Inoltre devono essere ben chiare le finalità a cui sono destinate le riprese.

Qui sotto è disponibile un modulo utilizzabile per la richiesta di reclamo per l’accesso ai dati (tratto da moduli.it).

La Corte Europea dice sì alle telecamere nascoste nei luoghi di lavori: ma solo in casi specifici

/0 Commenti/in

La Grande Camera della Corte Europea di Strasburgo ha dato una sua risposta in merito alla liceità dell’installazione di telecamere di videosorveglianza nascoste in luoghi di lavoro, all’insaputa dei dipendenti stessi. Questo può essere fatto se il sospetto di gravi irregolarità sul posto di lavoro è così elevato da giustificare una mancata informazione ai lavoratori: lo stabilisce una sentenza datata 17 ottobre 2019. Il riferimento era a un caso accaduto in Spagna, nello specifico in una catena di supermercati. Il titolare sospettava di ammanchi nei magazzini, essendoci state forti perdite nei bilanci. I giudici, i quali dovevano pronunciarsi sul ricorso sollevato da cinque cassieri, hanno valutato che essendo stato breve il periodo, solo dieci giorni, che le telecamere erano solo alle casse e visti i motivi, hanno dichiarato che non ci sarebbero stati altri mezzi per poter scoprire l’autore delle sparizioni. Il provvedimento del titolare dunque non era in contrasto con la Convenzione Europea dei diritti dell’uomo né del diritto alla privacy dei dipendenti.

Dunque il provvedimento viene accolto positivamente ma seguendo un principio di proporzionalità rispetto all’entità del problema e alle possibili modalità di risoluzione.

Videosorveglianza, una panoramica sulle nuove linee guida europee

/0 Commenti/in

Le nuove linee guida europee sulla videosorveglianza: sono state adottate dal comitato europeo per la protezione dei dati per mettere chiarezza su come il regolamento UE 2016/679 viene applicato al trattamento dei dati personali nelle circostanze in cui vengono utilizzati dei dispositivi video.

Le “Guidelines 3/2019 on processing of personal data through video devices” riguardano i sistemi video tradizionali e intelligenti, per i quali le norme interessano soprattutto il trattamento di particolari categorie di dati. Vengono approfondite una serie di tematiche specifiche come la divulgazione di filmati a terzi, la liceità del trattamento e l’applicabilità dei criteri di esclusione relativi ai trattamenti in ambito domestico.

Nelle linee guida si parla di informativa a più livelli, combinando più metodi. Nella videosorveglianza per esempio può essere utilizzato un cartello per le comunicazioni più importanti (primo livello) e altri mezzi per comunicare altri obblighi in un secondo livello (Linee guida Capitolo 7, § 109). Il primo livello prevede per esempio la facilitazione del messaggio attraverso un’icona subito riconoscibile, per poi spiegare tutte le informazioni necessarie per spiegare in modo sintetico il trattamento dei dati svolto dal gestore dell’impianto (articolo 12 GDPR, Capitolo 7.1, § 110). L’informativa deve riportare, oltre ai dati del titolare del trattamento e le finalità del sistema di tvcc, anche gli estremi del data protection officer qualora fosse stato designato. Il secondo livello può essere rappresentato dall’utilizzo di un qr code, capace di rimandare a una pagina web con tutti i dettagli dell’informativa.

Le informazioni da fornire a una persona che si trova in una zona videosorvegliata devono essere collocati a una distanza tale che chi entra nel perimetro sia subito informato di quello che sta accadendo e posizionate ad altezza uomo (WP 89, p.22). Questo significa che una persona in teoria, una volta di fronte al cartello, deve avere un’idea dell’area inquadrata in modo tale da decidere se evitarla o entrare mantenendo un comportamento idoneo (Capitolo 7.1, § 111). Il gestore dell’impianto in ogni caso non è tenuto a specificare l’ubicazione degli apparati di videosorveglianza (WP 89, p.22).

Per spiegare meglio, ecco qui sotto un articolo uscito su SecSolution che affronta la questione nel dettaglio, a cura di Marco Soffientini (esperto di Privacy e Diritto delle Nuove Tecnologie; docente Ethos Academy).

GDPR, due guide sulla biometria a cura di Eter Biometric e Suprema

/0 Commenti/in

Il regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore da maggio 2018 per stabilire un nuovo standard per proteggere la privacy dei cittadini dell’Unione Europea. Anche se le aziende nell’UE hanno ancora 2 anni di deroga, Suprema ha anticipato il regolamento fornendo funzionalità tecniche al proprio portafoglio di soluzioni, al fine di rendere semplice per i propri clienti la conformità al GDPR (Biometria, controllo degli accessi, video).

Eter Biometric Technologies Suprema, aziende i cui prodotti sono distribuiti da Datacom Tecnologie di Firenze, mettono a disposizione i due documenti sottostanti (uno in italiano, l’altro in inglese) per aiutare meglio i propri clienti a comprendere i passaggi previsti dal GDPR. Cliccando sulle immagini puoi accedere ai rispettivi documenti.

TVCC: le linee guida europee per il trattamento dei dati personali

/0 Commenti/in ,

C’è tempo fino al 9 settembre 2019 per inviare commenti relativi alle linee guida 3/2019 del 12 luglio 2019 a cura dell’European Data Protection Board (EDPB), le quali interessano il trattamento dei dati personali in merito ai servizi di videosorveglianza. Il testo è in lingua inglese ed è disponibile cliccando qui.

Al centro del documento tutti i dispositivi di TVCC, che siano quelli classici o quelli considerati intelligenti, e l’utilizzo dei filmati, in modo particolare l’eventuale divulgazione delle riprese a terzi. Il rischio infatti è che si vada sempre contro il GDPR.

Distinzione viene fatta tra le tecnologie biometriche complesse e gli algoritmi che contano le presenze in un locale: secondo l’ente europeo, i responsabili dei sistemi hanno la responsabilità che questi siano affidabili almeno una certo grado, onde evitare scelte giuridiche errate.