ARGOMENTO:

Dal mio punto di vista l'elemento discriminante è la vulnerabilità dei soggetti interessati, in questo caso i dipendenti. Come riportato nell'elenco dei trattamenti ricadenti sotto obbligo PIA dal Garante, che rimanda al WP 248, i lavoratori dipendenti sono considerati soggetti vulnerabili alla stregua di altri soggetti, proprio per lo squilibrio derivante dal "subordine" rispetto al datore di lavoro. Per questo da parte mia suggerisco di fare la PIA in caso di presenza di impianti di videosorveglianza che possano configurarsi, anche incidentalmente, come strumenti di controllo a distanza dei lavoratori, seppur regolarmente autorizzati dalle DTL competenti e conformi alle prescrizioni dei provvedimenti del Garante.

Interessante il collegamento tra gli impianti citati nel provvedimento del 2010 e l'art 35.Per quanto riguarda le telecamere su parcheggio pubblico, si ricorda che gli unici a poter effettuare attività di pubblica sicurezza sono gli organismi preposti.

Telecamera privata che riprende uno spazio pubblico (es.parcheggio pubblico) è certamente un illecito ed anche di una certa gravità. La modalità utilizzata è sproporzionata rispetto al fine. Un cartello non sana l'illecito.

Per i trattamenti effettuati da una persona fisica per attività personali o domestiche non si applica il GDPR ma il cod.civile , c.penale.

Se ho ben capito, una telecamera puntata sul parcheggio del piazzale pubblico antistante ad un'abitazione privata non è legale? Questo anche se la videosorveglianza è dovutamente segnalata con i nuovi cartelli nella versione delle Linee Guida dell'EDPB? Mi risulta che molti condomini hanno installato sistemi di videosorveglianza per prevenzione di furti e atti vandalici degli autoveicoli, ma lo spazio del parcheggio è assolutamente pubblico.

Gianni

Alimento l'interessante questione in modo schematico prendendo anche come appoggio l'utilissima circolare di federprivacy:

il provvedimento generale prescrittivo dell’8 aprile 2010 dell’Autorità Garante prevedeva tutta una serie di ipotesi che andavano sottoposte a verifica preliminare e ora, come detto, riconducibili all’articolo 35 GDPR. Si tratta:

• dei sistemi di videosorveglianza abbinati a dati biometrici; • degli impianti dotati di software, c e consentono il Riconoscimento delle persone; • dei sistemi c.d. intelligenti, c e cioè non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli ed eventualmente registrarli; • dei sistemi integrati di videosorveglianza; • delle casistiche di allungamento dei tempi di conservazione delle immagini oltre il previsto termine massimo di sette giorni.

è ancora applicabile tale provvedimento in quanto conforme alle Linee Guida 3/2019 sul trattamento di dati personali attraverso Videosorveglianza? io penso proprio che sia valido in quanto non differisce dalla Linee guida

la DPIA è obbligatoria quando il trattamento dei dati - per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità - può presentare un rischio elevato per i diritti e le libertà delle persone. Dobbiamo sottolineare il concetto di rischio elevato che si può applicare in circostanze particolari, Gli esempi possono essere molteplici; si pensi ai sistemi di videosorveglianza “face detection” per finalità di marketing, o di “face recognition” per motivi di sicurezza, o all’utilizzo di tecnologie sul controllo accessi basate sulla biometrie e/o la geolocalizzazione.

Quindi la classica videosorveglianza per finalità di tutela patrimonio a mio avviso non è sottoponibile a Dpia e se dovesse riprendere spazi pubblici sarebbe illegale.

Riguardo alle riprese dei lavoratori è necessario visionare una circolare dell'inl che ancora viene applicata dagli ispettori (5/2018) che pone quasi un divieto, a mio avviso assurdo, per la videosorveglianza con la ripresa accessibile da remoto.

L'autorizzazione dell'INL è sempre necessaria... trovami un posto non accessibile ai lavoratori? non esiste..

Buongiorno a tutti. Scrivo questo post come spunto di discussione su un argomento di sicuro interesse che, alla luce anche delle recenti linee guida dei garanti europei, diviene ancora più attuale.
Chi ha un impianto di videosorveglianza ricade nell'obbligo di DPIA?
La risposta a mio avviso, va ricercata analizzando tutte le fonti che abbiamo a diposizione. Attualmente vanno prese in considerazione il GDPR, il provvedimento del Garante per la protezione dei dati personali del 2010, il wp 248 rev01 e la lista (seppur quella relativa al meccanismo di coerenza) dei trattamenti soggetti a DPIA.
Il GDPR fa alcuni esempi di trattamenti soggetti a DPIA tra cui emerge anche "c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.". Concetto poi chiarito meglio anche dal considerando 91 che afferma " Una valutazione d'impatto sulla protezione dei dati è altresì richiesta per la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi optoelettronici".
Il concetto di larga scala non è un concetto ancora del tutto chiaro ma le indicazioni fornite nel gdpr e nei vari pareri del Garante ci indica che per analizzare se un trattamento sia effettuato su larga scala, si devono considerare i seguenti parametri: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale alla popolazione di riferimento;
-il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
-la durata, ovvero, la persistenza dell’attività di trattamento;
-la portata geografica dell’attività di trattamento.
Venendo ora alla lista del Garante italiano, in essa è riportato che sono soggetti a DPIA "Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione)dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri in. 3, 7 e .
Quindi abbiamo due tipologie di impianti su cui devono essere effettuate due tipologie di valutazione: impianti che non inquadrano il lavoratori; impianti che inquadrano i lavoratori.
Partiamo dai primi. Prendiamo ad esempio un bar che inquadra l'ingresso principale. La domanda che dobbiamo porci in questo caso è se l'impianto inquadra zone accessibili al pubblico e se si, se siamo in presenza di un trattamento su larga scala. Di sicuro il locale è un luogo aperto al pubblico. Tuttavia ad avviso di chi scrive, difficilmente il numero di soggetti che vi accedono, considerata anche una limitazione del periodo di conservazione dei dati limitata (ad esempio a 24 ore) può ricadere nel concetto di larga scala. E se inquadrasse anche una porzione di strada? Anche in questo caso probabilmente non si ricadrebbe nel concetto di larga scala considerando una porzione di strada limitata in base al principio di minimizzazione.
Se invece le immagini fossero effettuate da una azienda al suo interno, forse cadrebbe anche la caratteristica di zona accessibile al pubblico.
Il secondo caso invece riguarda l'inquadrare i lavoratori. Qui la stessa lista ci chiede di analizzare il combinato disposto della lista e del wp 248.
Leggendo quanto scritto nella lista, si indicano trattamenti effettuati nell'ambito del rapporto di lavoro da cui può derivare un controllo. Da sottolineare come in questi casi vi sia già una prima garanzia che è quella dell'autorizzazione dell'ispettorato del lavoro o delle rappresentanze sindacali (elemento che limita già di molto il rischio). Ma analizzando il WP 248 nei punti citati nella lista al punto in oggetto, questo afferma che è soggetto a DPIA un "trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o "la sorveglianza sistematica su larga scala di una zona accessibile al pubblico" Quindi si torna a parlare di larga scala e inoltre di un impianto che ha lo scopo di monitorare e controllare. Quindi prendendo ad esempio il caso di una azienda che inquadra il piazzale per motivi di sicurezza dichiarati anche all'ispettorato del lavoro, nell'inquadratura potrebbero a volte rientrare anche dei dipendenti che ad esempio caricano i camion. Alla luce del WP 248, detto trattamento non rientrerebbe ad avviso di chi scrive nell'obbligo di DPIA in quanto lo scopo dell'impianto non è quello di monitorare i lavoratori (e d'altronde le immagini non potrebbero essere utilizzate per tale scopo come da statuto dei lavoratori) ed inoltre il trattamento non avverrebbe su larga scala.
Un'ulteriore elemento che fa propendere per la non obbligatorietà della DPIA è che il provvedimento del Garante del 2010 considerava particolarmente rischiosi e quindi soggetti a notifica (di cui la DPIA è una sorta di discendente) solo i trattamenti che comportavano un rischio elevato e in particolar modo gli impianti che facevano un uso di tecnologie abbinate (es riconoscimento facciale, associazione biometrica…). E tale concetto è ripreso anche in effetti dal punto 8 del WP 248-rev01 che indica tra i criteri da considerare per la DPIA, che vi sia uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, quali la combinazione dell'uso dell'impronta digitale e del riconoscimento facciale per un miglior controllo degli accessi fisici.
Alla luce di tutto quanto indicato ritengo che la maggior parte delle aziende non ricada nell'obbligo di DPIA. Tuttavia questa può risultare un utile strumento e quindi il suo utilizzo è di certo apprezzato. Ma dobbiamo anche considerare sempre il carico burocatico di piccole attività che non vanno oberate di oneri non essenziali.
Gradirei un vostro parere per un costruttivo confronto
un saluto a tutti.