Post on 16-Feb-2019
transcript
© Studio Legale Rosadi-Soffientini Associati
Il Responsabile della protezione dei dati:Requisiti, compiti e certificazioni
DPO– Data Protection Officer
2
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI – ART. 35 -
Protezione dei dati fin dalla progettazione e per impostazione predefinita – ART. 25 -
DIRITTO ALL’OBLIO –ART. 17 -
Diritto alla portabilità dei dati – ART. 20 -
Notifica di una violazione dei dati personali – ART. 33 -
Diritto di accesso dell’interessato – ART. 15 -
Meccanismo dello sportello unico (One stop shop) – ART. 60 -
Il responsabile della protezione dei dati –Articoli 37 – 38 - 39
SOCIAL E MINORI –ART. 8 -
RESPONSABILITA’ VERIFICABILE – ART. 5.2 -
Registro delle attività di trattamento – ART. 30 -
SANZIONI –ART. 83 -
© Studio Legale Rosadi-Soffientini Associati 3
© Studio Legale Rosadi-Soffientini Associati
DPO– Data Protection Officer
CON L’APPLICAZIONE DEL PRINCIPIO DELL’ ACCOUNTABILITYINTESO COME RESPONSABILIZZAZIONE E DOVERE DIRENDICONTAZIONE, LA FIGURA DEL DATA PROTECTIONOFFICER DIVENTA FONDAMENTALE AFFINCHE’ IL TITOLAREDEL TRATTAMENTO OTTEMPERI CON DILIGENZA ALLEPRESCRIZIONI CONTENUTE NEL REGOLAMENTO UE2016/679.
4
Chi è il “Privacy Officer” ?Il Privacy Officer, definito ancheChief Privacy Officer nellestrutture di grandi dimensioni, èun dirigente oppure unfunzionario di alto livello,all’interno di un’azienda oun’organizzazione, responsabiledella gestione dei rischi edell’impatto della normativa edelle politiche privacy sulleattività concernenti l’azienda.
Tratto da “Privacy Officer” la figura chiave della data protection europea, cit. pag. 1, IPSOA 2013
© Studio Legale Rosadi-Soffientini Associati
DPO– Data Protection Officer
Nel Regolamento UE 2016/679 il Data ProtectionOfficer si presenta come una figura manageriale diconsulenza e controllo, paragonabile, per taluniaspetti e per i requisiti di autonomia e indipendenza,alle funzioni che esercita un Organismo di Vigilanza(ex D.Lgs. 231/2001).
5
Quando e dove è nata la figura del Privacy Officer ?
La figura organizzativa del Privacy Officer èstata istituita per la prima volta nel 1999dalla società AllAdvantage (USA-California), specializzata in servizipubblicitari attraverso internet.
© Studio Legale Rosadi-Soffientini Associati
DPO– Data Protection Officer
6
Chi è stato il primo Privacy Officer ?
Ray Everett Church – unavvocato statunitense.
. . . Quando nel 1999 sono stato nominato Chief privacy Officer il mio ruolo è stato il primo nel suo genere: una posizione di dirigente con il compito di vigilare su tutte le questioni legate alla privacy. . .
DPO– Data Protection Officer
© Studio Legale Rosadi-Soffientini Associati 7
2012
Il Privacy Officer oggi in Italia visto dal Garante
Un ruolo positivo è sicuramente giocato dallefigure di responsabili privacy, oramaipiuttosto diffuse, che, coordinando eindirizzando l’azione degli uffici periferici,assicurano una più puntuale e attentaapplicazione della legge. In una qualchemisura, dall’esperienza di queste nuove figureprofessionali viene quasi anticipata lafunzione del privacy officer, ben conosciuta inaltri ordinamenti e recentemente inseritanelle bozze del nuovo regolamentocomunitario in materia di protezione dei datipersonali .
Rel. Garante 2012
DPO– Data Protection Officer
© Studio Legale Rosadi-Soffientini Associati 8
DPO – Data Protection Officer
La posizione e le caratteristiche del DPO nel Regolamento
© Studio Legale Rosadi-Soffientini Associati
1) Aver conseguito un adeguato livello di conoscenza della disciplina sulla gestione dei dati personali
2) Esercitare le proprie funzioni in piena indipendenza
3) Operare alle dipendenze del Titolare o sulla base di un contratto di servizi
Il DPO deve:
9
F
INTERNET – LOCALIZZAZIONE SATELLITARE - BIOMETRIA VID
EOSO
RV
EGLIA
NZA
–SO
CIA
L NETW
OR
K
CLOUD COMPUTING – RFID – GPS – BYOD – BIG DATA
SYST
EM A
DM
INIS
TRAT
OR
-C
YBER
CR
IME
DPO
DP
OD
PO
© Studio Legale Rosadi-Soffientini Associati
DPO – Data Protection Officer
10
FORMAZIONE
PRIVACY OFFICER
ESPERIENZA CAPACITA’ AFFIDABILITA’
© Studio Legale Rosadi-Soffientini Associati
DPO – Data Protection Officer
11
La Professionalità
FORMAZIONE
AGGIORNAMENTO
La certificazione del ruolo del Privacy Officer eConsulente della protezione dei dati può essererilasciata solo da un'autorità indipendente ecertificata, che opera nell'ambito dellaregolamentazione internazionale stabilito dalla normaISO / IEC 17024 standard "Valutazione dellaconformità - Criteri generali per gli organismi dicertificazione del personale operativo".
CERTIFICAZIONE
Per ulteriori dettagli : http://www.tuv.it/it-it/attivita/certificazione-del-personale/privacy-officer-e-consulente-della-privacy
DPO – Data Protection Officer
© Studio Legale Rosadi-Soffientini Associati 12
DPO – Data Protection Officer
Skills
Formazione
Nomina
La scelta e l’incardinazione del DPO
© Studio Legale Rosadi-Soffientini Associati 13
DPO – Data Protection Officer
Sono obbligati alla nomina del DPO:
© Studio Legale Rosadi-Soffientini Associati
1 Amministrazioni ed enti pubblici ad eccezione delle autorità giudiziarie
2) Tutti i soggetti la cui attività principale consiste in trattamenti che per natura, oggetto o finalità richiedono il controllo regolare e sistematico degli interessati
3) Tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici
Art. 37 Reg. UE 2016/679
14
DPO – Data Protection Officer
I principali compiti del DPO:
© Studio Legale Rosadi-Soffientini Associati
1 Informare e assistere il Titolare del trattamento e i lavoratori nella corretta applicazione del Regolamento
2) Vigilare sulla corretta applicazione della disciplina privacy (regolamento – policy) attraverso attività di audit e di formazione/sensibilizzazione dei lavoratori.
3) Fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.
4) Fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti.
5) Gestire le richieste provenienti dall’Autorità Garante per la protezione dei dati personali (es. rispondendo alle note di chiarimenti) oppure le istanze presentate dal Titolare del trattamento (es. istanze di verifica preliminare ex art. 17 C.d.P.)
15
© Studio Legale Rosadi-Soffientini Associati
DPO– Data Protection Officer
Il Data Protection Officer deve essere tempestivamente eadeguatamente coinvolto in tutte le questioni riguardanti laprotezione dei dati personali; devono essergli fornite le risorsenecessarie per assolvere tali compiti e, quindi, anche un budgetdi spesa (Art. 38 Reg. UE 2016/679).
IL RAPPORTO TITOLARE - DPO
16
© Studio Legale Rosadi-Soffientini Associati
DPO– Data Protection Officer
La direzione del sistema di gestione privacy attraverso unafigura manageriale come il DPO consentirà al titolare deltrattamento non solo il rispetto delle prescrizioni in tema di dataprotection ma anche il controllo dei profili di responsabilitàgiuridica derivanti dall’applicazione del principiodell’accountability.
IL RAPPORTO PRINCIPIO ACCOUNTABILITY - DPO
17
VIDEOSORVEGLIANZA:LE FONTI NORMATIVE
DIRETTIVA 95/46/CE
CODICE DELLA PRIVACY .
STATUTO DEI LAVORATORI
PROVVEDIMENTI DEL GARANTE
18
Il Regolamento Europeo sul trattamentodei dati personali UE 2016/679 ABROGAla direttiva a decorrere dal 25 maggio2018, data a partire dalla quale ilRegolamento si applicherà. (art.95, co.1 e99,co.2 Reg. UE 2016/679).
D.Lgs n.196/2003
L. n.300/1970
© Riproduzione riservata
• Provv. 29 novembre 2000 (“Il decalogo delle regole per
non violare la privacy”), doc. web n. 31019;
• Provv. Generale 29 aprile 2004, doc. web n. 1003482;
• Provv. Generale 08 aprile 2010, doc. web n. 1712680.
• Il Garante sta lavorando su un nuovo Provvedimento
19
I PR
OV
VED
IMEN
TI D
EL G
AR
AN
TE
© Riproduzione riservata
Trattamento (Art. 4, comma 1, lett.a.)
TRATTAMENTO: Qualunque operazione ocomplesso di operazioni, effettuati anchesenza l'ausilio di strumenti elettronici,concernenti la raccolta, la registrazione,l'organizzazione, la conservazione, laconsultazione, l'elaborazione, lamodificazione, la selezione, l'estrazione, ilraffronto, l'utilizzo, l'interconnessione, ilblocco, la comunicazione, la diffusione, lacancellazione e la distruzione di dati, anche senon registrati in una banca di dati.
ll titolare o il responsabile devono designare per iscrittotutte le persone fisiche, incaricate del trattamento,autorizzate sia ad accedere ai locali dove sono situate lepostazioni di controllo, sia ad utilizzare gli impianti e, neicasi in cui sia indispensabile per gli scopi perseguiti, avisionare le immagini. (§ 3.3.2 Provv. 08.04.2010).
20© Copyright
21
SI PUO’ INSTALLARE ALL’INTERNO DI UNESERCIZIO COMMERCIALE UN MONITOR CHECONSENTA LA VISIONE DELLE IMMAGINI ACHIUNQUE SIA PRESENTE NEI LOCALI ?
© Riproduzione riservata
22
VEDI NOTA GARANTE17 APRILE 2014
“Anche la sola presa di visione di immagini acquisite amezzo di sistemi di videosorveglianza integra untrattamento di dati personali. Pertanto, i dati rilevati – ecioè le immagini trasmesse su un monitor – devonoessere oggetto di protezione, sicché la loro visione deveessere riservata soltanto a coloro che, nominatipreviamente dal titolare del trattamento dei dati“incaricati”, ai sensi dell’art. 30 del Codice, abbiano ilcompito di controllare le stesse per evitare laconsumazione di possibili illeciti. Ne consegue che nonpuò ritenersi conforme a legge una visione delleimmagini “generalizzata”, che non solo non sia limitataai soggetti effettivamente titolati a prenderne visione,ma addirittura si estenda a “chiunque sia presente neilocali dell’esercizio commerciale o della farmacia”
© Riproduzione riservata
23
I Principi da rispettare per una corretta installazione di un impianto di Videosorveglianza
Va rispettato il principio per cui gli interessati
devono essere sempre informati quando stanno
per accedere ad una zona videsorvegliata.
Informativa – Art. 13 -
Finalità
Modalità
Natura obbligatoria o facoltativa del
conferimento dati
Conseguenze di un eventuale rifiuto a
rispondere
Soggetti ai quali possono essere
comunicati i dati
I Diritti di cui all’art.7
Estremi del Titolare e dei Responsabili
se designati
L’informativa, che deve essere conforme aquanto stabilito dall’art. 13 del Codice Privacy,può essere resa in forma“minima” (semplificata),indicando il titolare del trattamento e la finalitàperseguita e seguendo il fac-simile
© Riproduzione riservata
IL GARANTE HA INDIVIDUATO AI SENSI DELL’ART. 13,
COMMA 3, DEL CODICE, L’UTILIZZO DI UN MODELLO
SEMPLIFICATO DI INFORMATIVA MINIMA, INDICANTE IL
TITOLARE DEL TRATTAMENTO E LA FINALITA’
PERSEGUITA.
§ 3.1 PROVV. 08.04.2010
Questo fac-simile può essere utilizzato dai soggetti
privati che effettuano trattamenti di dati personali
effettuati tramite sistemi di videosorveglianza
direttamente collegati con le forze di polizia.
Afferma il provv. 08.04.2010 che questo tipo di
collegamento DEVE ESSERE RESO NOTO AGLI
INTERESSATI. (vedi § 3.1.3. provv. 08.04.2010)L’IN
FOR
MAT
IVA
BR
EVE
NEL
LA V
IDEO
SOR
VEG
LIA
NZA
24© Riproduzione riservata
L’IN
FOR
MAT
IVA
BR
EVE
NEL
LA V
IDEO
SOR
VEG
LIA
NZA
25
In presenza di più telecamere, inrelazione alla vastità dell'area oggetto dirilevamento e alle modalità delle riprese,potranno essere installati più cartelli.
Il supporto con l'informativa:
• deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
• deve avere un formato ed un posizionamentotale da essere chiaramente visibile in ognicondizione di illuminazione ambientale, anchequando il sistema di videosorveglianza siaeventualmente attivo in orario notturno;
• può inglobare un simbolo o una stilizzazione diesplicita e immediata comprensione,eventualmente diversificati al fine di informare sele immagini sono solo visionate o anche registrate.
Provv. 08.04.2010, § 3.1.
"L'installazione di un impianto divideosorveglianza all'interno di unesercizio commerciale, costituendotrattamento di dati personali, deveformare oggetto di previa informativa,ex art. 13 del d.lgs. n. 196 del 2003, resaai soggetti interessati prima che faccianoaccesso nell'area videosorvegliata,mediante supporto da collocare perciòfuori del raggio d'azione delletelecamere che consentono la raccoltadelle immagini delle persone e dannocosì inizio al trattamento stesso". (Cass.5 luglio 2016, n. 13663).
© Riproduzione riservata
26
Naturalmente occorre ricordarsi di compilare la cartellonistica, con l’indicazione del titolare del trattamento e la finalità della rilevazione/registrazione.
© Riproduzione riservata
Controlli a distanza
27
Art. 4 L.n.300/1970
Gazzetta Ufficiale n. 221 del 23/09/2015 – Suppl. Ordinario n. 53
L’articolo 23 del Decreto Legislativo 14 settembre 2015, n. 151 ha modificato l’articolo 4 della legge n. 300/1970 (Statuto dei Lavoratori).
© Riproduzione riservata
IL NUOVO ARTICOLO 4
“Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità dicontrollo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamenteper esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela delpatrimonio aziendale e possono essere installati previo accordo collettivo stipulato dallarappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. Inalternativa, nel caso di imprese con unità produttive ubicate in diverse province dellastessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazionisindacali comparativamente più rappresentative sul piano nazionale. In mancanza diaccordo gli impianti e gli strumenti di cui al periodo precedente possono essere installatiprevia autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso diimprese con unità produttive dislocate negli ambiti di competenza di più Direzioniterritoriali del lavoro, dal Ministero del lavoro e delle politiche sociali.La disposizione di cui al primo comma non si applica agli strumenti utilizzati dallavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degliaccessi e delle presenze.Le informazioni raccolte ai sensi del primo e del secondo comma sono utilizzabili a tutti ifini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguatainformazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nelrispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196» (Codice dellaprivacy)”.
28
NU
OV
O
© Riproduzione riservata
© Riproduzione riservata
[OMISSIS] in relazione al contenuto del quesito proposto, a parere di questa Direzione nonoccorrerà autorizzazione alla installazione degli impianti nei confronti del condominio chenon occupi lavoratori alle proprie dipendenze, ed a condizione che il datore di lavoroesterno (società di pulizie) con la quale sia stato stipulato un contratto di appalto nonabbia alcun accesso alle immagini acquisite tramite il sistema di videosorveglianza.(Risposta a interpello della DTL di Arezzo del 23 febbraio 2016).
NO
PRIMA DI INSTALLARE UN IMPIANTO DI
VIDEOSORVEGLIANZA IN LUOGHI DI
LAVORO CI VUOLE L’ACCORDO
SINDACALE O L’AUTORIZZAZIONE DELLA
D.T.L.
30
V. FAQ Minist. N.4© Riproduzione riservata
31
• La ditta occupa lavoratori dipendenti o altre figure professionali ad essi assimilabili;
• Non sono stati eletti in ditta rappresentanti sindacali aziendali (RSA) o rappresentanti sindacali unitari (RSU);
• Pur essendo presenti in ditta RSA o RSU, è stato sottoscritto un verbale di mancato accordo
in relazione all'utilizzo dell'impianto di videosorveglianza.
QUANDO CI SI RIVOLGE ALLA D.T.L.
© Riproduzione riservata
32
Il Ministero del lavoro hapubblicato nel corso dellaprimavera del 2016 il modellounificato di autorizzazioneall’installazione di impianti divideosorveglianza nei luoghidi lavoro.
© Riproduzione riservata
33
Impianti installati senza accordo o autorizzazione della DTL: Parere del Ministero del 01.06.2016
Il Ministero del Lavoro e delle Politiche Socialiin data 01 giugno 2016, prot.37/0011241/MA007.A.001.10742 ha reso unparere in merito ad accertamenti ispettivi easpetti sanzionatori riguardanti impiantiaudiovisivi installati senza accordo sindacale oautorizzazione ai sensi dell’articolo 4, comma1, legge n. 300/1970.
© Riproduzione riservata
Quando si deve ottenere l’Autorizzazione del Garante per installare determinati impianti di
videosorveglianza ? - LA Verifica Preliminare -
• dei sistemi di videosorveglianza abbinati a dati biometrici;• degli impianti dotati di software, che consentono il riconoscimento dellepersone;• dei sistemi c.d. intelligenti, che cioè non si limitano a riprendere e registrarele immagini, ma sono in grado di rilevare automaticamente comportamenti oeventi anomali, segnalarli ed eventualmente registrarli;• dei sistemi integrati di videosorveglianza;• delle casistiche di allungamento dei tempi di conservazione delle immaginioltre il previsto termine massimo di sette giorni.
il Garante enuncia tutta una serie di ipotesi che vanno sottoposte a verifica preliminare. Si tratta:
34© Riproduzione riservata
SISTEMI INTELLIGENTI
I sistemi di videosorveglianza c.d. intelligenti sono queisistemi in grado di rilevare automaticamentecomportamenti o eventi anomali, segnalarli eall’occorrenza registrarli.
35© Riproduzione riservata
SISTEMI INTELLIGENTI
Le telecamere ad inseguimento hanno la funzione, in situazione dinormalità, di effettuare una scansione panoramica della zona dicompetenza e, grazie alla modalità di video-analisi, in caso diintrusione, si orientano verso la zona interessata per seguire eregistrare l'evento. Esse rientrano nel concetto di sistema divideosorveglianza “intelligente”, che richiede, oltre ai normaliadempimenti previsti dal provv. 08.04.2010 e dallo Statuto deiLavoratori, anche una istanza di verifica preliminare ai sensidell’articolo 17 del D.Lgs n.196/2003.
LE TELECAMERE AD INSEGUIMENTO
36© Riproduzione riservata
SISTEMI INTELLIGENTI
Permette di distinguere, all'interno di un'immagine,persone, veicoli, animali e altri oggetti che nonappartengono propriamente alla struttura dellascena.
object classification
37© Riproduzione riservata
38
SISTEMA INTELLIGENTE ANTISCAVALCAMENTOPRESSO AREE PORTUALI DI OLBIA ISOLABIANCA, GOLFO ARANCI E COCCIANI.
Provv. 17.09.2015 [doc. web n. 4361006 ]
VIDEO ANALISI:
L’Autorità Portuale ha sottoposto a verifica preliminare l'utilizzo di sistemi di videosorveglianzache prevedono una specifica attività di video analisi volta a "segnalare automaticamentel'eventuale scavalcamento della recinzione metallica posizionata lungo il perimetro delle areead accesso ristretto".
CARATTERISTICHE DELL’IMPIANTO:
© Riproduzione riservata
39
IL GIUDIZIO DEL GARANTE
Il Garante ha preso atto che l'impianto di videosorveglianza che l'Autorità portuale di Olbia eGolfo Aranci ha inteso sottoporre alla verifica preliminare dell'Autorità è abilitato a svolgerela specifica funzione di attivare un allarme sonoro presso la control room in caso diattraversamento di una linea virtuale posta in corrispondenza del limite superiore dellarecinzione metallica, con lo scopo di segnalare l'eventuale scavalcamento da parte di soggettinon autorizzati della recinzione metallica posizionata lungo il perimetro delle aree ad accessoristretto.
Provv. 17.09.2015 [doc. web n. 4361006]
Linea Virtuale
© Riproduzione riservata
40
IL GIUDIZIO DEL GARANTE
Sotto il profilo, poi, degli effetti previsti conseguenti all'attivazione dell'allarme, dalladocumentazione trasmessa emerge che le caratteristiche specifiche del sistema divideosorveglianza in esame, nel rilevare il superamento di una barriera virtuale, delimitata dauna linea predefinita, e l'accesso ad una zona interdetta segnalata con la "presenza di idoneicartelli informativi e (con) dispositivi di delimitazione delle zone protette", hanno come unicaconseguenza quella di richiamare l'attenzione dell'operatore presente nella control room, alfine di favorirne un eventuale tempestivo intervento, volto a verificare la fondatezza dellasegnalazione d'allarme sonoro (eventualmente anche azionando "delle telecamere dome,per seguire manualmente l'intruso fino all'arrivo delle guardie giurate") e non comportanol'attivazione di ulteriori funzionalità, quali, ad esempio, l'analisi audio, la geolocalizzazione o ilriconoscimento tramite incrocio con ulteriori specifici dati personali, anche biometrici, oconfronto con una campionatura precostituita.Pertanto, con riferimento alla valutazione di proporzionalità del trattamento dei datipersonali effettuato tramite il sistema intelligente oggetto della verifica preliminare, si ritieneche, allo stato degli elementi acquisiti in atti, il sistema di videosorveglianza così comedescritto e in relazione alle finalità dichiarate non comporti, in concreto, un pregiudiziorilevante per gli interessati, tale da determinare effetti invasivi sulla loro sfera diautodeterminazione e, conseguentemente, sui loro comportamenti.
Provv. 17.09.2015 [doc. web n. 4361006]
© Riproduzione riservata
41
IL GIUDIZIO DEL GARANTE
Sotto il profilo, poi, degli effetti previsti conseguenti all'attivazione dell'allarme, dalladocumentazione trasmessa emerge che le caratteristiche specifiche del sistema divideosorveglianza in esame, nel rilevare il superamento di una barriera virtuale, delimitata dauna linea predefinita, e l'accesso ad una zona interdetta segnalata con la "presenza di idoneicartelli informativi e (con) dispositivi di delimitazione delle zone protette", hanno come unicaconseguenza quella di richiamare l'attenzione dell'operatore presente nella control room, alfine di favorirne un eventuale tempestivo intervento, volto a verificare la fondatezza dellasegnalazione d'allarme sonoro (eventualmente anche azionando "delle telecamere dome,per seguire manualmente l'intruso fino all'arrivo delle guardie giurate") e non comportanol'attivazione di ulteriori funzionalità, quali, ad esempio, l'analisi audio, la geolocalizzazione o ilriconoscimento tramite incrocio con ulteriori specifici dati personali, anche biometrici, oconfronto con una campionatura precostituita.Pertanto, con riferimento alla valutazione di proporzionalità del trattamento dei datipersonali effettuato tramite il sistema intelligente oggetto della verifica preliminare, si ritieneche, allo stato degli elementi acquisiti in atti, il sistema di videosorveglianza così comedescritto e in relazione alle finalità dichiarate non comporti, in concreto, un pregiudiziorilevante per gli interessati, tale da determinare effetti invasivi sulla loro sfera diautodeterminazione e, conseguentemente, sui loro comportamenti.
Provv. 17.09.2015 [doc. web n. 4361006]
© Riproduzione riservata
La conservazione deve essere limitata a poche
ore o, al massimo, alle ventiquattro ore
successive alla rilevazione, fatte salve speciali
esigenze di ulteriore conservazione in relazione
a festività o chiusura di uffici o esercizi . . . .
(§3.4 Provv. 08.04.2010).
PRINCIPIO GENERALE
43© Riproduzione riservata
PECULIARI ESIGENZE TECNICHE O PER LA
PARTICOLARE RISCHIOSITA’ DELL’ATTIVITA’ SVOLTA
AMMESSO UN TEMPO PIU’ AMPIO
NON SUPERIORE ALLA SETTIAMANA
44© Riproduzione riservata
45
A CHI E’ RIMESSA LA CONCRETA VALUTAZIONEDEI TEMPI DI CONSERVAZIONE DELLE IMMAGINI?
© Riproduzione riservata
46© Riproduzione riservata
“La concreta valutazione dei tempi – comunqueinfrasettimanali –reputati necessari per laconservazione delle immagini è direttamenterimessa al titolare del trattamento che, alriguardo, assume ogni responsabilità; ciò,ovviamente, tranne che nell’ipotesi in cuidall’installazione degli impianti audiovisiviall’interno dell’azienda possa derivare, seppur invia indiretta, un controllo a distanza sull’attivitàlavorativa: nel qual caso si rende necessarioespletare anche le procedure di cui all’art. 4della legge n. 300/1970. Pertanto, in assenza diaccordo con le rappresentanze sindacaliaziendali, i tempi di conservazione delleimmagini debbono essere fissati – anche oltre le24 ore, purché non oltre la settimana – dalledirezioni del lavoro territorialmente competenti,anche alla luce dei principi stabiliti dall’art. 11del Codice.”
NOTA GARANTE 02 AGOSTO 2013 IN MERITO ALL’INTERPRETAZIONE DEL PAR. 3.4. DEL PROVV. 08.04.2010
In tutti i casi in cui si voglia procedere a un allungamento
dei tempi di conservazione per un periodo superiore alla
settimana, la richiesta va sottoposta ad una verifica
preliminare da parte del Garante (v. punto 3.2.1.Provv.
08.04.2010).
47© Riproduzione riservata
INIDONEA INFORMATIVA E VIOLAZIONE DELLA DISCIPLINA SUI TEMPI DI CONSERVAZIONE DELLE IMMAGINI
Un form di raccolta dati presente sul sito internet dell’azienda privodell’informativa;
Presenza di un impianto di Videosorveglianza composto da 4 telecamere,rispetto al quale l'informativa apposta è priva dell'indicazione del titolare edelle finalità del trattamento;
Le immagini conservate risalgono a 11 giorni precedenti, ovvero a un periodosuperiore a quello massimo (7 giorni) previsto dal Garante con il provvedimentosulla videosorveglianza dell'8 aprile 2010.
La Guardia di Finanza a seguito di accertamenti presso una sas
RILEVA
CASO PRATICO
48© Riproduzione riservata
la violazione amministrativa prevista dall'art. 161 del Codice, in combinatodisposto con l'art. 164-bis, comma 1, in relazione all'omessa informativa sul sitoweb.
Art. 161. Omessa o inidonea informativa all'interessato1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
Art. 164-bis. Casi di minore gravità e ipotesi aggravate1. Se taluna delle violazioni dicui agli articoli 161, 162, 162-ter, 163 e 164 è di minoregravità, avuto altresì riguardoalla natura anche economica osociale dell'attività svolta, ilimiti minimi e massimistabiliti dai medesimi articolisono applicati in misura pari adue quinti.
€ 2.400,00
49© Riproduzione riservata
la violazione amministrativa prevista dall'art. 161 del Codice, in combinatodisposto con l'art. 164-bis, comma 1, in relazione all'inidonea informativa rispettoal trattamento effettuato mediante il sistema di videosorveglianza;
Art. 161. Omessa o inidonea informativa all'interessato1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
Art. 164-bis. Casi di minore gravità e ipotesi aggravate1. Se taluna delle violazioni dicui agli articoli 161, 162, 162-ter, 163 e 164 è di minoregravità, avuto altresì riguardoalla natura anche economica osociale dell'attività svolta, ilimiti minimi e massimistabiliti dai medesimi articolisono applicati in misura pari adue quinti.
€ 2.400,00
50© Riproduzione riservata
la violazione amministrativa prevista dall'art. 162, comma 2-ter, del Codice per l'inosservanza del provvedimento sulla videosorveglianza (punti 3.3 e 3.4 relativi ai tempi di conservazione delle immagini).
Art. 162, comma 2 ter . In caso di inosservanza dei
provvedimenti di prescrizione dimisure necessarie o di divieto dicui, rispettivamente, all'articolo154, comma 1, lettere c) e d), èaltresì applicata in sedeamministrativa, in ogni caso, lasanzione del pagamento di unasomma da trentamila euro acentottantamila euro
Art. 164-bis. Casi di minore gravità e ipotesi aggravate1. Se taluna delle violazioni dicui agli articoli 161, 162, 162-ter, 163 e 164 è di minoregravità, avuto altresì riguardoalla natura anche economica osociale dell'attività svolta, ilimiti minimi e massimistabiliti dai medesimi articolisono applicati in misura pari adue quinti.
€ 12.000,00
51© Riproduzione riservata
IL GARANTE HA INGIUNTO ALL’AZIENDA DI PAGARE LA SOMMA COMPLESSIVA DI
€ 16.800,00
entro 30 giorni dalla notificazione dell’ordinanza di ingiunzione, penal'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge24 novembre 1981, n. 689.
NB: Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso l’ordinanza ingiunzione può essereproposta opposizione all'autorità giudiziaria ordinaria.
PROVV. 13 MAGGIO 2015 n.295 [doc web n. 4215422]
52© Riproduzione riservata
LA RESPONSABILITA’ DEGLI INSTALLATORI
La responsabilità di coloro i quali operano di fatto nell’ambito dell’installazione di impianti di sicurezza, quindi – a titolo meramente esemplificativo – progettisti, installatori e/o manutentori.
53© Riproduzione riservata
LA RESPONSABILITA’ CIVILE EXTRACONTRATTUALE
L’installatore è tenuto, in ossequio ad un generico obbligo didiligenza e vigilanza, anche a controllare, nei limiti delle suecognizioni tecniche, la bontà del progetto e delle istruzioniimpartite dal committente e, se del caso, è tenuto asegnalarne gli errori.
54© Riproduzione riservata
UN CONSIGLIO PRATICO
TERMINATA L’INSTALLAZIONE:
1) EFFETTUATE UN CONTROLLO ACCURATO DEI REQUISITI LEGALI DELL’IMPIANTO;2) SE RICHIESTO DAL COMMITTENTE, RILASCIATE LA DICHIARAZIONE DI
CONFORMITA’ PREVISTA DALLA REGOLA 25 DELL’ ALLEGATO “B” AL CODICE PRIVACY (FATE ATTENZIONE CHE QUANTO DICHIARATO CORRISPONDA ALLA REALE CONFIGURAZIONE DELL’IMPIANTO).
55© Riproduzione riservata
56
PER APPROFONDIRE IL TEMA DELLA RESPONSABILITA’ DEGLI OPERATORI DEL SETTORE DELLA VIDEOSORVEGLIANZA E’ ATTIVO UN CORSO SPECIFICO.
VAI SU: http://www.ethosacademy.it/formazione-security-safety-corso.asp?c=1&id=10
© Riproduzione riservata
Avv. Marco SoffientiniDocente Università degli Studi di Roma UnitelmaSapienzaAutore IPSOA e Banca Dati IGF Web GIAPPICHELLI
Privacy Officer certificato TÜV Italia n° Reg. CDP 015
Coordinatore Nazionale Comitato Scientifico FederprivacyFellow Istituto Italiano per la Privacy e la valorizzazione dei dati
https://it.linkedin.com/in/marcosoffientini
@msoffientini1
GRAZIE PER LA CORTESE ATTENZIONE
57
58
Marco Soffientini è un avvocato, esperto di diritto delle nuove tecnologie, privacy e data
protection
Coordinatore nazionale del Comitato Scientifico di Federprivacy e delegato provinciale di Arezzo
per la medesima associazione. Laureato in Giurisprudenza all’Università di Perugia, avvocato
del Foro di Arezzo, è socio fondatore dal 2001 dello Studio legale Rosadi – Soffientini Associati.
Esperto di Privacy e Diritto delle Nuove Tecnologie, contrattualistica e proprietà industriale, è
membro fellow dell’Istituto Italiano per la Privacy e “Privacy Officer e Consulente Privacy”
certificato con TÜV Italia. Svolge attività di consulenza e assistenza in diritto dell’information
technology, privacy e diritto d’impresa a primarie società nazionali e multinazionali. Autore di
articoli per vari periodici, come “Il Corriere della Privacy”, “Diritto e Pratica del Lavoro”, “Diritto
e Pratica del Lavoro Oro”, “a&s Italy”, “vigilanzaprivataonline.com” e per la banca dati IGFWeb
di Giappichelli editore, è anche autore dei seguenti testi, editi da IPSOA: “Privacy Officer: La
figura chiave della data protection europea” pubblicato nel 2013 e “Privacy – Protezione e
Trattamento dei dati – del 2015. Sempre per IPSOA, ha curato la stesura dei seguenti e-book:
“privacy e condominio”, “privacy e ordini professionali” e “Videosorveglianza sui luoghi di
lavoro”. Relatore in vari convegni e corsi in tema di protezione dei dati personali, svolge
regolarmente attività di docenza per l'Università degli Studi di Roma Unitelma Sapienza nel
corso di perfezionamento teorico-pratico: “Investigazioni private, pubbliche, informazioni
commerciali e della sicurezza privata”, per l’Istituto di formazione IFOA e per la scuola di
formazione Ethos Academy. Ha svolto docenze per: l’Università degli Studi “Guglielmo Marconi”
nel corso di perfezionamento in Scienze delle Investigazioni Private e della Sicurezza; Università
degli Studi di Torino “SAA School of Management”, nel corso Gestione e trasparenza dei dati
informatici delle pubbliche amministrazioni (open data) e Università degli Studi di Milano, nel
corso di laurea in giurisprudenza sulle nuove professionalità giuridiche.
Contatti: avv.soffientini@studiolegalesoffientini.com;