1. Conferenza stampa di presentazione della 45esima Privacy e Videosorveglianza Esposizione Internazionale di Information & DECALOGO 2010 Technology Communications un anno dopo Pierantonio Macola di Massimo Farina massimo@massimofarina.it http://www.massimofarina.it 2

2. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo CODICE DELLA PRIVACY (D.LGS. 196/03) Provvedimento in Coordinamento con le materia di altre fonti che regolano i FONTI videosorveglianza - 8 singoli settori: p.es. aprile 2010 Statuto dei Lavoratori (G.U. n. 99 del 29/04/2010) NOTA: la raccolta, la registrazione, la conservazione e, in generale, lutilizzo di immagini configura un trattamento di dati personali cio di informazioni relative a persone fisiche identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione 2 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

3. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo -informativa -conservazione delle immaginiPrincipali adempimenti Sicurezza urbana Sistemi integratiSettori di Sistemi intelligentiparticolare interesse Violazioni al codice della strada Deposito rifiuti Luoghi di lavoro Ospedali e luoghi di cura Istituti scolastici Settori specifici Taxi e Trasporto pubblico Webcam a scopo turistico 3 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

4. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo " in crescita costante il ricorso alle telecamere di controllo in aree aperte al pubblico e in aree private cos come lutilizzo di tecnologie sofisticate e sistemi miniaturizzati" In continuo aumento anche limpiego di dispositivi miniaturizzati o camuffati 4 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

5. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo ESEMPI DI INFORMATIVE INIDONEE "Questo esercizio servito da un sistema telesorveglianza" Assenza di informativa art. 13 Codice Privacy (informativa semplificata) "Attenzione: locali muniti di sistema di videosorveglianza" "In questo edificio sono attive telecamere di controllo" PERSISTONO LE CRITICIT Esempio: trasmissione di dati GI Assenza di adozione di ripresi dalle telecamere per via idonee misure di sicurezza telematica (Internet) non protetti EVIDENZIATE da efficaci sistemi di codifica UN ANNO FA Esempi: Assenza di regole per il trattamento (tempi di registrazione e di Assenza di un regolamento archiviazione); interno per il trattamento dei dati - Mancata individuazione del responsabile del trattamento e degli incaricati al trattamento; - Assenza di regolamentazione per i casi di trattamento in outsorcing (istituti di vigilanza privati). 5 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

6. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo chi installa telecamere devePRINCIPIO DI FINALIT perseguire finalit determinate e di propria pertinenza.ESEMPI DI FINALIT1) la sicurezza urbana, lordine e la sicurezza pubblica, la prevenzione, laccertamento o la repressionedei reati;2) la protezione della propriet;3) la rilevazione, prevenzione e controllo delle infrazioni da parte dei soggetti pubblici a ci prepostidalla legge;4) lacquisizione di prove.IERI OGGIAlcune amministrazioni comunali Recenti disposizioni legislative in materia di sicurezza (Decretoindicano indebitamente, come scopo Legge antistupro del 23 febbraio 2009) hanno attribuito ai sindaci ildella sorveglianza, finalit di sicurezza compito di sovrintendere alla vigilanza ed alladozione di atti chepubblica, prevenzione e accertamento sono loro attribuiti dalla legge e dai regolamenti in materia didei reati che competono invece solo ad ordine e sicurezza pubblica, nonch allo svolgimento delle funzioniorgani giudiziari o a forze armate o di affidati ad essi dalla legge in materia di sicurezza e di poliziapolizia giudiziaria 6 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

7. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo trattamento pertinente e non eccedente, rispetto alle finalit perseguite; ci si concretizza, adPRINCIPIO DI esempio, nella scelta dellePERTINENZA E NON ECCEDENZA modalit di ripresa e dislocazione delle telecamere (fisse o brandeggiabili, dotate o meno di zoom). NOVIT4.5. Utilizzo di web cam o camera-on-line a scopi promozionali-turistici o pubblicitariLe attivit di rilevazione di immagini a fini promozionali-turistici o pubblicitari, attraversoweb cam devono avvenire con modalit che rendano non identificabili i soggetti ripresi.Ci in considerazione delle peculiari modalit del trattamento, dalle quali deriva unconcreto rischio del verificarsi di un pregiudizio rilevante per gli interessati: le immaginiraccolte tramite tali sistemi, infatti, vengono inserite direttamente sulla rete Internet,consentendo a chiunque navighi sul web di visualizzare in tempo reale i soggetti ripresi edi utilizzare le medesime immagini anche per scopi diversi dalle predette finalitpromozionali-turistiche o pubblicitarie perseguite dal titolare del trattamento. 7 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

8. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo INFORMATIVA (semplificata)Tutti coloro che transitano nelle aree videocontrollate devono essereopportunamente informati della presenza di telecamere attraverso laffissionedi appositi cartelli chiaramente visibili ed esplicativi degli elementi previstiallart. 13 del d.lgs. 196/03, anche quando il sistema di videosorveglianza attivo in ORARIO NOTTURNO. Il Provvedimento del 2010 introduce una nuova tipologia di informativa, peri soggetti privati che effettuano trattamenti di immagini con sistemi divideosorveglianza collegati con le forze di polizia; Rimane anche linformativa gi adottata con il Provvedimento del 2004 8 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

9. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo POSIZIONAMENTO DELLINFORMATIVA deve essere collocato prima del raggio di azione della telecamera, anche nellesue immediate vicinanze e non necessariamente a contatto con gli impianti; deve avere un formato ed un posizionamento tale da essere chiaramente visibilein ogni condizione di illuminazione ambientale, anche quando il sistema divideosorveglianza sia eventualmente attivo in orario notturno; pu inglobare un simbolo o una stilizzazione di esplicita e immediatacomprensione, eventualmente diversificati al fine di informare se le immaginisono solo visionate o anche registrate. NOTA: Il Garante ritiene auspicabile che linformativa, resa in forma semplificata [] poi rinvii a un testo completo contenente tutti gli elementi di cui allart. 13, comma 1, del Codice [] 9 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

10. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo ESENZIONI DALLOBBLIGO DINFORMATIVA (Art. 3.1.1 - Provv. 8 apr. 2010)Trattamenti svolti dalle forze di polizia, dagli organi di pubblica sicurezza e daaltri soggetti pubblici per finalit di tutela dellordine e della sicurezzapubblica, prevenzione, accertamento o repressione dei reati.NOTA: Lassenza dellobbligo non significa divieto; infatti, per i titolari deipredetti trattamenti espressamente prevista la possibilit di rendere nota larilevazione di immagini tramite impianti di videosorveglianza attraverso formeanche semplificate di informativa, che evidenzino, mediante lapposizione nellacartellonistica di riferimenti grafici, simboli, diciture, lutilizzo di tali sistemi perfinalit di tutela dellordine e della sicurezza pubblica, prevenzione,accertamento o repressione dei reati.SANZIONE AMMINISTRATIVA da seimila euro a trentaseimila euro 10 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

11. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopoTEMPO MASSIMO DI CONSERVAZIONE E REGISTRAZIONE DELLEIMMAGINI: poche ore o, al massimo, ventiquattro ore successive allarilevazione PER I COMUNI (sicurezza urbana): conservazione dei dati fino ai sette giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante luso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione. ECCEZIONI peculiari esigenze tecniche (mezzi di trasporto) particolare rischiosit dellattivit svolta dal titolare del trattamento (le banche, per le quali pu risultare giustificata lesigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina)Il sistema impiegato deve essere programmato in modo da operare almomento prefissato lintegrale cancellazione automatica delle informazioniallo scadere del termine previsto da ogni supporto, anche mediante sovra-registrazione, con modalit tali da rendere non riutilizzabili i dati cancellatiSANZIONE AMMINISTRATIVA da trentamila euro a centottantamila euro 11 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

12. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo LA VERIFICA PRELIMINARE del Garante (Art. 3.2 Provv. 8 apr. 2010) necessaria in caso di rischi specifici per i diritti e le libert fondamentali,nonch per la dignit degli interessati, in relazione alla natura dei dati o allemodalit di trattamento o agli effetti che pu determinare.Es. Sistemi intelligenti: dotati di software che permettono lassociazione di immaginia dati biometrici (es. "riconoscimento facciale") o in grado, ad esempio, di riprendere eregistrare automaticamente comportamenti o eventi anomali e segnalarli (es. "motiondetection")NOTA: nessuna approvazione implicita pu desumersi dal semplice inoltro al Garante didocumenti relativi a progetti di videosorveglianza (spesso generici e non valutabili a distanza) cuinon segua un esplicito riscontro dellAutorit, in quanto non si applica il principio del silenzio-assenso. 12 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

13. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo MISURE DI SICUREZZA 1/3a) in presenza di differenti competenze specificatamente attribuite ai singoli operatori devono essere configurati diversi livelli di visibilit e trattamento delle immagini. Laddove tecnicamente possibile, in base alle caratteristiche dei sistemi utilizzati, i predetti soggetti, designati incaricati o, eventualmente, responsabili del trattamento, devono essere in possesso di credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza;b) laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altres attentamente limitata la possibilit, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione;c) per quanto riguarda il periodo di conservazione delle immagini devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto ; 13 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

14. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo MISURE DI SICUREZZA 2/3d) nel caso di interventi derivanti da esigenze di manutenzione, occorre adottarespecifiche cautele; in particolare, i soggetti preposti alle predette operazionipossono accedere alle immagini solo se ci si renda indispensabile al fine dieffettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati dicredenziali di autenticazione abilitanti alla visione delle immagini;e) qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gliapparati medesimi devono essere protetti contro i rischi di accesso abusivo di cuiallart. 615-ter del codice penale;f) la trasmissione tramite una rete pubblica di comunicazioni di immagini ripreseda apparati di videosorveglianza deve essere effettuata previa applicazione ditecniche crittografiche che ne garantiscano la riservatezza; le stesse cautelesono richieste per la trasmissione di immagini da punti di ripresa dotati diconnessioni wireless (tecnologie wi-fi, wi-max, Gprs). 14 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

15. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo MISURE DI SICUREZZA 3/3 Il mancato rispetto di quanto previsto nelle lettere da a) ad f) appena viste comporta lapplicazione della sanzione amministrativa da trentamila euro a centottantamila euro (art. 162, comma 2-ter, del Codice).SANZIONI Lomessa adozione delle misure minime di sicurezza comporta lapplicazione della sanzione amministrativa da diecimila euro a centoventimila euro, e la sanzione penale dellarresto sino a due anni 15 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

16. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo Diritti degli interessati (Art. 3.5 Provv. 8 apr. 2010)Deve essere assicurato agli interessati identificabili il diritto di accedere ai datiche li riguardano, di verificarne le finalit, le modalit e la logica del trattamento(art. 7 del Codice).La risposta ad una richiesta di accesso a dati conservati deve riguardare tuttiquelli attinenti al richiedente identificabile e pu comprendere eventuali datiriferiti a terzi [] nei soli casi in cui la scomposizione dei dati trattati o laprivazione di alcuni elementi renda incomprensibili i dati personali relativiallinteressato (art. 10, comma 5, del Codice).Linteressato ha diritto di ottenere il blocco dei dati qualora essi siano trattati inviolazione di legge (art. 7, comma 3, lett. b), del Codice). 16 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

17. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo SETTORI SPECIFICI (articolo 4) A UR D IC RA SISTEMI INTEGRATI DI VIDEOSORVEGLIANZA G HI PP OR (new) L UO TI D IE I LA L VO E DA RO O SP VIDEOSORVEGLIANZA I T AX Oe IST ITU LIC TI BB SC PU ) O ew WEBCAM A SCOPO TURISTICO OL RT (n AS PO (new) TI C AS I T R 17 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

18. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo RAPPORTI DI LAVORO LIMITI GI IMPOSTI DALLO STAUTO DEI LAVORATORI (L. 300/1970) divieto di utilizzo di mezzi di sorveglianza a distanza per finalit di mero controllo Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali divieto assoluto di ripresa negli ambienti non destinati al lavoro, quali spogliatoi, docce armadietti e luoghi ricreativi Nellipotesi in cui il datore di lavoro intenda promuovere la propria attivit imprenditoriale con riprese televisive sui luoghi di lavoro, rimane fermo il diritto del lavoratore di opporsi alle riprese Decisione del Garante Privacy del 26 febbraio 2009: Non lecito installare telecamere che possano controllare i lavoratori, anche in aree e locali dove si trovino saltuariamente (p. es: Aree di carico e scarico) 18 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

19. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo RAPPORTI DI LAVOROLe regole dettate dal decalogo si osservano anche allinterno degli edifici in altri contesti in cui resa la prestazione di lavoro (ad esempio, nei cantieri edili o conriferimento alle telecamere installate su veicoli adibiti al servizio di linea per il trasporto di persone) o su veicoli addetti al servizio di noleggio con conducente e servizio di piazza (taxi) per trasportodi persone (le quali non devono riprendere in modo stabile la postazione di guida, e le cui immagini,raccolte per finalit di sicurezza e di eventuale accertamento di illeciti, non possono essereutilizzate per controlli, anche indiretti, sullattivit lavorativa degli addetti).SANZIONIIl mancato rispetto di quanto sopra prescritto comporta lapplicazione della sanzioneamministrativa del pagamento di una somma da trentamila euro a centottantamila euroLutilizzo di sistemi di videosorveglianza preordinati al controllo a distanza dei lavoratori oad effettuare indagini sulle loro opinioni integra la fattispecie di reato prevista dallart. 171del Codice (ammenda da lire 300.000 a lire 3.000.000 o con larresto da 15 giorni ad un anno). 19 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

20. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo OSPEDALI E LUOGHI DI CURA (DATI SENSIBILI) Sono autorizzati ad accedere le riprese devono essere alle immagini solo i soggetti limitate ai casi di stretta appartenenti al personale indispensabilit medico ed infermieristico Possono, inoltre, accedere alle immagini i familiari di ricoverati in reparti dove non sia consentito agli stessi di recarsi personalmente (per esempio, rianimazione) FATTO DIVIETO ASSOLUTO DI VISIONE DELLE IMMAGINI AI SOGGETTI ESTRANEIIl mancato rispetto di quanto sopra prescritto comporta lapplicazione della sanzione amministrativa diuna somma da trentamila euro a centottantamila euro.La diffusione di immagini in violazione dellart. 22, comma 8, comporta lapplicazione della sanzioneamministrativa da diecimila euro a centoventimila, e della reclusione da uno a tre anni. 20 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

21. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo ISTITUTI SCOLASTICISpesso in tali contesti il trattamentoriguarderebbe soggetti minori Le riprese devono essere circoscritte alle sole aree interessate ed attivate negli orari di chiusura degli istituti SANZIONI Il mancato rispetto delle suddette regole comporta lapplicazione della sanzione amministrativa da trentamila euro a centottantamila euro 21 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

22. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo TRASPORTO PUBBLICO (autobus, i tram, i taxi ed i veicoli da noleggio con o senza conducente) FINALIT situazioni di particolare rischio OBBLIGO DI INFORMATIVATaxi: le telecamere non devonoriprendere in modo stabile la apposite indicazioni o contrassegni che diano conto conpostazione di guida e la loro presenza immediatezza della presenza dellimpianto dideve essere segnalata con appositi videosorveglianzacontrassegni. SANZIONI Assenza di informativa: sanzione amministrativa del pagamento di unaTrasporto pubblico: lecita somma da seimila euro a trentaseimila eurolinstallazione su mezzi di trasporto Controllo a distanza del lavoratore: ammenda da lire 300.000 a lirepubblico e presso le fermate, ma 3.000.000 o con larresto da 15 giorni ad un annorispettando limiti precisi (es.angolo Mancato rispetto delle disposizioni relative alle aree di fermata:visuale circoscritto, riprese senza luso pagamento di una somma da trentamila euro a centottantamila eurodi zoom). 22 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

23. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo WEB CAM O CAMERA-ON-LINE A SCOPI PROMOZIONALI-TURISTICI O PUBBLICITARI Le immagini raccolte tramite tali sistemi, infatti, vengono inserite direttamente sulla rete RISCHI Internet, consentendo a chiunque navighi sul web di visualizzare in tempo reale i soggetti ripresi e di utilizzare le medesime immagini anche per scopi diversi dalle predette finalit promozionali-turistiche o pubblicitarie perseguite dal titolare del trattamento LE RIPRESE devono avvenire con PRESCRIZIONI modalit che rendano non identificabili i soggetti ripresi 23 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

24. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo a) gestione coordinata di funzioni e servizi tramite condivisione, delle immagini riprese da Sistemi integrati di parte diversi e autonomi titolari del trattamento, i quali utilizzano le medesime infrastrutture videosorveglianza tecnologiche: i singoli titolari possono trattare le immagini solo nei termini strettamente collegano telecamere tra funzionali al perseguimento dei propri compiti soggetti diversi, sia istituzionali ed alle finalit chiaramente indicate pubblici che privati, o nellinformativa. consentono la fornitura di servizi di videosorveglianza b) collegamento telematico di diversi titolari del "in remoto" da parte di trattamento ad un "centro" unico gestito da un societ specializzate (es. soggetto terzo; tale soggetto terzo, designato societ di vigilanza, Internet responsabile del trattamento ai sensi dellart. 29 providers) mediante del Codice da parte di ogni singolo titolare, collegamento telematico ad deve assumere un ruolo di coordinamento e un unico centro, sono gestione dellattivit di videosorveglianza senza obbligatorie specifiche consentire, tuttavia, forme di correlazione delle immagini raccolte per conto di ciascun titolare misure di sicurezza. 24 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

25. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo Sicurezza urbanaI Comuni che installano telecamere per fini di sicurezza urbana hannolobbligo di mettere cartelli che ne segnalino la presenza, salvo che leattivit di videosorveglianza siano riconducibili a quelle di tutela specificadella sicurezza pubblica, prevenzione, accertamento o repressione deireati. La conservazione dei dati non pu superare i 7 giorni, fatte salvespeciali esigenze.NOTA: Non spetta a questa Autorit definire il concetto di sicurezza urbana edelimitarne lambito operativo rispetto a quelli di ordine e sicurezza pubblica 25 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

26. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo Violazioni al codice della stradaobbligatori i cartelli che segnalino i sistemi elettronici di rilevamento delleinfrazioni. Le telecamere devono riprendere solo la targa del veicolo (non quindiconducente, passeggeri, eventuali pedoni). Le fotografie o i video cheattestano linfrazione non devono essere inviati al domicilio dellintestatario delveicolo. Deposito rifiutiLecito lutilizzo di telecamere per controllare discariche di sostanze pericoloseed "eco piazzole" per monitorare modalit del loro uso, tipologia dei rifiutiscaricati e orario di deposito. 26 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

27. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo lattenzione Grazie per l attenzione massimo@massimofarina.it http://www.massimofarina.it 27 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it

28. Privacy e VideosorveglianzaDECALOGO 2010. un anno dopo LICENZA Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5 Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare lopera, di creare opere derivate alle seguenti condizioni: Attribuzione. Devi riconoscere il contributo dellautore originario. Non commerciale. Non puoi usare questopera per scopi commerciali. Condividi allo stesso modo. Se alteri, trasformi o sviluppi questopera, puoi distribuire lopera risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di questopera. Se ottieni il permesso dal titolare del diritto dautore, possibile rinunciare ad ognuna di queste condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra 28 Massimo Farina - www.massimofarina.it - massimo@massimofarina.it