Videosorveglianza e GDPR: obblighi e adempimenti

Videosorveglianza e GDPR - obblighi e adempimenti - ILLUMINOTRONICA

Il GDPR, entrato in vigore il 25 maggio 2018, è il nuovo Regolamento Europeo relativo al trattamento dei Dati Personali. Abbiamo chiesto ad Alessandro Basile e a Giacomo Giordano – consulenti GDPR, partner dello Studio Legal DS  – cosa cambia e quali sono gli obblighi da rispettare quando si installano degli impianti di videosorveglianza. Ecco quanto emerso.

Indice degli argomenti:

  1. GDPR: cosa cambia?
  2. Il DPO – Data Protection Officer
  3. GDPR: a chi si applica?
  4. Videosorveglianza e GDPR: come fare?
  5. Cartello area videosorvegliata
  6. Videosorveglianza nelle abitazioni private: adempimenti normativi
  7. Videosorveglianza nei negozi e nei luoghi aperti al pubblico: adempimenti normativi
  8. Videosorveglianza nei luoghi di lavoro: adempimenti normativi
  9. Videosorveglianza in città: adempimenti normativi
  10. GDPR: un costo o un’opportunità?

GDPR: cosa cambia?

I due principali macro-cambiamenti relativi al GDPR sono il principio di auto responsabilizzazione del titolare del trattamento (chi effettua il trattamento dati deve auto valutarsi di essere compliant) e le sanzioni, che possono arrivare fino a 20 milioni di euro.

Ci sono poi alcune novità documentali minori, ad esempio il registro del trattamento che serve per segnare i dati che si trattano e i trattamenti che si stanno effettuando; la valutazione di impatto privacy qualora ci sia, ad esempio, una profilazione di trattamenti automatizzati; la nomina responsabile trattamento che prima era una mera nomina, mentre adesso è un vero e proprio contratto. Il registro del trattamento dati che è obbligatorio dai duecentocinquanta dipendenti in su, qualora si effettuino determinati trattamenti.

Questo non significa che non si possa fare in ogni caso, come ci spiega Alessandro Basile:

Io tendenzialmente quando faccio la compliance privacy tendo sempre a dare il registro e a formare dipendenti e dirigenti su quest’ultimo. In questo modo non solo l’azienda fa vedere che sta facendo un’autovalutazione più completa, ma può anche controllare meglio i processi aziendali e sapere da dove effettivamente arrivano i dati”.

Il DPO: Data Protection Officer

Un’altra grande novità è la figura del DPO (Data Protection Officer), che deve vigilare sul rispetto del regolamento.

Più che una figura, io considero il DPO un ufficio perché deve avere competenze sia manageriali, sia legali, ma anche competenze tecnico-informatiche per gestire la sicurezza di tutta l’infrastruttura del trattamento dei dati. Ovviamente, non esiste una persona che sia così competente da coprire tutte queste tematiche.  Ad esempio, noi ci occupiamo di fare da DPO esterni, ci occupiamo della parte dirigenziale e della parte legale, poi ci affidiamo ad esterni per la parte tecnica e informatica” – ha spiegato Alessandro Basile.

Il DPO è obbligatorio in alcuni casi, mentre in altri no. Quando non è obbligatorio però non significa che non deve essere nominato. Se la società vede che ha bisogno di una figura esperta in questo settore, o se magari sta crescendo e quindi prevede che potrebbe servirle a breve, può nominarlo per portarsi avanti.

GDPR: a chi si applica?

Il regolamento GDPR si applica a tutte le imprese. Non si fa riferimento a micro, medie e grandi aziende, ma si fa riferimento alla protezione del dato, alla sua circolazione e al tipo di trattamenti che si effettuano.

È il quantitativo di dati che obbliga ad avere un DPO, non c’entrano le dimensioni dell’impresa. Ad esempio, un’azienda con 50 dipendenti può non aver bisogno del DPO perché produce bulloni, mentre un’altra società, magari composta solo da un titolare, ma che fa marketing in maniera automatizzata, si deve dotare di questa figura” – conferma Alessandro Basile.

Il GDPR dunque si applica a tutti e il DPO è obbligatorio per tutte le PA, nonché per tutti quelli che trattano un grande quantitativo di dati.

Videosorveglianza e GDPR: come fare?

Cartello area videosorvegliata

La prima cosa che occorre per adeguarsi al GDPR – sia per privati, sia per aziende e PA – è aggiornare i cartelli. Il cartello di videosorveglianza sarà sempre quello, cambia la scritta relativa alla legge di riferimento.

Dal 19 settembre gran parte del codice privacy è stato modificato. La vecchia normativa italiana non è stata abrogata in toto, è in parte ancora vigente.

Per completezza quindi, bisognerebbe aggiungere sui cartelli per la videosorveglianza il regolamento GDPR, oltre alla normativa italiana con i provvedimenti del garante.

Videosorveglianza nelle abitazioni private: adempimenti normativi

Per quanto riguarda i privati, se le telecamere sono a circuito chiuso non cambia nulla, non c’è bisogno di effettuare una compliance al GDPR. Si fa riferimento all’utilizzo dati per uso domestico, quindi non legati quindi alla compliance al GDPR.

Se le immagini invece sono presso una società di videosorveglianza, quest’ultima dovrà essere GDPR compliant.

Ricordiamo che le riprese possono essere effettuate solo all’interno della proprietà privata, sia casa sia giardino. Le telecamere non devono puntare su zone esterne alla proprietà privata.

Per quanto riguarda il condominio, è l‘amministratore condominiale che si deve occupare di gestire la videosorveglianza.  

Videosorveglianza nei negozi e nei luoghi aperti al pubblico: adempimenti normativi

La procedura è più o meno la stessa di prima del GDPR, cambia solo come regolare i rapporti con gli esterni. Se la telecamera è a circuito chiuso non c‘è compliance, se invece le immagini vengono trasferite al di fuori del negozio o della catena di negozi, bisognerà regolare i rapporti di trattamento dati con chi fornisce e conserva la videosorveglianza.

Quello che devono fare i negozi è uguale a prima del GDPR. Una regola generale da ricordare e che vale per tutti i luoghi pubblici, inclusi gli store, è che il cartello di videosorveglianza deve essere posto in modo che le persone lo vedano prima di essere riprese.

Negli store ci sono solitamente vetrine che danno sulla strada quindi la practice non è tanto mettere il cartello dentro, magari dietro la cassa, ma appenderlo fuori sul muro del negozio, prima dell’ingresso, per avvisare che si è videosorvegliati. Poi si possono mettere le telecamere, all’interno. Ovviamente non si possono effettuare riprese dentro i camerini.

Di fondamentale importanza relativamente alla registrazione delle immagini è il periodo di conservazione: le immagini non possono essere conservate per più di 48 ore a meno che non vi sia una specifica necessità di sicurezza. In questo caso bisognerà interpellare preventivamente il garante per chiedere l’autorizzazione.

Videosorveglianza nei luoghi di lavoro: 
adempimenti normativi

Anche nei luoghi di lavoro occorre aggiornare la cartellonistica, come per i luoghi pubblici, anche perché una società solitamente è anche aperta al pubblico.

In materia di privacy, invece, con l’entrata in vigore del GDPR sostanzialmente non cambia nulla, in quanto l’installazione di sistemi di videosorveglianza deve essere una conseguenza di una istanza posta all’Ispettorato del Lavoro. La società deve comunicare all’Ispettorato che si sta dotando di un sistema di videosorveglianza.

Ci deve essere un accordo tra l’azienda e i lavoratori stessi. Tale accordo deve essere ratificato in una sede protetta, quale appunto può essere quella di un sindacato o di un’associazione di categoria. Il concetto è che se si vuole fare videosorveglianza sui luoghi di lavoro bisogna ottenere il consenso dei lavoratori prima, tramite accordo o tramite l’istanza all’ispettorato del lavoro” – conferma Giacomo Giordano.

L’autorizzazione all’installazione deve essere quindi fatta prima dell’istallazione stessa. Se ci sono già videocamere e non è stata fatta una autorizzazione preventiva, l’impresa è in fallo, ma è comunque possibile rimediare andando a ratificarlo in sede sindacale.

Nell’informativa data ai lavoratori uno dei trattamenti che deve essere comunicato è la videosorveglianza, e il consenso deve essere preventivo anche da parte del lavoratore. Attenzione però, non vale solo ed esclusivamente l’informazione data al dipendente se non vi è un’istanza fatta con l’Ispettorato o un accordo sindacale.

Per quanto riguarda il trattamento dei dati dipende se il sistema di videosorveglianza è a circuito chiuso o se le immagini vengono trasmesse ad una società che si occupa di videosorveglianza. In quest’ultimo caso la compliance in materia privacy, e quindi l’adeguamento per il trattamento e l’utilizzo dei dati, deve essere sia della società che ha installato il sistema della propria nella propria sede, sia della società che riceve le immagini.

Le immagini sono un dato personale che potrebbe essere una categoria particolare di dato, anche altamente sensibile. Ad esempio, dalle immagini si può vedere il colore della pelle e pertanto l’origine razziale.  Per questo motivo chi effettua la videosorveglianza dovrà garantire – avendo dati sensibili in mano – la sicurezza del dato a livello tecnico” – ci spiega Giacomo Giordano.

Occorre ricordare che i sistemi di videosorveglianza possono essere posti all’interno dei luoghi di lavoro solo ed esclusivamente per un interesse economico dell’azienda, per ragioni organico – produttive, o per garantire la sicurezza dei lavoratori in caso di attività ad alto rischio. Le telecamere non possono essere installate per un controllo diretto sul lavoratore. In questo caso non si fa riferimento alla normativa sulla privacy, ma all’art. 4 dello Statuto dei Lavoratori che stabilisce che è assolutamente vietato sorvegliare a distanza i lavoratori, a meno che non vi siano esigenze di sicurezza.

Videosorveglianza in città: adempimenti normativi

I comuni videosorvegliati devono quindi apporre il cartello “città videosorvegliata” al loro ingresso per dire che sono presenti telecamere nel comune. Per quanto riguarda le telecamere per monitorare il traffico o per la sorveglianza di luoghi pubblici per motivi di sicurezza, basta informare che la città è videosorvegliata. Si fa riferimento qui ad una informazione preventiva sull’utilizzo dei sistemi di videosorveglianza, per cui il cittadino dà il proprio consenso per finalità quali la sicurezza pubblica. Per ogni singola telecamera, inoltre, occorre indicare il tipo di finalità. I sistemi di videosorveglianza non potranno essere utilizzati per finalità diverse da quelle per cui sono state previste.

La scritta da sola però non basta, perché se per caso ci sono degli autovelox occorre specificare che verrà ripresa la targa e quindi, conseguentemente, il nome del proprietario dell’autoveicolo.

Con l’entrata in vigore del GDPR, il trattamento dei dati per le PA diventa più difficile, perché sono obbligate dalla normativa ad avere il DPO e questo sicuramente complica il processo. Sarà il DPO a valutare la compliance per quanto riguarda il trattamento dei dati.

Oltre alla nomina del DPO, le PA devono procedere a tutta una serie di istanze da porre in essere per adeguarsi alla normativa.

GDPR: un costo o un’opportunità?

Per quelli che non hanno a che fare con le nuove tecnologie, ovvero la maggior parte delle PMI italiane, quelle di stampo classico, l’entrata in vigore del GDPR sicuramente rappresenta un costo. A meno che non si voglia ristrutturare tutto il trattamento dati in ottica di una crescita aziendale per quanto riguarda le vendite, il marketing, il sales, etc. A quel punto la normativa può trasformarsi in una grande opportunità.

Di Videosorveglianza e Privacy ne parleremo a ILLUMINOTRONICA 2018, la mostra convegno dedicata al mercato dell’integrazione che si terrà dal 29 novembre all’1° dicembre 2018 alla Fiera di Bologna. Registrati subito. Ti aspettiamo!

Designed by Freepik