GDPR e videosorveglianza

Individuazione e protezione del trattamento dei dati personali

Con l’introduzione del General Data ProtectionRegulation (GDPR UE 679/16) si è finalmente arrivati ad un’unica normativa sulla privacy obbligatoria per le aziende di tutti gli stati membri dell’Unione Europea.
Il Regolamento Europeo è entrato in vigore dal maggio 2016, da quel momento tutte le aziende, nonché le organizzazioni, anche governative, hanno dovuto alla nuova normativa, risultando, contrariamente, passibili di rigide sanzioni.
Il GDPR ha introdotto complesse ed articolate novità rispetto alla normativa italiana sulla privacy, elevando il concetto di “trattamento” del dato personale a quello di “protezione” del dato e prevedendo, a tal fine, l’adozione o l’integrazione di specifiche misure tecnologiche ed organizzative.
L’operazione di adeguamento richiede un intervento di natura multidisciplinare, che permetta l’analisi del dato sotto diversi profili, fra loro complementari, ed elabori la dotazione necessaria all’esercizio di un controllo più saldo sui dati e sulle pratiche di gestione: la cosiddetta Data Governance.
In parole povere il l’UE con il GDPR ci dice: “Come la privacy sia un diritto oramai riconosciuto a livello mondiale, ogni paese ha emanato le proprie normative a riguardo, adesso, se sei un’azienda di un paese UE, devi dimostrare di avere acquisito il diritto per gestire dati personali, inoltre devi rendere evidente quali sono i dati personali che gestisci, che diritto ( liceità ) hai per gestirli, in che modo li gestisci, come li proteggi e con quali mezzi il proprietario del dato ( la persona fisica ) può richiederti di far valere i propri diritti”.

Registro dei trattamenti dei dati personali

Cos’è il Registro dei Trattamenti dei Dati Personali

Il Registro dei Trattamenti dei Dati Personali è una delle novità, adempimenti, introdottedal GDPR. È il documento che i titolari dei dati personali trattati redigono, ed attraverso il quale devono espongono chiaramente tutte le informazioni relative alla gestione dei trattamenti stessi.
Il registro può essere creato in forma scritta o elettronica e al suo interno dovranno essere riportati i dettagli delle attività svolte in merito ai dati personali. Ad esempio dovranno essere indicate le modalità e gli scopi del trattamento, le categorie di dati trattati, le misure di sicurezza adottate. Deve essere sempre aggiornato e sottoposto a revisione per tenere traccia di ogni eventuale nuovo trattamento dei dati o di modifiche a quelli esistenti.
L’obbligatorietà della redazione del registro è indicata chiaramente negli ARTT. 30, 9 e 10 del regolamento. Dall’attenta analisi di questo articoli si evince che Il registro è obbligatorio per le imprese o organizzazioni con più di 250 dipendenti, ovvero quando vi sono meno di 250 dipendenti, deve essere comunque redatto se si effettua un trattamento dei dati di persone fisiche:

  • in modo non occasionale (ad es. un servizio web che raccoglie dati dei propri utenti);
  • con potenziali rischi per diritti e libertà dell’interessato (ad es. il tracciamento della posizione geografica);
  • che riguarda dati sensibili o relativi a condanne penali o reati (ad es. dati che possono ricondurre agli orientamenti politici, religiosi o sessuali degli interessati).

È abbastanza evidente quindi, che con l’aggiunta di queste specifiche il registro dei trattamenti diventa obbligatorio per il 90% delle aziende ed anche nei casi in cui non ci sia l’obbligatorietà evidente, predisporre un registro dei trattamenti è sempre consigliato pertenere sempre traccia delle attività svolte ed avviare così un’attività di mappatura dei dati trattati (ad es. annotare nuovi trattamenti, modifiche nei destinatari extra-UE, cessione di trattamenti, etc.), ma soprattutto per poter mostrare al Garante Privacy (se lo richiede) la propria conformità al principio di responsabilizzazione richiesto dal GDPR.

Secondo il GDPR, sia il titolare del trattamento (colui che decide finalità e mezzi) sia, se nominato dal titolare e quindi presente il suo responsabile (colui che tratta i dati per conto del Titolare), devono redigere il registro e tenerlo sempre in costante aggiornamento. Se si effettuano trattamenti sia come titolare che come responsabile, dovranno essere redatti due registri distinti e separati. Il registro del responsabile contiene informazioni diverse rispetto a quello del titolare: ad esempio andrà indicato per ogni trattamento il titolare per conto del quale sarà effettuato il trattamento a non dovranno essere specificate alcune informazioni sui trattamenti che saranno state già inserite nel registro del titolare.
Ma vediamo quali sono i dati fondamentali che il modello di Registro dei trattamenti deve contenere.

È obbligatorio che nel registro del titolare vengano indicati:

  • Dati di contatto: per identificare il titolare e se presenti, il responsabile del trattamento, eventuali Rappresentanti del titolare,il responsabile della protezione dei dati (DPO);
  • finalità del trattamento: gli scopi per cui si raccolgono i dati personali (per esempio fini statistici, profilazione dell’utente, gestione dei pagamenti, etc.).
  • base giuridica del trattamento: per specificare il motivo della legittimità del trattamento dei dati (es. basato sul consenso dell’interessato, necessario per rispettare un obbligo di legge, etc.;
  • periodo di conservazione dei dati: va specificato per quanto tempo vengono conservati i dati;
  • categorie di dati: per specificare quali dati personali vengono raccolti e trattati;
  • categorie di interessati e di destinatari dei dati: l’elenco dei soggetti da cui vengono raccolti i dati e, se presenti, di quelli a cui verranno comunicati (specificando se si trovano in paesi extra UE);
  • misure di sicurezza adottate: le tutele tecniche e organizzative che sono state adottate per prevenire rischi di distruzione, perdita, o di accesso non autorizzato ai dati personali.

Come abbiamo visto, il registro dei trattamenti è un documento fondamentale nella gestione della privacy, potremmo paragonarlo al DVR in materia di sicurezza sul lavoro. È per questo motivo che una redazione precisa ed una puntuale revisione diventano tanto importanti.

Noi dalla Tutor Consulting, siamo in grado di seguirvi, con la professionalità che da sempre ci contraddistingue, in tutte le fasi necessarie per una perfetta redazione e gestione del registro dei trattamenti.

 

Documentazione ed informativa privacy

Il regolamento europeo (GDPR ) prevede, che in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima o contestualmente alla raccolta del loro consenso, alcune informazioni, come indicato nell’Art. 12. Tale informazione può avvenire attraverso vari strumenti, documentazione cartacea, esposizione online, invio digitale, ed altri ancora, tutta questa documentazione sia essa cartacea, sia essa digitale rientra nell’attività chiamata: “informativa sulla privacy”.
Lo scopo essenziale dell’informativa è quello di comunicare all’interessato o al cittadino anche prima che diventi interessato (cioè prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento.L’informativa è finalizzata, non tanto nel rispetto del diritto individuale ad essere informato, quanto al dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti stessi, ma anche, di essere in grado di comprovare una corretta gestione della privacy, in qualunque momento a seguito di una qualsiasi richiesta ricevuta dagli organismi preposti al controllo, (principio di accountability).
L’informativa ha anche lo scopo di permettere all’interessato di esprimere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l’informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del consenso.
L’importanza di una corretta informativa ci viene dimostrata dalla sanzione elevata dal garante della privacy, alla società Deliveroo, per mancata trasparenza nel trattamenti dei dati dei propri rider, sanzione che ammonta a ben 2,5 milioni di Euro, (di seguito il link alla pagina dell’ANSA https://www.ansa.it/sito/notizie/economia/2021/08/02/garante-privacy-sanziona-deliveroo-per-25-milioni_97895350-0aa3-4d6d-8668-d274de171ed5.html).
Anche in questa fase noi della , grazie alla comprovata esperienza dei nostri esperti in materia, possiamo aiutarvi in una gestione che vi metta al riparo da possibili sanzioni, ne è la dimostrazione, una Società di recupero crediti, che ci ha affidato l’incarico di gestire la compliance della propria privacy, dopo che, a causa di una cattiva operatività dei professionisti a cui si era affidata precedentemente, l’indice di affidabilità ottenuto a seguito delle verifiche del garante, era sceso al di sotto della soglia del 75%, minimo ammesso; a seguito del nostro intervento, questo indice è salito al 93,7%, il più alto mai ottenuto dal nostro cliente.

Videosorveglianza e privacy

Anche in materia di videosorveglianza, il garante per la protezione dei dati, in accordo con il comitato europeo per la protezione dei dati, è intervenuto a fissare e dettare delle regole precise per la gestione di tali sistemi e dei dati con essi trattati. Sono stati indicati tra le altre cose, l’esatta forma e contenuti dei cartelli di avviso, le regole per la gestione e la conservazione dei dati raccolti (video, foto, ecc. ), la liceità per la raccolta dati ed altro ancora.
Il Garante ha chiarito, che l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione dell’impianto, e che i dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite. In base al principio di responsabilizzazione, poi, spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, inoltre, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.
In merito all’informativa agli interessati, l’Autorità ha chiarito che può essere utilizzato un modello semplificato (esempio un specifico cartello) contenente le informazioni più importanti e collocato prima di entrare nell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera.
Di particolare importanza, infine, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate: salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. Al riguardo il Garante ha sottolineato che i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni e che quanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.
Tutte queste direttive, più altre ancora, sono state inserite nelle Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, Versione 2.0, adottato ed entrato ufficialmente in vigore il 29 gennaio 2020.
Ricordiamo però, che la videosorveglianza nei luoghi di lavoro è comunque normata e soggetta al rispetto di quanto previsto dalla legge 300/70 ( statuto dei lavoratori ) e SMI.
Questo fa si che un sistema di videosorveglianza possa essere sottoposto a controlli e quindi passibile di sanzioni in caso di irregolarità, sia per quanto riguarda la privacy dal garante della privacy, sia per quanto riguarda i diritti del lavoratore dall’Ispettorato del lavoro.
Di conseguenza, è evidente la necessità di individuare un equilibrio fra interessi contrapposti di rango costituzionale che da un lato pongono le aspettative delle aziende in materia di sicurezza, ma dall’altro puntano alla tutela della privacy ed a quella dei lavoratori.
Il team della Tutor Consulting è in grado di gestire correttamente entrambi gli aspetti evitando così problemi legali alle aziende che vogliano ricorre a tale strumento; a tal proposito possiamo citare vari interventi fatti dai nostri esperti a risoluzione, per varie aziende nel torinese, di sanzioni ricevute a seguito di ispezioni, per una non corretta gestione della videosorveglianza nei propri ambienti di lavoro.