Categoria: Privacy

Ho realizzato che in molti ancora oggi, a distanza di quasi due anni dall’entrata in vigore della nuova normativa in materia di privacy, sono perplessi sul fatto che la questione li riguardi, o addirittura pensano di non doversi occupare della faccenda. Data la complessità della questione, voglio continuare a tenerti informato sulla corretta applicazione della disciplina europea di trattamento dei dati. E ti invito anzi a essere fiducioso nel fatto che, se ben affrontata, la gestione della privacy possa migliorare la tua organizzazione, aggiungere qualità ai tuoi servizi.

Nella costruzione della tua privacy policy di trattamento dei dati in azienda, è necessario tu prenda in considerazione la gestione privacy del sito web, strumento preziosissimo nell’era digitale, alleato soprattutto nell’attività commerciale: non ci si può permettere che venga oscurato.

La gestione privacy del sito web

Immagina il tuo sito come una piccola navicella che si muove nell’immenso oceano del web. Al suo interno ci sono i servizi e i prodotti che offri, i tuoi dati di contatto e quelli dei visitatori, soprattutto se compilano con i loro dati i form (o moduli) realizzati per iscriversi alle newsletter, ricevere ulteriori informazioni oppure per concludere gli acquisti.

Il GDPR non supporta in modo dettagliato la sicurezza informatica nel definire le misure di gestione dei dati. Se ne sta occupando la Commissione Europea e ci dobbiamo aspettare un ulteriore Regolamento “e-Privacy”, che sostituirà la vigente Direttiva del 2002 e si affiancherà al GDPR.

Nell’attesa, ci sono essenzialmente due aspetti che devi definire:   

• rendere consultabile la privacy policy da parte di tutti i “naviganti”;
• fare il possibile affinchè tutto quanto contiene la navicella sia sicuro e inattaccabile dai “pirati”. Più la rendiamo sicura e adeguata e più la nostra navigazione avanza forte e acquista visibilità e fiducia, perché chi sale sa di essere al sicuro.

Provo a tracciarti i punti salienti sui quali soffermarti per una breve verifica.

L’informativa o privacy policy

L’informativa concisa, chiara, facilmente accessibile ed intellegibile va pubblicata sul sito web inserendo il collegamento (link) alla versione integrale.

È chi tecnicamente gestisce il tuo sito (web agency) a doverti dare supporto per completare le informazioni di carattere tecnico, come le seguenti:

• i dati vengono analizzati o profilati?
• il tuo client, ossia il soggetto che ti ha affittato lo spazio su server che ospita il tuo sito web, effettua trattamenti per tuo conto?
• sono attivi servizi di terze parti (ex. Google Analytics, Google AdWords, Pixel di Facebook) per cui si deve richiamare il link alle pagine privacy dei fornitori di terze?
• sono attivi plugin, applicazioni o software che memorizzano i dati dei tuoi utenti?

E questi cookie? Vogliamo capire che cosa sono?

I cookie sono dei piccoli file di testo che vengono inviati dal pc dell’utente al browser durante la navigazione sul web. Si dividono in quattro tipologie:

1. cookie tecnici o di “navigazione”, che permettono al sito di funzionare correttamente;
2. cookie analytics cherilevano dati statistici (es. numero di visitatori per fascia oraria e area geografica);
3. cookie di profilazione che rilevano il comportamento di un utente e vengono utilizzati per impostare strategie di marketing;
4. cookie di profilazione di terze parti che hanno finalità analoghe a quelli del punto 3, ma derivano da siti esterni a quello di navigazione.

Per i primi due tipi non serve consenso, basta il banner (tradotto letteralmente “bandiera”), un riquadro che deve apparire appena si apre una pagina web e deve essere di dimensioni e colore utili a renderlo visibile, con il quale si comunica la presenza di questi cookie.

Per gli altri due tipi, invece, determinando la profilazione, è necessario chiedere il consenso. Si può partire dal classico banner che informa della presenza di questi cookie, inserendo un messaggio del tipo:

1. “Il sito utilizza cookie per inviarti comunicazioni e servizi in linea con le tue preferenze. Per saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link)”.
2. “Il sito utilizza cookie, anche di terze parti, per inviarti comunicazioni e servizi in linea con le tue preferenze. Per saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link).”

Se però per la profilazione usi solo Google Analytics rendendo anonimo l’indirizzo IP, il consenso non è necessario.

Attenzione a come proponiamo moduli o form di richiesta dati all’utente

Rientra in questa casistica la proposta di iscrizione alla newsletter, per fare un esempio.

Minimizzazione è la parola d’ordine, ossia limitarsi alla richiesta dei soli dati necessari al raggiungimento della finalità e, in ogni caso, prevedere l’espressione del consenso da parte dell’utente con:

1. link all’informativa privacy;
2. il consenso per ogni specifica finalità di trattamento, senza caselle pre-spuntate o impostate sul sì.

Sicurezza e backup

Verifica quali strumenti di protezione sono presenti sul tuo sito e chi ne è responsabile. Verifica che vengano fatti periodici monitoraggi, analisi e aggiornamenti. Per quanto protetto, nessun sistema è totalmente immune da attacchi hacker ed è tua responsabilità prevenire ogni possibile cancellazione, distruzione o corruzione dei dati anche mediante il backup. Il backup è il salvataggio dei dati del tuo sito web. Devi definirne la frequenza e il corretto funzionamento mediante un monitoraggio periodico.

Tutte queste azioni devono essere oggetto di controllo periodico da parte del titolare del trattamento verso i soggetti esterni cui ha affidato incarico specifico (nominandoli responsabili esterni al trattamento), nel rispetto del principio di accountability (responsabilità) richiamato dal GDPR. La gestione privacy del sito web deve essere parte integrante della privacy policy del titolare del trattamento.

Il 14 marzo è stato adottato il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro“. In tredici punti, Governo e parti sociali hanno definito le misure che le imprese del territorio nazionale devono mettere in atto se intendono proseguire la proprie attività in corrispondenza del periodo di restrizioni imposte dal DPCM 11 marzo 2020 (il cui termine, a oggi, è previsto per il 25 marzo), garantendo la tutela dei lavoratori dal rischio di infezione dal coronavirus COVID-19.

Leggendo nel dettaglio il Protocollo, al punto 2) relativo alle modalità di ingresso in azienda, si indica che “il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea“, richiamando in calce, con una nota, le indicazioni da adottare al fine di garantire il rispetto delle disposizioni vigenti in materia di trattamento dati.

Il problema è che il Garante per la protezione dei dati personali si è espresso sull’argomento in modo nettamente distinto lo scorso 2 marzo, precisando che “i datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato“.

La situazione è certamente complessa: alle paure connesse alla salute si aggiungono quelle economiche, e trovare l’equilibrio tra norme e pareri contrastanti risulta anche più difficile di quanto non sia in condizioni normali. Come ridurre il rischio di errore? Mi sono confrontata con la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali per riuscire a fornire, nei limiti consentiti dalla confusione del momento, informazioni precise.

Sulla base di questo confronto, posso dire che:

1. si riscontra una distonia, se non un contrasto, tra il Protocollo sicurezza del 14 marzo e il comunicato del Garante del 2 marzo;
2. il Garante, al termine del proprio comunicato, “invita tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”;
3. se il datore di lavoro attua il Protocollo, si può ritenere non metta in campo un’iniziativa autonoma, fermo restando che il trattamento dei dati non vada oltre le finalità di contenimento dell’emergenza e rispetti i vincoli imposti dal provvedimento. Pertanto, in questo senso, la distonia (o contrasto) potrebbe dirsi superata o superabile.
   

Il registro dei trattamenti è il documento che il GDPR, nuovo Regolamento europeo in materia di privacy, ha disposto venga predisposto in forma scritta, e che possa essere conservato anche in formato elettronico, al fine di dare evidenza della modalità di gestione dei dati personali da parte del titolare del trattamento e del responsabile del trattamento (o dal loro rappresentante*).

Il registro dei trattamenti è un obbligo con deroghe, questo significa che la normativa (art. 30 del GDPR) prevede che ogni titolare e responsabile del trattamento debbano redigere il registro fatta eccezione per alcuni casi specifici che vengono elencati dal testo di legge.

Gli obblighi […] non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Il sito del Garante ha messo a punto una guida ragionata all’applicazione del GDPR, organizzata in forma di domande frequenti (FAQ) che consente, a chi è armato di santa pazienza, di orientarsi con un ottimo grado di precisione nella normativa in vigore. È presente anche una sezione dedicata al registro dei trattamenti, comprensiva di modelli semplificati per le PMI, motivo per cui non mi dilungo sugli aspetti relativi ai contenuti e alle modalità di conservazione del registro.

In quali casi non è quindi obbligatorio?

Il titolare e il responsabile del trattamento possono non predisporre il registro dei trattamenti nel caso di imprese od organizzazioni con meno di 250 dipendenti e purché non sussista una delle 3 condizioni seguenti:

1. il trattamento dei dati che l’impresa o l’organizzazione effettua può presentare un rischio per i diritti e le libertà dell’interessato;
2. il trattamento non è occasionale;
3. il trattamento include categorie particolari di dati (art. 9, paragrafo 1) o i dati personali relativi a condanne (penali e a reati di cui all’art. 10).

Per capire meglio queste disposizioni è molto utile la lettura del documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 ( Comitato europeo per la protezione dei dati). Il documento è disponibile solo in inglese, ma eccovi qui la sostanza:

• i tre tipi di trattamento a cui la deroga nella tenuta del registro non si applica sono alternativi e il verificarsi di anche solo uno di questi innesca l’obbligo di predisposizione e conservazione del registro dei trattamenti;
• nelle organizzazioni con meno di 250 dipendenti che effettuano sia trattamenti che non ricadono nelle 3 condizioni sopra elencate sia trattamenti che ricadono in una delle 3 condizioni in questione, è necessario predisporre il registro dei trattamenti per le sole attività che comportano una delle 3 condizioni elencate poco sopra.

L’esempio che viene prestato è quello di una piccola organizzazione che tratta con regolarità i dati relativi ai propri dipendenti. Come conseguenza, dice il documento, questo trattamento non può essere considerato occasionale e deve quindi essere incluso in un registro dei trattamenti. Altre attività che fossero occasionali non dovranno essere incluse nel registro dei trattamenti, a condizione che non comportino un rischio per i diritti e le libertà dell’interessato e non comprendano categorie particolari di dati o i dati personali relativi a condanne.

La posizione del Garante in relazione all’obbligatorietà del registro dei trattamenti

Il Garante sposa il contenuto del documento interpretativo del 19 aprile 2018 e ne ribadisce anche la considerazione finale, e cioè che, sebbene la normativa preveda esplicitamente delle deroghe all’obbligo di tenuta del registro dei trattamenti, questo documento agevola l’effettiva valutazione del rischio connesso alle attività di trattamento dei dati e l’identificazione e l’implementazione delle adeguate misure di sicurezza, entrambe componenti chiave del principio di responsabilità su cui si fonda il GDPR.

Per tale ragione “[…] anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento“.

---

* «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento.

Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.

Così recita la scheda di sintesi del GDPR predisposta per aziende ed enti dal Garante per la protezione dei dati personali. Ma in pratica che cosa bisogna fare? Partire da registro dei trattamenti e DPIA può essere una buona soluzione.

Progettare la gestione dei dati

Sta diventando un tormentone l’espressione inglese ” data protection by default and by design“, che nella sua traduzione italiana perde forza e concisione (protezione dei dati fin dalla progettazione e protezione per impostazione predefinita). Nella sostanza, il GDPR sgombra il campo da soluzioni tecniche e organizzative standardizzate o, comunque, definite dal legislatore o dal Garante, e attribuisce ai soggetti titolari del trattamento l’onere di individuare le modalità di trattamento dei dati che consentano di rispettare i requisiti del Regolamento, tenendo conto di:

• stato dell’arte;
• costi di attuazione;
• natura dei dati e del trattamento;
• ambito di applicazione;
• contesto;
• finalità del trattamento;
• rischi per i diritti e le libertà delle persone fisiche determinati dal trattamento.

Il Garante, nella sua guida online di applicazione del Regolamento, precisa che si deve trattare di “un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili“.

Per fare un paragone con una materia nota e (forse) più famigliare, potremmo dire che la protezione dei dati deve essere gestita come la prevenzione e protezione della salute e sicurezza sul lavoro, ossia realizzando una vera e propria valutazione dei rischi che porti a definire le misure (di prevenzione e protezione) necessarie alla gestione dei rischi individuati e valutati. E, se è vero che il legislatore “si è liberato” dell’onere di individuare la modalità di gestione dei dati, è altrettanto vero che individua alcuni strumenti per rendere specifica e dimostrabile la sua progettazione.

Registro dei trattamenti

Si tratta di un vero e proprio registro, i cui contenuti non sono affatto da inventare, ma sono dettagliati in forma di elenco dall’art. 30 (Registri delle attività di trattamento) del GDPR.

Lo presento come strumento al servizio dei soggetti titolari del trattamento dei dati in quanto, anche se la normativa prevede delle deroghe alla sua obbligatorietà, questo non toglie nulla alla sua utilità nel rendere evidente e tangibile l’attività di progettazione della protezione dei dati.

DPIA: Data Protection Impact Assessment

In italiano, valutazione d’impatto sulla protezione dei dati. Anche in questo caso il suo contenuto è definito dal Regolamento (art. 35), e non si tratta di un obbligo applicabile a tutti i soggetti titolari del trattamento dei dati. Ancora più del registro dei trattamenti, però, si presta molto bene alla progettazione della protezione dei dati richiedendo, tra l’altro, di

1. realizzare una valutazione dei rischi per i diritti e le libertà degli interessati;
2. definire le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

È lo stesso Garante della privacy a raccomandare di andare oltre la lettura testuale degli obblighi introdotti dal Regolamento, per cogliere il senso della “nuova” gestione della privacy:

Il Comitato europeo per la protezione dei dati o EDPB (European Data Proteciont Board) è stato istituito dal Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679 o GDPR). Non ha un ruolo diretto nell’applicazione della normativa per i soggetti operanti nei diversi Stati europei ma, di fatto, agendo per armonizzare l’applicazione del GDPR a livello europeo, influenza l’applicazione dello stesso da parte delle autorità di controllo nazionali (Garante della privacy). Per questo motivo è utile conoscerne l’attività.

Che cos’è il Comitato europeo per la protezione dei dati?

Il Comitato è un organismo dell’Unione europea con personalità giuridica, composto dai Garanti della privacy di ciascuno Stato membro dell’Unione Europea e dal Garante europeo della protezione dei dati.

A che cosa serve l’EDPB?

Il compito del Comitato è essenzialmente uno: garantire l’applicazione coerente del GDPR tra i vari Stati facenti parte dell’Unione Europea.

Nella pratica il Comitato:

1. fornisce consulenza alla Commissione europea in materia di protezione dei dati personali;
2. fornisce parere alle autorità di controllo nazionali in merito alle loro decisioni (ex. l’elenco di trattamenti soggetti alla valutazione d’impatto sulla protezione dei dati; la prima emissione, modifica o proroga di un codice di condotta);
3. risolve le controversie tra le autorità di controllo nazionali attraverso l’emissione di decisioni vincolanti;
4. pubblica linee guida, raccomandazioni e migliori prassi su qualsiasi questione relativa all’applicazione del Regolamento UE 2016/679 (
5. promuove la cooperazione e lo scambio di informazioni e prassi tra le autorità di controllo;
6. redige una relazione annuale sulla protezione dei dati personali all’interno dell’Unione europea e, se opportuno, nei paesi terzi e nelle organizzazioni internazionali (ossia nei casi in cui si ponga la problematica del trasferimento dei dati dall’Unione verso Stati non facenti parti dell’UE).

Quali sono le attività dell’EDPB da tenere sotto controllo

Il sito dell’EDPB merita di essere consultato per prendere visione delle linee guida adottate, che possono riguardare aspetti di interesse della gestione della privacy a livello aziendale. Per quanto si tratti di disposizioni non vincolanti, conoscere l’orientamento europeo nella gestione dei dati personali consente di attuare in maniera più consapevole i requisiti di legge. Puoi trovare un esempio pratico nell’articolo relativo alla gestione delle telecamere in azienda.

Per lo stesso motivo, è utile una consultazione periodica del sito del Comitato per prendere visione delle news. Le notizie di stampa nazionale, in particolare, possono essere utili per le realtà che operano a livello internazionale, in quanto forniscono in via indiretta informazioni sull’applicazione del GDPR oltre le Alpi.

Prima dell’EDPB

Qui in Italia siamo appassionati di storia, per cui non possiamo sorvolare sulla differenza tra il prima e il dopo GPDR. Sarò molto sintetica, in ogni caso: prima dell’entrata in vigore del GDPR non esisteva un organismo del tutto equivalente, ma una parte delle attività veniva svolta dall’Article 29 Working Party (Art. 29 WP 29).

L’attività dell’Art. 29 WP è cessata ufficialmente il 25 maggio 2018, e le linee guida elaborate da questo organismo ritenute ancora attuali sono state approvate dall’EDPB nel corso della sua prima sessione plenaria, e sono infatti consultabili nel sito del Comitato alla pagina delle linee guida, pareri e raccomandazioni.

Attenzione a non fare confusione

Le sigle sono pratiche, ma c’è il rischio di confondersi: oltre all’EDPB potresti sentire parlare dell’EDPS, lo European Data Protection Supervisor o Garante europeo della privacy. I due soggetti sono distinti, fatta eccezione per la loro segreteria che è comune (art. 75 del GDPR).

La differenza essenziale riguarda le relative competenze: quelle dell’EDPS, istituito dal Regolamento 45/2001, riguardano il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione europea.

Ti ho già parlato della necessità di richiedere specifica autorizzazione per l’installazione e l’utilizzo dei sistemi di videosorveglianza nel caso in cui sia presente in azienda anche un solo lavoratore e la loro presenza possa determinare, seppur solo indirettamente, il controllo a distanza dell’attività lavorativa. Ma la gestione delle telecamere in azienda deve rispettare anche altri requisiti che il Garante della privacy ha dettagliato nel Provvedimento dell’8 aprile 2010. Il provvedimento, nonostante sia antecedente all’entrata in vigore del Regolamento europeo 2016/679 (GDPR), continua a mantenere la sua validità.

Vediamo insieme quali sono gli elementi da verificare per una corretta gestione delle telecamere in azienda.

Luoghi di installazione

Dovendo rispettare il divieto di controllo a distanza dell’attività lavorativa, è vietata l’installazione di telecamere in azienda che abbiano unicamente tale finalità. In altre parole, nei luoghi come le aree ristoro o le mense e i punti di accesso con badge, ove la presenza delle apparecchiature di videosorveglianza avrebbe come unica ragion d’essere il controllo dei lavoratori (ex. la verifica del rispetto dell’orario di lavoro), è vietata l’installazione delle apparecchiature. L’unica eccezione è quella in cui si possa dimostrare che la localizzazione in tale aree sia essenziale al fine di garantire la tutela del patrimonio aziendale o la sicurezza del personale. In quest’ultimo caso è evidente la necessità di richiedere autorizzazione del sistema di videosorveglianza ai soggetti competenti, tenendo conto anche degli altri requisiti riportati di seguito.

Caratteristiche tecniche

L’adeguatezza di un sistema di videosorveglianza rispetto alla gestione dei dati personali parte dalla scelta delle componenti fisiche e dei programmi informatici che devono presentare caratteristiche e configurazione tali da ridurre al minimo la raccolta e l’utilizzo di dati personali. Per esempio la scelta di un sistema che consenta di effettuare degli zoom oppure di modificare l’angolo di ripresa deve essere valutata e motivata e non deve essere ritenuta una scelta scontata e incontestabile. Allo stesso modo si dovrebbe valutare il posizionamento fisico dei dispositivi di registrazione e/o di accesso ai dati, che è preferibile si trovino fuori dalla portata di tutti.

Inoltre, i dati raccolti devono essere protetti per ridurre al minimo i rischi di distruzione, di perdita anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta (come per esempio la trasmissione delle immagini). Questo significa:

1. che il titolare del trattamento deve essere in grado di verificare chi può accedere alle immagini e controllarne gli accessi;
2. che i soggetti incaricati del trattamento o i responsabili del trattamento devono essere in possesso di credenziali di autenticazione che permettano di effettuare esclusivamente le operazioni di competenza;
3. che nel caso di sistemi configurati per la registrazione e conservazione delle immagini rilevate, deve essere esclusa la possibilità dei soggetti abilitati di visionare la ripresa e le immagini registrate e di effettuare operazioni di cancellazione o duplicazione;
4. che il sistema deve essere in grado di cancellare le registrazioni, in forma automatica o per mezzo di precise misure organizzative, allo scadere del termine previsto.

Tempi di conservazione

La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione. Sono ammesse deroghe in relazione a:

• festività;
• chiusura di uffici;
• necessità di rispondere a una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria.

In realtà il Garante ha previsto che si possano prevedere proroghe a tale termine sino al limite della settimana per casi specifici e motivati da ragioni tecniche o di sicurezza (ex. i mezzi di trasporto o le banche). Qualora si ritenesse di dover procedere a un ulteriore allungamento dei tempi di conservazione oltre la settimana, si deve infine sottoporre specifica richiesta di verifica preliminare al Garante stesso. Per quanto tale possibilità sia prevista, i casi in cui è stata a oggi presentata richiesta di verifica preliminare sono tutti riconducibili a realtà di grandi dimensioni e caratterizzate da un’utenza di larga scala (ex. compagnie di navigazione, brand di lusso e gestori autostradali).

Addetti e responsabili al trattamento

Il titolare o il responsabile devono nominare per iscritto tutte le persone fisiche incaricate del trattamento in quanto

• autorizzate ad accedere ai locali dove sono situate le postazioni di controllo;
• autorizzate a utilizzare gli impianti;
• autorizzate, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini.

In relazione agli addetti al trattamento dei dati, il Garante ha previsto che:

1. si debba trattare di un numero limitato di soggetti, soprattutto in caso di collaboratori esterni;
2. si debbano individuare e definire diversi livelli di accesso in funzione delle specifiche mansioni attribuite ai singoli operatori, distinguendo per esempio chi può unicamente visionare le immagini da chi può effettuare ulteriori operazioni.

Informativa

Gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata, quindi il cartello recante l’indicazione di “area videosorvegliata”:

• deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
• deve avere un formato e un posizionamento tali da essere chiaramente visibile in ogni condizione di illuminazione, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
• può inglobare un simbolo che consenta di informare se le immagini sono solo visionate o anche registrate.

Il Garante ritiene auspicabile che l’informativa semplificata rappresentata dal cartello sia seguita da un testo completo di tutti gli elementi previsti dall’art. 12 del GDPR, disponibile agevolmente e senza oneri per gli interessati. In ogni caso il titolare, eventualmente per il tramite di un incaricato, è tenuto a fornire anche solo oralmente un’informativa adeguata.

Alcune risorse di approfondimento

Oltre al link diretto al Provvedimento del Garante dell’8 aprile 2010, riporto di seguito il link alle recenti linee guida del Comitato europeo per la protezione dei dati. Si tratta di un documento che affronta la questione della videosorveglianza in termini generali, quindi non solo in riferimento all’installazione di telecamere in azienda. Può essere utile a chi fosse interessato ad approfondire gli aspetti interpretativi sull’argomento della videosorveglianza nel suo complesso. Purtroppo sono disponibili solo in inglese…

• Provvedimento in materia di videosorveglianza – 8 aprile 2010
• Linea guida n.3/2019 del Comitato europeo per la protezione dei dati (in inglese

Telecamere nella sede aziendale per proteggere il patrimonio dell’impresa e GPS installati sui mezzi per prevenirne il furto, per proteggere il personale che svolge lavori isolati o a rischio rapina, oppure per questioni logistiche. A volte sono i clienti, soprattutto le stazioni appaltanti, a premiare chi ha dotato il proprio parco mezzi di un sistema satellitare. Quindi viene naturale pensare che non serva alcuna autorizzazione dei sistemi di videosorveglianza (impianti audiovisivi) e satellitari. In realtà bisogna verificare una condizione, ossia la presenza o meno di lavoratori in azienda: nel caso sia presente anche un solo lavoratore, per installare telecamere e GPS, il titolare dell’impresa deve ottenere specifica autorizzazione prima della loro installazione.

A chi richiedere l’autorizzazione?

Le strade percorribili sono due.

1. La sottoscrizione di un accordo sindacale. Questa strada è percorribile se sono presenti rappresentanze sindacali aziendali (RSA) o unitarie (RSU), oppure facendo riferimento alle rappresentanze sindacali territoriali (tra le più rappresentative a livello nazionale).
2. La presentazione di una domanda di autorizzazione alla sede territorialmente competente dell’Ispettorato del lavoro, invece, è percorribile nel caso in cui
   – non siano stati eletti RSA o RSU;
   – sia stato sottoscritto un verbale di mancato accordo con le rappresentanze sindacali (anche quelle territoriali) in relazione all’utilizzo dell’impianto di localizzazione satellitare e/o delle apparecchiature di videosorveglianza.

Come funziona l’iter autorizzativo?

Accordo sindacale

L’accordo sindacale altro non è che un documento scritto nel quale vengono dettagliate le condizioni alle quali il titolare dell’impresa e le rappresentanze sindacali hanno convenuto che le attrezzature di videosorveglianza e satellitari potranno essere utilizzate al fine di consentire il raggiungimento degli obiettivi di tutela del patrimonio, di organizzazione logistica o di sicurezza dei lavoratori, senza costituire una possibilità di controllo a distanza dell’attività dei lavoratori e garantendo la tutela dei dati personali.

La tempistica richiesta per giungere all’accordo dipende dalla complessità del sistema da autorizzare e dalla complessità della trattativa.

Dato che l’accordo non è obbligatorio, ossia una delle due parti potrebbe non ritenere accettabili le condizioni imposte dalla controparte, la trattativa potrebbe concludersi senza nulla di fatto, imponendo di procederecon la richiesta di autorizzazione all’Ispettorato del lavoro.

La domanda all’Ispettorato del lavoro

Il titolare dell’impresa deve procedere alla predisposizione di specifica modulistica, scaricabile dal sito dell’Ispettorato Nazionale del Lavoro, che comprende

• modulo d’istanza di autorizzazione all’installazione (a cui bisogna applicare n. 1 marca da bollo da € 16,00);
• autocertificazione di dichiarazione sostitutiva per marca da bollo (a cui bisogna applicare n.2 marche da bollo da € 16,00).

Inoltre l’impresa deve predisporre una relazione di dettaglio che illustri le ragioni dell’installazione e le modalità di funzionamento.

Le tempistiche di rilascio dell’autorizzazione variano a seconda della sede territoriale di riferimento e l’Ispettorato può procedere all’esecuzione di un sopralluogo a sorpresa per verificare quanto dichiarato nella domanda e che la tecnologia non sia già stata installata. La sola installazione e/o la messa in esercizio dei sistemi prima del rilascio dell’autorizzazione comporta infatti l’applicazione delle sanzioni penali previste dall’art. 38 dello Statuto dei lavoratori (L. 300/1970) :

• ammenda da € 154 a € 1.549 o arresto da 15 giorni a 1 anno;
• nei casi più gravi (ex. l’installazione degli impianti a totale insaputa del lavoratore; l’installazione di telecamere fisse che inquadrino esclusivamente l’attività svolta dai lavoratori o i luoghi di pausa o di mensa; l’assenza di esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale che giustifichino l’installazione degli impianti) le pene dell’arresto e dell’ammenda sono applicate congiuntamente;
• quando, per le condizioni economiche del titolare dell’impresa, l’ammenda sopra riportata si presume inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo.

Perché bisogna richiedere l’autorizzazione?

Perché l’art. 4, comma 1 dello Statuto dei lavoratori prevede che gli impianti audiovisivi o altri strumenti da cui possa derivare “la possibilità di controllo a distanza dell’attività dei lavoratori” possono essere impiegati esclusivamente:

• se rispondono a “esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale“;
• previo accordo sindacale o autorizzazione da parte dell’Ispettorato del lavoro, antecedenti la loro installazione.

Quanto dura l’autorizzazione?

L’art. 4, comma 1 dello Statuto dei lavoratori stabilisce che i provvedimenti autorizzativi sono definitivi, tuttavia la prassi operativa (i modelli autorizzativi dell’Ispettorato del lavoro e la formulazione degli accordi sindacali) prevedono la necessità di dare comunicazione e quindi di richiedere autorizzazione per modifiche rilevanti dei sistemi già autorizzati.

Serve “solo” l’autorizzazione?

Non proprio. Sempre l’art. 4 dello Statuto dei lavoratori, al comma 3, precisa anche che le informazioni raccolte mediante i sistemi di videosorveglianza e satellitari “sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196“, quindi, oltre al possesso dell’autorizzazione, il titolare dell’impresa deve essere in grado di dimostrare:

1. di aver adeguatamente informato i lavoratori sul funzionamento dei sistemi installati e sull’esecuzione dei controlli;
2. di trattare i dati raccolti mediante i sistemi di videosorveglianza e satellitari nel rispetto dei requisti di privacy.

Il piano ispettivo del Garante della privacy per il secondo semestre 2019 prevede circa un centinaio di controlli ai soggetti pubblici e privati, con riferimento ad attività specifiche:

• alle banche, in riferimento ai flussi verso l’anagrafe dei conti;
• agli intermediari del servizio di fatturazione elettronica;
• alle società, per attività di marketing;
• agli enti pubblici, con riferimento a banche dati di notevoli dimensioni, per le attività di profilazione e fidelizzazione;
• alle società del food delivery;
• alla sanità privata.

Quattro gli aspetti oggetto di controllo:

1. il periodo di conservazione dei dati;
2. la regolarità di consensi e informative;
3. i trattamenti collegati alla fatturazione elettronica;
4. i dati trasmessi dalle banche all’anagrafe dei conti tenuta dal Fisco.

Consenso e periodo di conservazione dei dati per le attività di marketing: che cosa dice il GDPR?

Al fine di consentire una verifica della compliance in ambito privacy, concentriamoci su

1. consenso;
2. periodo di conservazione dei dati (che spesso induce a errori sostanziali nella modalità e in merito alla necessità).

Il consenso per le attività di marketing

Marketing diretto (in assenza di intermediari)

• La tutela dei dati personali degli utenti è rappresentata dal consenso che non può essere mai proposto con caselle già contrassegnate e non può costituire condizione legata all’ottenimento del servizio principale.
• Non è lecito ricorrere a dati estratti da registri pubblici, elenchi, siti web, atti o documenti pubblici.
• L’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei suoi dati a fini di marketing, pur avendo originariamente manifestato il consenso.
• Non è necessario chiedere consensi distinti per ogni canale comunicativo; un consenso rilasciato per l’invio di mail, sms, mms, telefonate automatizzate, copre anche quello per altre forme di comunicazione (ex. posta cartacea, telefonate tramite operatore).
• Il non consenso, quando proposto in modo unico, non permetterà al titolare di inviare alcuna comunicazione.
• Il GDPR prevede che, se il trattamento è basato sui legittimi interessi, non occorre il consenso. Significa che i legittimi interessi del titolare del trattamento possono rendere lecito il trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.

Esempio 1 – Quando esiste una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento: l’interessato è alle dipendenze del titolare del trattamento.

Esempio 2 – Quando si è in presenza di un cliente acquisito, si può far leva sul “bilanciamento degli interessi” e quindi la base giuridica può consistere nei legittimi interessi del titolare evitando il consenso, purché si rispettino i seguenti requisiti dimostrabili al Garante   

• la trasmissione del messaggio avviene per posta elettronica (non sono ammesse comunicazioni telefoniche);
• la mail deve essere quella indicata nel contesto della vendita di un prodotto o servizio;
• i messaggi devono essere inviati a fini di vendita diretta di prodotti e/o servizi forniti dal titolare, mai da terzi;
• il prodotto o il servizio devono essere analoghi a quelli già acquistati dall’interessato;
• il destinatario non deve aver rifiutato all’inizio o nel corso di ulteriori comunicazioni tale invio di comunicazioni promozionali;
• il destinatario deve avere la possibilità di opporsi al trattamento dei dati in ogni momento, gratuitamente e in maniera semplice.

Marketing indiretto

L’identificazione dell’utente può avvenire solo previo consenso manifestato sulla base di una informativa che espliciti tale finalità.

Il termine di conservazione dei dati

Il Regolamento stabilisce che i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici”.

L’articolo 13 del GDPR prevede che il titolare del trattamento debba informare gli interessati circa il periodo di conservazione dei dati personali e, se ciò non è possibile, almeno dei “criteri utilizzati per determinare tale periodo”.

Il tempo di conservazione in taluni trattamenti è preciso (per esempio se legato a obblighi contrattuali, normative, la garanzia del prodotto, termini di prescrizioni per far fronte a futuri contenziosi). In caso contrario viene stabilito direttamente dal titolare e talvolta non è di facile individuazione, in quanto non è immediato valutare la proporzionalità rispetto alla finalità del trattamento come richiesto dal GDPR. In ogni caso un tempo di conservazione illimitato non è mai consentito.

Una volta terminato tale periodo il dato va cancellato (da tutti i supporti, compresi i backup) oppure, in alternativa, anonimizzato.