Videosorveglianza con informativa anche senza registrazione

La ripresa di immagini è sempre videosorveglianza anche se non si fa registrazione e i volti ripresi sono sempre un dato personale, anche se la persona non viene identificata.

La Cassazione (sentenza n. 17440 del 2 settembre 2015) cambia la sua giurisprudenza e fa chiarezza sulle regole generali della videosorveglianza e conferma la sanzione comminata dal garante della privacy a una torrefazione calabrese, che non aveva esposto il cartello informativo previsto per la videosorveglianza.

Nel caso specifico si è trattato di una telecamera:

  • presente all’interno di un negozio,
  • collegata a un monitor sistemato nel soppalco dell’esercizio commerciale,
  • utilizzata dal titolare per sorvegliare l’accesso degli avventori.

La vicenda è stata sanzionata dal Garante della privacy per violazione dell’obbligo di informativa ai sensi dell’articolo 13 del codice della privacy (Dlgs 196/2003).

Il commerciante ha presentato opposizione in cui ha sostenuto che non aveva trattato dati personali e questo perché non c’era la registrazione delle immagini e perché riprendeva le immagini senza poter identificare le persone.
In effetto un orientamento giurisprudenziale risalente al 2009 (sentenza n. 12997 della Cassazione) sosteneva che l’immagine non fosse di per sé un dato personale, senza una didascalia o un sonoro che individuasse la persona.
Questo orientamento è stato accolto dal giudice di primo grado, che ha annullato la sanzione, ritenendo che l’immagine di una persona non potesse essere definita dato personale in assenza di elementi oggettivi che ne consentano una potenziale identificazione.
In particolare, il Tribunale ha valorizzato le modalità e la funzione della videoripresa, finalizzata unicamente a consentire al titolare dell’esercizio di controllare l’accesso di persone sospette nel proprio locale al piano terreno per il tempo in cui lo stesso si trovava nel laboratorio collocato su un soppalco, in assenza di ogni potenziale identificabilità delle persone riprese, peraltro da un apparecchio di non elevata definizione, senza alcuna possibilità di registrazione delle immagini stesse.

Con la sentenza in commento la Cassazione cambia idea, riforma la sentenza di primo grado e sostiene che l’immagine è un dato immediatamente idoneo a identificare la persona, a prescindere dalla sua notorietà.

In particolare, con riferimento all’attività di videosorveglianza senza registrazione, la Cassazione ricorda che il trattamento è legittimo e riporta quanto prescritto dal garante e cioè che «nei casi in cui le immagini sono unicamente visionate in tempo reale, oppure conservate solo per poche ore mediante impianti a circuito chiuso (Cctv), possono essere tutelati legittimi interessi rispetto a concrete ed effettive situazioni di pericolo per la sicurezza di persone e beni, anche quando si tratta di esercizi commerciali esposti ai rischi di attività criminali in ragione della detenzione di denaro, valori o altri beni (ad esempio gioiellerie, supermercati, filiali di banche, uffici postali)».

Il trattamento è legittimo, ma proprio per questo è soggetto all’obbligo dell’informativa.
E in caso di violazione di questo obbligo scatta la sanzione amministrativa pecuniaria prevista dall’articolo 161 del codice della privacy.

Annunci

Collegio sindacale e controlli privacy

Fonte Iusletter

collegio-sindacale-per-le-srlGli ultimi tre mesi antecedenti alla chiusura dell’esercizio – per le società con anno coincidente con l’anno solare – chiamano i sindaci ad una serie di controlli, a cominciare da quelli:
In teoria, la frequenza e le modalità del controllo sul rispetto dei principi di corretta amministrazione dovrebbero essere correlati alla struttura della società e a eventuali situazioni di allarme nella gestione sociale. In pratica, però, spesso i sindaci finiscono col trascurare questo tipo di controllo (formale) per concentrarsi magari su aspetti all’apparenza più rilevanti e urgenti.
Eppure, la verifica del rispetto dei principi di corretta amministrazione è fondamentale, perché l’eventuale omissione può comportare una responsabilità anche penale per i sindaci.

Le operazioni del Cda

Anche alla luce della giurisprudenza di legittimità che ha ribadito la responsabilità del collegio sindacale per omesso controllo sui principi di corretta amministrazione (da ultimo, Cassazione, sentenza n. 13517/2014), i sindaci potrebbero:

  • innanzitutto accertarsi che nel corso dell’anno non siano state compiute  (da parte di uno o più amministratori) operazioni in contrasto con le deliberazioni assunte dall’assemblea o dallo stesso Cda;
  • verificare che le scelte decisionali del Cda siano ispirate al principio di ragionevolezza e che, dunque, siano conformi ai generali criteri di razionalità economica. Qualora l’operazione sia rilevante dal punto di vista economico sarebbe poi quanto mai auspicabile accertare che essa sia stata supportata da un parere di un esperto o da una due diligence;
  • accertare che gli amministratori abbiano compiuto operazioni “corrette” nel pieno rispetto della legge, cioè non manifestamente imprudenti, azzardate, o che possano compromettere l’integrità del patrimonio sociale, volte a sopprimere o a modificare i diritti attribuiti dalla legge o dallo statuto ai singoli soci.

Difesa «attiva» della privacy

Il collegio dovrebbe vigilare sulla conformità dell’operato dell’organo amministrativo alle disposizioni previste in materia di privacy e, in particolare, verificare che siano state adottate misure sicurezza idonee a ridurre al minimo il rischio di perdita, divulgazione o distruzione dei dati personali in possesso della società.

Controlli accurati potrebbero, infatti, mettere i sindaci al riparo da eventuali ricorsi da parte del soggetto interessato che riterrà di essere stato leso nella sua privacy e di aver subito danni a seguito della violazione della disciplina sul trattamento dei dati personali.

È opportuno che il collegio sindacale proceda, attraverso un colloquio preliminare con la direzione della società, nell’individuazione dei caratteri essenziali per l’adozione delle disposizioni normative in materia di privacy, richiedendo, acquisendo e trascrivendo nel proprio verbale le informazioni raccolte.

Esempi di verifiche privacy del Sindaci

Per prevenire o evitare, ad esempio, la distruzione dei dati per allagamento o incendio, i sindaci dovranno verificare l’archiviazione dei dati in armadi blindati e antincendio.

O ancora, per evitare gli accessi indesiderati su trattamenti di dati con elaboratori connessi in rete, il collegio dovrà accertarsi che siano seguite misure minime di sicurezza, quali:

  • la disattivazione dei servizi telematici non necessari
  • la disattivazione temporanea di servizi in rete aggrediti da virus
  • l’aggiornamento dei programmi antivirus.

Diritto all’oblio anticipato da una sentenza della Cassazione

” (…) predisposizione di un sistema idoneo a segnalare (nel corpo o nel margine) la sussistenza di un seguito o di uno sviluppo della notizia e quale esso sia stato (…), consentendone il rapido ed agevole accesso da parte degli utenti ai fini del relativo adeguato approfondimento», questo il nuovo obbligo a carico dei gestori di archivi e database di non facile gestione imposto dalla recente sentenza n°5525, del 5 aprile 2012 della Cassazione. 

In sostanza: nel caso in cui la notizia di cronaca sia:

  • collocata nell’archivio storico della testata online e
  • resa disponibile tramite l’intervento dei motori di ricerca

allora il «titolare dell’organo di informazione» deve provvedere a curarne anche la messa a disposizione della contestualizzazione e aggiornamento.

Fatti

Durante gli anni di Tangentopoli, un assessore di un comune dell’hinterland milanese veniva arrestato e in seguito prosciolto dalle accuse di corruzione. La notizia del suo arresto in data 22 aprile 1993 è tuttora riportata nell’archivio storico del Corriere della Sera all’indirizzo http://www.corriere.it

L’ex assessore si era così rivolto prima al Garante della privacy cui aveva chiesto il blocco dei dati personali che lo riguardavano contenuti nell’articolo “incriminato”, quindi al tribunale di Milano. Sia l’uno sia l’altro gli avevano dato torto. 

L’intervento della Cassazione

La Cassazione cancellava la sentenza del tribunale milanese. La Corte pur prendendo atto che:

  • non esiste un profilo di diffamazione o lesione alla reputazione (la notizia, a quell’altezza di tempo, è vera e pertanto non ha senso discutere su una rettifica)
  • non ha senso confinare l’articolo in area non indicizzabile dai motori di ricerca (esiste ancora una rilevanza pubblica della notizia, visto che l’uomo viene definito come un possibile candidato a una delle prossime tornate elettorali o comunque papabile per un incarico non elettivo),

argomenta che la notizia, proprio perché vera in un determinato contesto temporale, ha bisogno di essere aggiornata, in questo caso con la conclusione del procedimento giudiziario che condusse all’arresto:

«Così come la rettifica è finalizzata a restaurare l’ordine del sistema informativo alterato dalla notizia non vera (che non produce nessuna nuova informazione), del pari l’integrazione e l’aggiornamento sono invero volti a ripristinare l’ordine del sistema alterato dalla notizia (storicamente o altrimenti) parziale».

Che fare, dunque?

Il Titolare del trattamento (in questo caso la società editoriale) deve pertanto provvedere all’aggiornamento delle informazioni attraverso la 

  • predisposizione di un sistema idoneo a segnalare (nel corpo o nel margine) la sussistenza di un seguito o di uno sviluppo della notizia e quale esso sia stato (…), 
  • consentendone il rapido ed agevole accesso da parte degli utenti ai fini del relativo adeguato approfondimento”.

All’aggiornamento deve provvedere il titolare dell’archivio e non il motore di ricerca perché quest’ultimo è, nella lettura della Corte, un semplice intermediario telematico “che offre un sistema automatico di reperimento di dati e informazioni attraverso parole chiave“.

 

 

 

Incaricati del trattamento: istruzioni per l’uso (delle informazioni altrui)

Eccoci nuovamente ad approfondire gli ultimi interventi semplificatori del Garante oramai divenuti Legge dello Stato dopo la pubblicazione sulla Gazzetta Ufficiale.

Oggi affronteremo un passaggio molto delicato sia dal punto di vista del rischio d’impresa che da quello degli obblighi contrattuali del singolo lavoratore: il conferimento dell’incarico al trattamento dei dati personali.

Chi è l’Incaricato?

Codice Privacy, Art. 30. Incaricati del trattamento

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.

Dalla pubblicazione del Provvedimento del Garante 27 novembre 2008 ho letto di tutto in merito alle nuove nomine degli Incaricati per le categorie di Titolari che rientrano nell’alveo delle semplificazioni privacy. In questo post cercheremo di fare chiarezza.

Anzitutto:

  • la nomina ad Incaricato va sempre effettuata per iscritto così come per iscritto vanno dettagliatamente indicati i trattamenti consentiti.
  • La semplificazione riguarda esclusivamente le istruzioni da impartire agli Incaricati in materia di misure minime di sicurezza, ovvero:
  1. Quali cautele adottare per assicurare la segretezza della componente riservata della credenziale di autenticazione e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’Incaricato (punto 4 All. B);
  2. Le istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (punto 9 All. B);
  3. Le istruzioni organizzative e tecniche per il backup dati con frequenza almeno mensile (punto 18 All. B);
  4. Le istruzioni per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti (punto 21 All. B).

A questo punto mi sovviene una domanda: una volta spiegato oralmente ai miei Incaricati del trattamento come adottare le misure minime di sicurezza, in caso di eventuali contestazioni, come faccio a dimostrare:

  • Di averlo effettivamente fatto?
  • Il livello e l’efficacia di contenuti e dettagli nelle istruzioni impartite?

A parte la sanzione (pesante) prevista dal Codice per omessa adozione di misure minime di sicurezza (somma da €20.000 a 120.000!), in questa sede interessa rilevare il caso in cui venga cagionato un danno a terzi per effetto di maldestre operazioni di trattamento effettuate da un Incaricato.

Codice Privacy, Art. 15. Danni cagionati per effetto del trattamento

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.

Ovvero: il trattamento dati personali è equiparato all’esercizio di un’attività pericolosa con conseguente inversione dell’onere della prova a carico del Titolare il quale sarà tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno. Siamo, evidentemente, nell’ambito della c.d. colpa oggettiva: salvo caso fortuito, ci sarà sempre una misura idonea che non è stata adottata, diversamente il danno non si sarebbe prodotto.

Secondo la giurisprudenza prevalente della Cassazione, la responsabilità sarà pertanto imputata a chi, al momento del danno, esercitava il controllo sull’attività del trattamento: l’imprenditore è pertanto sempre tenuto ad organizzare l’attività di trattamento in maniera tale da poter ricondurre gli eventi dannosi ai soli episodi di caso fortuito.

Ritorniamo al caso in cui un Incaricato abbia cagionato un danno a terzi come conseguenza di un trattamento illecito di dati personali per violazione delle misure minime di sicurezza: nessun dubbio che spetti al Titolare il risarcimento nei confronti del terzo, ma, qualora il danno sia dovuto a negligenza o errore imputabile all’Incaricato, il Titolare potrà su di esso rivalersi solo se proverà di aver adottato tutte le cautele del caso, ed in particolare, se dimostrerà di aver impartito chiare, precise, corrette istruzioni al momento del conferimento dell’Incarico o di un cambio di mansioni o d’introduzione di nuovi significativi strumenti.

Questo significa che: in caso di violazione da parte dell’Incaricato delle disposizioni impartite e degli obblighi di fedeltà (Art. 2105 c.c.) e diligenza (art. 2104 c.c.) oltre ad applicare le sanzioni disciplinari previste (art. 2106 c.c.), il Titolare potrà rivalersi su di esso in quanto parte contrattuale inadempiente, richiedendo quindi il risarcimento dei danni subiti.

 

In conclusione

Considerato che integrare la Lettera d’Incarico con le procedure da seguire in materia di misure minime di sicurezza non comporta un grande sforzo logistico e intellettuale, visti i possibili scenari in caso di danni come conseguenza del trattamento, consiglio vivamente di lasciar perdere istruzioni orali, salvo che siano collocate nel contesto di un vero e proprio intervento formativo effettuato da professionisti con tanto di rilascio di certificazione.

Pertanto: Lettere d’Incarico chiare e particolareggiate con tanto di procedure per l’adozione e il rispetto delle misure minime di sicurezza aziendali, supportate e integrate da un idoneo Disciplinare interno per l’uso di Internet e della posta elettronica (anch’esso obbligatorio ex art. 154, comma 1, lettera c, Codice Privacy) da pubblicizzare adeguatamente (e da sottoporre ad aggiornamento periodico) che indichi le modalità di utilizzo degli strumenti elettronici messi a disposizione.