FAQ legge privacy e DPO
Ecco le domande che i nostri utenti ci hanno posto di frequente in merito a temi sulla legge privacy e sul DPO.
Clicca sulla domanda che ti interessa per leggere la risposta dei nostri consulenti!
Se non trovi qui la risposta che cerchi, contattaci per porci la tua domanda specifica.
GDPR e Accountability
Cosa Significa GDPR?
GDPR è l’acronimo di General Data Protection Regulation ovvero regolamento generale per la protezione dei dati. In Italia viene tradotto con Regolamento Europeo privacy. E’ la normativa europea che da maggio 2018 si applica a tutti gli stati membri e riguarda la protezione dei dati personali delle persone fisiche.
Cosa si intende con Accountability?
Il principio di accountability è uno dei principi base del nuovo GDPR. Riguarda la responsabilità del Titolare che non viene visto come mero esecutore di una legge prescrittiva ma risulta il responsabile delle misure operative e tecniche messe in atto per la tutela dei dati che tratta.
Chi è obbligato al GDPR?
Qualsiasi azienda, libero professionista o persona fisica che tratti dati personali per uso “non domestico” è obbligato ad ottemperare a quanto previsto dal GDPR.
E’ obbligata ad attemperare a quanto previsto dal GDPR “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
Quali sono i dati personali di un individuo?
I dati personali di una persona fisica sono definiti come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Quali sono i rischi in caso di mancato adeguamento al GDPR?
Il GDPR – Regolamento Europeo Privacy – prevede l’inversione dell’onere della prova (art. 2050 Codice Civile) ovvero se il Titolare è in grado di dimostrare che non è in alcun modo «colpevole» dell’evento dannoso, gli viene riconosciuto l’esonero della responsabilità.
Qualora non sia possibile dimostrare la “non colpevolezza”, le sanzioni possono arrivare fino a € 10.000.000,00 (o fino al 2% del fatturato se maggiore di 10.000.000) oppure Fino a € 20.000.000,00 (o fino al 4% del fatturato se maggiore di 20.000.000) in base alla violazione rilevata e la livello della stessa.
Quando si applica il GDPR?
Ambito Territoriale – Il Regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un Titolare o di un Responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
Il Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione anche se effettuato da un Titolare del trattamento o da un Responsabile del trattamento che non è stabilito nell’Unione quando le attività di trattamento riguardano:
- l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Ambito materiale – Il Regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Il Regolamento NON si applica:
- Attività che non rientrano nel diritto dell’Unione come la Sicurezza nazionale;
- Politica Estera e di difesa comune dell’Unione;
- Prevenzione, indagine, accertamento o perseguimento di reati;
- Attività esclusivamente personale o domestica (rubrica personale, fruizione di social network, mailing personale …).
Videosorveglianza
È possibile installare delle videocamere perimetrali per il monitoraggio delle aziende 24/7?
SITUAZIONE:
Nella mia azienda sono state installate una serie di videocamere, perimetrali esterne all’edificio ed interne nei reparti di produzioni e negli uffici, adibite al monitoraggio di tutto l’ambiente lavorativo 24 su 24 ore e 7 su 7 giorni.
RISPOSTA:
Per quanto riguarda le telecamere esterne, rientrano nei motivi di sicurezza e salvaguardia del patrimonio aziendale e ne è concessa l’installazione (anche senza autorizzazione da parte dell’ITL). Relativamente a quelle interne, con particolare riferimento a quelle installate nell’ufficio tecnico, invece -ammesso e non concesso che sia stata rilasciata l’autorizzazione- ciò che viene videosorvegliato è il lavoro svolto dai dipendenti e, quindi, dalla tua descrizione, sembra non rientrare nelle categorie espresse precedentemente. Questo, in contrasto con le garanzie previste dallo Statuto dei Lavoratori. In base alle informazioni a nostra disposizione possiamo quindi dire che si tratta di un’attività di videosorveglianza illecita. Per poterle installare correttamente è necessario ottenere un accordo sindacale (se presente commissione interna) o l’autorizzazione dell‘ Ispettorato Territoriale del Lavoro (in assenza di sindacato interno o in caso di parere negativo). Altro punto critico è la durata delle registrazioni per cui, salvo casi particolari, è richiesta la cancellazione delle immagini entro le 48 ore.
Come si ottiene l’autorizzazione nelle piccole aziende?
SITUAZIONE:
Siamo una piccola officina composta da tre soci e un dipendente, come funziona il discorso del sindacato interno?
RISPOSTA:
In assenza di una rappresentanza sindacale interna si predispone una richiesta di autorizzazione all’Ispettorato Territoriale del Lavoro. Tale richiesta, corredata da tutta la documentazione del caso (quale planimetria, posizione telecamere, angolo di visuale, modalità di registrazione e di conservazione delle immagini, ecc.) viene valutata dall’ITL che può:
1) Ritenere la documentazione sufficiente ed autorizzare le telecamere
2) Chiedere documentazione integrativa prima di autorizzare
3) Effettuare un sopralluogo con suoi operatori per verificare quanto dichiarato prima di autorizzare.
Si ricorda che è possibile installare le telecamere solo dopo l’autorizzazione e non prima, anche se si installano e si tengono spente.
Come si ottiene l’autorizzazione nelle piccole aziende?
SITUAZIONE:
Vorrei installare una telecamera nella parte esterna atta al parcheggio dei camion e alle operazioni di carico e scarico merci per verificare la fondatezza degli allarmi che ricevo nei periodi di chiusura.
RISPOSTA:
La prima valutazione da fare è se la telecamera possa o meno inquadrare i lavoratori durante lo svolgimento della loro mansione. Secondo la descrizione che ci hai inviato inquadrerebbe il piazzale dove avviene lo scarico quindi potenzialmente potrebbe riprendere i lavoratori. In questo caso prima di installare le telecamere è necessario fare richiesta all’ITL (Ispettorato Territoriale del Lavoro) e poi procedere con le dovute segnalazioni ai dipendenti. Non comporta grosse differenze il fatto che la telecamera dovrebbe essere attivata solo durante i periodi di chiusura o in assenza di personale perché il fatto che esista rende possibili le riprese in qualunque momento.
Posso installare videocamere nel parcheggio aziendale?
SITUAZIONE:
Vorrei installare una telecamera nella parte esterna atta al parcheggio dei camion e alle operazioni di carico e scarico merci per verificare la fondatezza degli allarmi che ricevo nei periodi di chiusura.
RISPOSTA:
La prima valutazione da fare è se la telecamera possa o meno inquadrare i lavoratoridurante lo svolgimento della loro mansione. Secondo la descrizione che ci hai inviato inquadrerebbe il piazzale dove avviene lo scarico quindi potenzialmente potrebbe riprendere i lavoratori. In questo caso prima di installare le telecamere è necessario fare richiesta alla DTL (Direzione Territoriale del Lavoro) e poi procedere con le dovute segnalazioni ai dipendenti.
Non comporta grosse differenze il fatto che la telecamera dovrebbe essere attivata solo durante i periodi di chiusura o in assenza di personale perché il fatto che esista rende possibili le riprese in qualunque momento.
Come funziona per le ditte individuali?
SITUAZIONE:
È necessario chiedere l’autorizzazione anche quando e una ditta individuale e l’unico lavoratore e il datore di lavoro?
RISPOSTA:
L’installazione di telecamere nel caso in cui si tratti di un’azienda individuale con il datore di lavoro come unico dipendente non necessita di autorizzazione. Bisognerà invece preoccuparsi di esporre apposita segnaletica e di rispettare le modalità di conservazione delle immagini secondo quanto previsto dalla normativa.
Videocamere in condominio, come comportarsi?
SITUAZIONE:
Ho installato una videocamera nel mio condominio che riprende la mia auto e l’ambiente circostante, con cartello informativo. Cosa rischio?
RISPOSTA:
Nel caso specifico occorrerebbe avere qualche informazione in più. In particolare, bisognerebbe comprendere bene cosa si intende con “ambiente circostante”. Se per ambiente circostante si intende anche il suolo pubblico, questo rappresenta un serio problema ed è illecito.
In secondo luogo, occorre capire chi sia il proprietario dell’immobile e quindi -in quanto titolare dei dati relativi alle riprese- se tu possa videosorvegliare l’area (previa affissione di specifica informativa). Occorrerebbe, inoltre, capire se vi è un amministratore. In tali ipotesi ci sarebbero delle questioni aggiuntive da prendere in considerazione.
Come deve comportarsi chi installa sistemi di videosorveglianza?
SITUAZIONE:
Come può l’installatore tutelarsi in caso di responsabilità qualora chi è tenuto alla osservanza della privacy non ponga in essere gli adempimenti necessari?
RISPOSTA:
Nella pratica si possono rilevare diversi profili:
1) SEMPLICE INSTALLAZIONE: L’azienda procede con l’installazione e la configurazione delle apparecchiature di Videosorveglianza (Telecamere, DVR, …). Terminata l’installazione consegna le “chiavi” del sistema al cliente (compresa la possibilità del cliente di creare una sua password di accesso ai sistemi di videosorveglianza) e non può più accedere al sistema di videosorveglianza neppure da remoto. In tal caso la responsabilità dell’installatore è pari a zero in quanto ha svolto una semplice attività di installazione ma non è né titolare né responsabile del trattamento dei dati che saranno raccolti dalle telecamere.
Pur essendo mero esecutore l’installatore dovrebbe almeno indicare (per deontologia professionale) all’azienda che ha installato le telecamere che deve provvedere a mettersi in linea con la normativa privacy (cartelli, regolamento videosorveglianza, eventuale istanza alla DTL o accordo sindacale, …)
2) INSTALLAZIONE e ASSISTENZA CONTINUA: Diversamente dal punto 1 l’azienda installa il sistema di videosorveglianza ma mantiene le password di accesso al sistema (magari anche da remoto) e svolge delle attività per il cliente. Ad esempio viene chiamata dal cliente quando è necessario visualizzare le immagini. In tal caso è Responsabile del Trattamento ed ha una serie di responsabilità ed adempimenti in ambito privacy che deve seguire. Infine, nel caso possa accedere in autonomia al sistema con password di amministrazione si configura l’attività di “Amministratore di sistema” così come previsto dall’omonimo Provvedimento del Garante Privacy e relativi adempimenti.
3) INSTALLAZIONE E SERVIZIO IN AUTONOMIA: Nel caso in cui offra il servizio completo (magari con noleggio delle apparecchiature) gestendo il servizio in completa autonomia. Probabilmente è Titolare autonomo al trattamento dei dati con tutti gli adempimenti privacy connessi.
Il dipendente può visionare le registrazioni?
SITUAZIONE:
Se il dipendente riceve una sanzione disciplinare basata su una videoregistrazione può chiedere al datore di lavoro di visionarla?
RISPOSTA:
Qualora il datore di lavoro abbia rispettato tutte le indicazioni normative per l’installazione delle telecamere e sulla base delle immagini registrate abbia erogato al personale una sanzione disciplinare, il dipendente, in quanto interessato, ha il diritto di accedere ai dati che lo riguardano, di verificare le finalità e la logica del trattamento ai sensi dell’art. 15 del GDPR (così come enunciato dal Garante Privacy nel suo provvedimento in materia di videosorveglianza). In ultima istanza si può valutare di presentare un reclamo al Garante della Privacy.
L’utilizzo di videocamere amatoriali richiede accorgimenti particolari?
SITUAZIONE:
L’utilizzo di videocamere amatoriali richiede attenzioni particolari?
RISPOSTA:
Le recenti Linee Guida sulla videosorveglianza rilasciate dall’EDPB (European Data Protection Board), specificano che le riprese effettuate a livello amatoriale o domestico da smart cam, park assistant, droni ad alta quota e simili, non vengono normate dal Regolamento Europeo a patto che non ci sia diffusione o pubblicazione delle stesse. Menzione a parte per le telecamere finte o dissuasive per cui il Garante italiano prevede gli stessi accorgimenti di quelle funzionanti.
Installazione di telecamere termoscanner in azienda
SITUAZIONE:
L’azienda per cui lavoro ha installato un totem con termo scanner per la rilevazione della temperatura a chi accede, è corretto?
RISPOSTA:
Bisognerebbe approfondire i dettagli dello strumento utilizzato, se si tratta di tablet con rilevazione temperatura senza registrazione dell’immagine ok, se uso telecamere termiche con riconoscimento della persona è più complesso e potrebbe essere necessaria apposita DPIA. Va poi attentamente valutata la registrazione dell’immagine del dipendente associata alla temperatura, se possibile da evitare. consiglio: Semplice tablet con verde o rosso in base alla temperatura rilevata. Nessuna registrazione dei valori né delle immagini né riconoscimento biometrico.