Privacy e videosorveglianza: no alle telecamere negli spogliatoi aziendali

portierato ferraraLegittima l’aspettativa di riservatezza dei lavoratori: un’azienda non potrà installare le  telecamere all’interno degli spogliatoi dei dipendenti.

Lo ha ribadito il  Garante della privacy [doc. web n. 3325380] che ha respinto la richiesta di una società di attivare un sistema di videosorveglianza che avrebbe violato la legittima aspettativa di intimità e la dignità dei lavoratori.

L’Azienda

L’azienda metalmeccanica riteneva la misura necessaria per arginare le “numerose e ripetute segnalazioni di effrazioni negli spogliatoi”, che l’avevano già  indotta a rafforzare gli armadietti, dotandoli di lucchetti, e a installare una telecamera all’ingresso degli spogliatoi.

Alla richiesta presentata al Garante, la società aveva anche allegato:

  • alcune denunce di furti avvenuti negli ultimi due anni, nonché
  • un accordo raggiunto con i sindacati aziendali che secondo l’impresa avrebbe consentito l’estensione dell’attuale impianto di videosorveglianza all’interno degli spogliatoi.

Il Garante

Nel vietare l’attuazione del progetto, il Garante ha ritenuto che l’installazione delle  telecamere negli  spogliatoi dei dipendenti non fosse conforme alle norme sulla protezione dei dati personali.

Il sistema, infatti, era configurato in modo tale da prevedere espressamente il minuzioso controllo dell’intera area adibita a spogliatoio, senza alcuna limitazione all’angolo di ripresa, in una zona connotata, invece, da una particolare aspettativa di riservatezza e di tutela della intimità e dignità della persona.

L’azienda, inoltre, non aveva motivato l’inutilità delle misure di sicurezza già adottate (rafforzamento degli armadietti, telecamera all’ingresso degli spogliatoi) e anche le denunce, presentate a sostegno del progetto,  riguardavano furti avvenuti in altre aree dell’azienda e al di fuori dell’orario di lavoro.

Il progetto, per giunta, non rispettava neppure l’accordo raggiunto con i sindacati né per quanto riguarda i luoghi di installazione delle telecamere né, ad esempio, per i tempi di conservazione delle immagini.

Annunci

Pagamenti con smartphone e tablet: più tutele per gli utenti

o2wallet-awards2Al via le nuove regole del Garante privacy: tutele per i minori, profilazione solo con consenso, dati protetti

Maggiori tutele per gli utenti che decideranno di effettuare acquisti di beni e servizi digitali utilizzando nuove forme di pagamento elettronico. Regole certe per le società del settore.

Il Garante privacy ha definitivamente adottato il Provvedimento [doc. web n. 3161560] (pubblicato ieri, 16 giugno 2014, sulla Gazzetta Ufficiale), che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.

Grazie alle nuove regole, che tengono conto anche delle indicazioni pervenute in sede di consultazione pubblica, gli utenti telefonici, sia in abbonamento sia con carta prepagata, potranno acquistare in sicurezza servizi, abbonarsi a quotidiani on line, comprare e-book, video e giochi con il proprio telefono o altri strumenti elettronici. I dati personali acquisiti per la transazione (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) non potranno poi essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini, senza lo specifico consenso degli utenti, e dovranno essere adeguatamente protetti dai rischi di uso fraudolento.

Le misure a tutela della privacy dovranno essere adottate da tutti i soggetti coinvolti nella fornitura del servizio di micropagamento:

  • gli operatori di comunicazione elettronica (ovvero le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare),
  • gli aggregatori (le società che forniscono l’interfaccia tecnologica),
  • i venditori (le aziende che offrono contenuti digitali e servizi);
  • nonché tutti gli altri soggetti eventualmente coinvolti nella transazione (come quelli che consentono, anche tramite apposite app, l’accesso al mercato digitale).

Ecco, in sintesi, le prescrizioni del Garante.

Informativa
Gli utenti dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto.

Consenso
Le società non dovranno richiedere il consenso degli utenti per il trattamento dei dati relativi alla fornitura del servizio di remote mobile payment.

Il consenso è invece obbligatorio per la comunicazione dei dati personali a terzi oppure in caso di loro utilizzo per attività di marketing e profilazione.

Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, potranno essere conservati al massimo per 6 mesi. L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale.

Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali:

  • sistemi di autenticazione forte per l’acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate;
  • criteri di codificazione dei prodotti e servizi;
  • forme di mascheramento dei dati mediante sistemi crittografici.

Ulteriori misure a tutela della privacy
Dovranno essere adottate misure al fine di impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sull’uso della tv interattiva) e di evitare la profilazione “incrociata” dell’utenza basata su abitudini, gusti e preferenze, a meno che non venga espresso uno specifico consenso informato da parte dell’utente.

I venditori, inoltre, per garantire maggiore riservatezza alle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento dei prodotti digitali offerti senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

Dovranno essere previsti anche accorgimenti tecnici per disattivare servizi destinati ad un “pubblico adulto” e per inibirne l’accesso a minorenni.

Il Garante si riserva di intervenire nuovamente sui servizi di mobile payment tenendo conto di eventuali innovazioni, anche normative, di un settore in continua evoluzione.

Biometria: il Garante detta le nuove regole e apre una consultazione

downloadSarà più semplice utilizzare tecnologie biometriche, come quelle per la lettura delle impronte o l’analisi della firma, per controllare accessi, per autenticarsi o per sottoscrivere documenti informatici. I soggetti pubblici e privati che si atterranno ai limiti e alle rigorose misure di sicurezza individuati dal Garante Privacy potranno infatti procedere direttamente nell’adozione di questi nuovi strumenti senza presentare, caso per caso, richiesta di verifica preliminare.

Con il nuovo provvedimento a carattere generale, l’Autorità ha individuato specifici casi in cui non sarà più necessario effettuare un interpello preventivo per l’adozione di tecnologie biometriche, definendo però un quadro di regole a tutela delle  libertà personali.

Sarà quindi consentito il rilevamento delle impronte digitali:

  • per l’accesso fisico ad aree riservate, oppure
  • per l’attivazione di dispositivi elettromeccanici ed elettronici.

Le impronte e la topografia della mano potranno essere usate anche per “usi facilitativi” (come, ad esempio, accesso banche e biblioteche), ma solo con il consenso degli interessati e purché siano garantite modalità alternative per chi non vorrà usare strumenti biometrici.

Potrà essere adottata senza interpello anche la firma grafometrica per la sottoscrizione di documenti informatici. Non si potranno, invece, realizzare archivi biometrici centralizzati o utilizzare i dati per finalità diverse da quelle specificate.

Logo-Garante-PrivacyL’Autorità ha inoltre messo a punto delle Linee-guida in materia di riconoscimento biometrico e firma grafometrica nelle quali vengono:

  • analizzati i vari tipi di trattamento biometrico esistenti, inclusi quelli per i quali permane l’obbligo delle verifica preliminare (lettura dell’iride o del tracciato venoso, riconoscimento facciale etc.) e
  • individuate, per ciascuna di queste tipologie, le modalità con cui possono essere trattati i dati e le specifiche misure di sicurezza, oltre a quelle già previste dal Codice della Privacy, che occorre adottare caso per caso.

Particolare attenzione viene rivolta dal Garante alla messa in sicurezza delle tecnologie mobili (come tablet o pc) che potrebbero più facilmente essere compromesse o smarrite.

Ogni eventuale violazione o perdita di dati biometrici dovrà, tra l’altro, essere tempestivamente comunicata al Garante per gli opportuni interventi a tutela delle persone.

yourvoice_defData la particolare delicatezza del tema, prima del varo definitivo del provvedimento e delle linee guida, l’Autorità ha deciso di sottoporre i testi a una consultazione pubblica.

Soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazione.biometria@gpdp.it

Speciale Aggiornamento Privacy 2014

alert-icon-redChi deve aggiornare il Modello Privacy?

Tutti i Titolari di trattamento devono, almeno una volta all’anno, aggiornare il Modello Privacy adottato.

 

Mapping artworkA chi si applica il Codice Privacy (DLgs 196/2003)?
 
Il Codice si applica a tutti i soggetti che effettuano trattamenti di dati personali individuati in base al Principio di stabilimento del soggetto o degli strumenti del trattamento.
Per la precisione, l’Art.  5 del Codice dispone che è soggetto alla disciplina del DLgs 196/2003:
  • chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato,
  • chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea.

privacy-policy-800-shutterstock-114908371Come adempiere l’obbligo di aggiornamento?

Gli adempimenti finalizzati all’aggiornamento annuale del Sistema privacy aziendale sono previsti dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) e presidiati da sanzioni che vanno da un minimo di 10.000 € ad un massimo di 120.000 €.
Almeno annualmente, ogni Titolare deve:
  • Verificare le attività
 degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari del trattamento o dei Responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
  • Aggiornare l’elenco di “chi fa cosa” (Incaricati e Responsabili trattamento);
  • Programmare gli interventi formativi;
  • Aggiornare le Informative complete: le notizie da indicare per legge devono essere aggiornate, specificando la data dell’ultimo aggiornamento.

 

imagesIl Nostro Documento: APA2014 (Aggiornamento Privacy Annuale)

Studio Mazzolari, dopo l’abolizione del DPS, ha messo a punto un nuovo Documento denominato APA, acronimo di Aggiornamento Privacy Annuale, al fine di garantire la compliance dei propri Clienti alla normativa di riferimento. 
L’APA, da conservare nel Fascicolo Privacy Aziendale, è così suddiviso:
  1. Elenco dai trattamenti effettuati
  2. Mansionario Privacy
  3. Incaricati e trattamenti effettuati
  4. Archivi e Database di riferimento
  5. Incaricati alla custodia degli Archivi ad accesso controllato
  6. Incaricati e archivi/database di accesso
  7. Responsabili del trattamento
  8. Verifica dell’attività degli Amministratori di Sistema
  9. Verifica dell’aggiornamento della Privacy policy online
  10. Programmazione degli Interventi formativi.

download_large

Scarica il nostro Modello APA2014

 

 

Lotta alle violazioni della privacy: cresce l’attività ispettiva del Garante

Per il 2014 programmati controlli su call center all’estero e mobile payment

privacy_professionalsA che punto è il rispetto della privacy in Italia?

Una risposta può venire dal resoconto sull’attività ispettiva e sanzionatoria del Garante nel 2013 dalla quale risulta che

  • utenti e cittadini vengono  ancora poco informati da aziende e Pa sull’uso dei loro dati personali,  
  • sono ancora troppi i casi in cui le informazioni personali vengono usate senza il consenso degli interessati
  • c’è ancora poca attenzione alla messa in sicurezza dei dati personali da parte di chi li raccoglie, li usa e li gestisce.

 

garanteBilancio dei controlli del Garante

Il bilancio dei controlli del Garante nello scorso anno ha registrato un incremento in tutti i settori: le ispezioni effettuate sono state 411 e le somme riscosse dall’erario da parte di soggetti pubblici e privati sono state di oltre 4 milioni di euro. In forte crescita le segnalazioni all’Autorità giudiziaria  per violazioni penali che sono state 71.

Settori più controllati

I 411 accertamenti (+4% rispetto al 2012), effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato settori sui quali il Garante concentra da tempo una particolare attenzione:

  • call center e telefonate promozionali indesiderate
  • banche dati del fisco
  • credito al consumo
  • “centrali rischi”
  • sistema informativo dell’Inps
  • sanità.
  • reti telematiche con ispezioni sull’uso dei sistemi di localizzazione satellitare (gps) nell’ambito del rapporto di lavoro
  • nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment),
  • sulle violazioni delle banche dati dei gestori tlc (data breaches)

 

pro_civProcedimenti e sanzioni

Significativo il numero di procedimenti sanzionatori avviati: 850 procedimenti, a fronte dei 578 del 2012 (con un aumento quindi del 47%).

Le sanzioni hanno riguardato, innanzitutto,

  • la omessa o inidonea informativa (476)
  • il trattamento illecito dei dati (277), legato principalmente al telemarketing e all’uso dei dati personali senza consenso

Ma i procedimenti avviati sono relativi anche :

  • alla mancata adozione di misure di sicurezza
  • alle violazioni connesse alla conservazione dei dati di traffico telefonico
  • all’omessa notificazione al Garante
  • all’inosservanza dei provvedimenti dell’Autorità

Sono aumentate in maniera rilevante le segnalazioni all’Autorità giudiziaria salite, come detto, a 71 (con una crescita del 27% rispetto al 2012), in particolare per mancata adozione delle misure minime di sicurezza a protezione dei dati personali, per violazioni riguardanti il  controllo a distanza dei lavoratori, per trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell’Authority.

 

open-data-120214180002_mediumIl piano ispettivo per il primi sei mesi del 2014

Il Garante ha varato anche il piano ispettivo per il primo semestre 2014.

Il piano prevede  la prosecuzione di controlli avviati lo scorso anno:

  • grandi banche dati pubbliche, in particolare di enti previdenziali e dell’amministrazione finanziaria
  • gestione delle reti pubbliche di accesso a Internet in  wi-fi
  • marketing telefonico
  • mobile payment

Il piano prevede anche  l’avvio di ispezioni in ambiti particolarmente significativi per numero o delicatezza dei dati trattati:

  • i call center delocalizzati in Paesi extra Ue
  • i sistemi di profilazione dei consumatori
  • le aziende farmaceutiche
  • i centri di assistenza tecnica e recupero dati

Accertamenti verranno svolti anche sul rispetto dei nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazione ai loro data base a causa di attacchi informatici o eventi avversi (data breaches).

Circa 200 gli accertamenti ispettivi programmati, che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa.

Videosorveglianza sul luogo di lavoro: le telecamere vanno montate solo dopo l’autorizzazione della Direzione Territoriale del Lavoro

ktncptzLe telecamere devono essere montate solo ed esclusivamente dopo aver ricevuto l’autorizzazione della direzione Provinciale del Lavoro.

Fatto

Secondo la corte di Cassazione, non conta il fatto che le videoriprese sul posto di lavoro siano iniziate soltanto dopo il benestare della direzione provinciale del lavoro, se le telecamere erano precedentemente installate.

E’ stato infatti particolarmente precisato che, in virtù dell’art. 4 dello Statuto dei Lavoratori  (Legge 300/1970),  a priori va tutelato il bene giuridico della riservatezza del  lavoratore e, di conseguenza, il reato a carico del datore può configurarsi con la mera installazione non autorizzata dell’impianto di videoripresa, anche se la telecamera rimane spenta in attesa di ottenere il nulla osta della Dtl o di siglare l’accordo con i sindacati.

Per evitare sanzioni, le telecamere devono quindi essere montate solo ed esclusivamente dopo aver ricevuto l’autorizzazione

imagesDiritto

La Corte di Cassazione, con sentenza n. 4331 del 30 gennaio 2014, ha dichiarato inammissibile il ricorso di un datore di lavoro avverso la sentenza che lo aveva condannato alla pena di Euro 200 di ammenda per il reato di cui all’articolo 4, comma 2, L. 300/1970 per avere, quale legale rappresentante di una s.n.c., installato un impianto audiovisivo di controllo a distanza dei lavoratori delle casse del suo supermercato senza accordo con le rappresentanze sindacali e senza autorizzazione dell’Ispettorato del lavoro.

Il datore di lavoro nel ricorso in Cassazione, adduce violazione dell’articolo 4, comma 2, L. 300/1970, negando che l’installazione dell’impianto audiovisivo sia di per sé integrativa della condotta criminosa. 

La norma, invero, stabilisce: “Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.

La norma – afferma la Suprema Corte – tuttora vigente pur non trovando più sanzione nell’articolo 38, comma 1, sempre dello Statuto dei lavoratori dopo la soppressione del riferimento all’articolo 4 nel suddetto articolo 38, comma 1, operata dall’articolo 179 d.lgs. 196/2003 (che colma la lacuna con il combinato disposto dei suoi articoli 114 e 171), prevede una condotta criminosa rappresentata dalla installazione di impianti audiovisivi idonei a ledere la riservatezza dei lavoratori, qualora non vi sia stato consenso sindacale (o autorizzazione scritta di tutti i lavoratori interessati) o permesso dall’Ispettorato del lavoro.  

Secondo il ricorrente, tuttavia, non è sufficiente l’installazione dell’impianto, occorrendo anche una “successiva verifica della sua idoneità”: e poiché l’impianto “è stato eseguito in conformità al progetto allegato alla richiesta di autorizzazione in seguito approvato, è palese che il reato non sussiste perché le modalità delle riprese visive, peraltro effettuate soltanto dopo ottenuta l’autorizzazione della D.P.L., non sono tali da ledere la privacy dei lavoratori”.

Di tutt’altro avviso i giudici di legittimità che affermano come “l’idoneità degli impianti a ledere il bene giuridico protetto, cioè il diritto alla riservatezza dei lavoratori, necessaria affinché il reato sussista emerge ictu oculi dalla lettura del testo normativo – idoneità che peraltro è sufficiente anche se l’impianto non è messo in funzione, poiché, configurandosi come un reato di pericolo, la norma sanziona a priori l’installazione, prescindendo dal suo utilizzo o meno”.

 

Videosorveglianza nei supermercati senza ledere la dignità dei lavoratori

tvcc3Nel mirino del Garante le società della grande distribuzione con sistemi di videosorveglianza non a norma.

La legittima esigenza di tutelare il patrimonio, di proteggersi da furti e rapine con impianti di videosorveglianza, non autorizza i supermercati a operare in violazione delle libertà fondamentali e della dignità di dipendenti e clienti.

Lo ribadisce il Garante in seguito ai risultati di un’attività ispettiva  nel settore della grande distribuzione, che ha rilevato come numerose società non avevano rispettato le garanzie previste:

  • dallo Statuto dei lavoratori,
  • dalla normativa sulla privacy
  • dal provvedimento generale in materia di videosorveglianza predisposto dalla stessa Autorità.

Dagli accertamenti disposti dal Garante, è emerso, ad esempio, che tra le società sottoposte ad ispezione, cinque non avevano ottenuto un preventivo accordo sindacale o richiesto l’apposita autorizzazione al competente ufficio del Ministero del lavoro [doc. web n. 26052902578071257720325772272691507].

A tal proposito, l’Autorità ha sottolineato che non è sufficiente che i lavoratori siano stati informati o che abbiano addirittura acconsentito all’installazione del telecamere per far venir meno le specifiche tutele previste dalla normativa o lo stesso divieto di controllo a distanza.

Una sesta società [doc. web n. 2683203], a differenza dalle precedenti, aveva sì ottenuto l’autorizzazione dell’ufficio ministeriale ad installare l’impianto di videosorveglianza, ma non ne aveva poi rispettato tutte le prescrizioni.

Dalle verifiche condotte, sia a campione sia in seguito a segnalazioni, dal Nucleo Speciale Privacy della Guardia di Finanza, sono state riscontrate anche altre violazioni: alcuni esercizi commerciali conservavano le immagini per un arco temporale non giustificato da esigenze specifiche (ad esempio, per ripetuti furti o rapine) così come invece stabilito dal provvedimento generale del Garante in materia di videosorveglianza.

Due dei supermercati controllati dal Garante, inoltre, non avevano provveduto a segnalare adeguatamente la presenza delle telecamere con appositi cartelli o avevano omesso di indicare chi fosse il titolare del trattamento.

Il legale rappresentante di un supermercato aveva addirittura dichiarato al nucleo ispettivo che l’impianto di videosorveglianza non era in funzione, salvo poi doversi smentire di fronte alle evidenze raccolte.

L’Autorità ha dichiarato illecito il trattamento dei dati personali effettuato dalle sei società tramite i sistemi di videosorveglianza e ha disposto che tutti gli esercizi commerciali si adeguino entro trenta giorni alle misure prescritte alla luce della normativa sulla privacy e dallo Statuto dei lavoratori.

Sono in arrivo ulteriori provvedimenti nei confronti di altre società della grande distribuzione.