Linee guida European Data Protection Board: GDPR e videosorveglianza

L’European Data Protection Board (EDPB), in occasione della dodicesima sessione plenaria di luglio 2019, ha reso pubbliche le linee guida n. 3/2019 relative al trattamento dei dati personali in materia di videosorveglianza.

Si tratta di una tematica dal forte impatto sociale e che negli ultimi anni ha visto incrementare il livello di attenzione ad essa dedicato anche a fronte dell’utilizzo di tecnologie sempre più avanzate ed in continua evoluzione nonché di sistemi cosiddetti “intelligenti” potenzialmente sempre più rischiosi per i diritti e le libertà fondamenti dell’individuo, tanto da poter sfociare addirittura in utilizzi illeciti dei dati personali e particolari raccolti.

Lo scopo dunque delle linee guida dell’EDPB è proprio quello di fornire elementi utili al fine di utilizzare in modo lecito e conforme al GDPR i sistemi di videosorveglianza.

Indice

  1. Posizione dell’EDPB
  2. Quando non si applica il GDPR?
  3. Prescrizioni specifiche

1. Posizione dell’EDPB

Partendo dall’assunto che il monitoraggio sistematico e automatizzato di uno specifico spazio mediante dispositivi audiovisivi, ad esempio per la protezione della proprietà o per la tutela della vita e della salute dell’individuo, rappresenta un obiettivo primario per tutto il territorio europeo, il Comitato è intervenuto allo scopo di delineare un quadro organico ed omogeneo in tema di videosorveglianza.

L’EDPB innanzitutto ricorda che, nell’utilizzare sistemi di videosorveglianza gli Stati membri devono rispettare i principi sanciti dall’art. 5 del GDPR applicabili al trattamento di dati personali, tra cui ad esempio il principio della liceità, correttezza e trasparenza, il principio della limitazione della finalità ed il principio della minimizzazione dei dati. Dunque, prima di procedere all’installazione di un impianto di videosorveglianza bisogna verificare che si tratti realmente di uno strumento proporzionato alla finalità perseguita. Secondo il Comitato i sistemi di videosorveglianza possono essere infatti utilizzati solamente quando gli scopi perseguiti non possono essere raggiunti con altre modalità meno invasive, considerando la videosorveglianza come un’extrema ratio.

Pertanto, per minimizzare i dati e per evitare un’eccessiva raccolta degli stessi, il Comitato suggerisce di ricorrere a soluzioni di cancellazione automatica mediante sovrascrittura del registrato, con video accessibili solo in caso di necessità.

Considerato allora l’elevato numero di dati personali ed informazioni che possono essere raccolte tramite tali sistemi di videosorveglianza relative agli interessati, nonché il contesto e le finalità del trattamento, l’EDPB, in conformità al Regolamento, individua due “misure” necessarie:

  • Redazione di una Valutazione d’impatto sulla protezione dei dati personali (Data Protection Impact Assessment – DPIA) in tutti i casi in cui vi sia una sorveglianza sistematica su larga scala di una zona accessibile al pubblico, ex art. 35, par. 3, lett. c) del GDPR;
  • Nomina di un Responsabile della protezione dei dati (DPO | RPD) in tutti i casi in cui vi sia un monitoraggio regolare e sistematico degli interessati su larga scala, ex art. 37, par. 1, lett. b) del GDPR.

2. Quando non si applica il GDPR?

L’EDPB individua poi specifici casi di trattamento di dati personali tramite sistemi di videosorveglianza ai quali non si applica la normativa vigente.

  • Telecamere finte;
  • Videoregistrazioni ad alta quota;
  • Telecamere da park assist;
  • Trattamento di dati personali, anche mediante strumenti di videosorveglianza, effettuati dalle Autorità competenti ai sensi della Direttiva EU 2016/680;
  • Trattamento di dati personali da parte di una persona fisica per fini esclusivamente personali o domestici, svolti cioè nel corso della vita privata o familiare di un soggetto, ex art. 2, par. 2, lett. c) del GDPR.

3. Prescrizioni specifiche

L’EDPB, ripercorrendo i due provvedimenti del Garante italiano, del 2004 e 2010 finalizzati a chiarire e regolamentare il rapporto esistente tra le esigenze di sicurezza, prevenzione e repressione dei reati e il diritto alla riservatezza ed alle libertà individuali, ed in conformità con quanto previsto dal GDPR, afferma inoltre che:

  • Il trattamento di dati personali con dispositivi di videosorveglianza deve essere effettuato per finalità determinate, esplicite e legittime;
  • I Titolari del trattamento devono individuare la corretta base giuridica ai fini della liceità del trattamento;
  • In caso di trattamento, mediante videosorveglianza, di dati particolari quali ad es. i dati biometrici, i Titolari del trattamento devono procedere con una DPIA;
  • I dati raccolti possono essere comunicati o diffusi a terzi solo per determinati fini e previa individuazione della specifica base giuridica;
  • Gli interessati devono essere informati della presenza di impianti di videosorveglianza in modo chiaro ed intuitivo sia mediante l’utilizzo di “vignette”, che dovranno tra l’altro riportare i dati di contatto del DPO (ove applicabile), sia attraverso l’informativa privacy ex art. 13 GDPR;
  • I Titolari del trattamento devono determinare con esattezza il periodo di conservazione dei dati raccolti, nonché garantire misure tecniche ed organizzative di sicurezza elevate;
  • Il trattamento di dati personali mediante strumenti di videosorveglianza deve sempre tenere presente quanto previsto dall’art. 4 dello Statuto dei lavorati circa il divieto di controlli a distanza dei lavoratori.

Matteo Colombo confermato alla guida di ASSO DPO

L’assemblea nazionale di ASSO DPO rielegge Presidente Matteo Colombo per il triennio 2019 – 2022.

L’Assemblea nazionale di ASSO DPO, principale associazione italiana dei Data Protection Officer, riunita il 2 luglio 2019 a Milano ha eletto il nuovo Comitato Direttivo e confermato per il triennio 2019 – 2022 Matteo Colombo quale Presidente della stessa.

È stato confermato tutto il Comitato Direttivo, nelle figure di Emanuele Vettorello (Vice Presidente), Massimo Giuriati (Vice Presidente e Referente per i Soci), Nadia Arnaboldi (Coordinatore del Comitato Scientifico), Luca Almici (Coordinatore Tecnologie & Web) e Federica Castelli (Tesoriere).

A sei anni dalla fondazione, ASSO DPO – Associazione dei Data Protection Officer, che conta quasi 1000 iscritti ed è iscritta al registro MISE, continua a sostenere e sviluppare l’attività dei DPO, dei Consulenti della Privacy, dei Responsabili della Protezione dei Dati, mediante il confronto e lo scambio di informazioni tra gli associati.

E’ stata nominata Rossana Baldon in qualità di Event&Communication Manager. 

A parere di Matteo Colombo: “la sfida associativa sarà accompagnare i professionisti della data protection ad accrescere le loro competenze e conoscenze del Regolamento GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati. La difesa dei dati è uno dei punti cruciali della società digitale e un punto di confronto importante fra aziende, istituzioni e consumatori.

Questa nuova professione“, continua Colombo, “ha portato solo in Italia più di 50.000 nuovi posti di lavoro in un anno e secondo uno studio di IAPP – International Association of Privacy Professional – sono più di 500.000 i DPO in Europa; una professione del nuovo millennio che va oltre i confini, e per la quale è necessario fare rete su scala internazionale”.

Infatti fra le sfide vinte nell’ultimo mandato ricordiamo l’ammissione di ASSO DPO in CEDPO (Confederazione delle Organizzazioni Europee per la Data Protection) e l’organizzazione a Milano del 5° Congresso Internazionale Annuale che riunisce a maggio il gotha dei professionisti della privacy | www.congressoassodpo.it.

La novità di Weople nello scenario della data protection post GDPR

Con l’entrata in vigore del GDPR, lo scorso 25 maggio 2018, nasce anche un nuovo mercato, in Italia preannunciato dalla costituzione della startup Hoda S.r.l. (Holistic Data Activation) poco prima dell’entrata in vigore della nuova normativa europea sul trattamento dei dati personali: la valorizzazione dei dati personali, che potrà offrire valore aggiunto sia alle aziende Titolari del trattamento sia ai consumatori interessati del trattamento.

Il valore delle informazioni riguardanti ciascun individuo

Le persone sono al centro della protezione dei dati inaugurata dal GDPR. Anche solo scaricando una App che ci interessa oppure caricando in Google Maps una destinazione, ciascuna persona parla di sé, di quali gusti ha, di quali interessi. Insomma, le informazioni fornite si trasformano in dati utili ai più svariati usi ed acquistano valore perché concorrono tutti a creare dei modelli utili alle Aziende, da usare soprattutto per rivolgere al pubblico consumatore pubblicità e proposte mirate e stimolanti.

Come Hoda si propone di intervenire in questa dinamica di mercato?

Innanzi tutto, con una App molto fruibile da chiunque voglia registrarsi: la piattaforma Weople, sviluppata per Apple e Android intende raccogliere, proteggere ed anche far fruttare i dati personali di coloro che si iscrivono. Tra i diversi servizi, per esempio, previa delega dei propri iscritti, si pone come tramite con le aziende per richiedere copia dei dati (in base al diritto della data portability, sancito all’art. 20 GDPR) e poi depositarli in un conto dedicato per singolo utente iscritto.

Il valore aggiunto che offre agli interessati

L’obiettivo è quello di garantire agli interessati consumatori maggior consapevolezza sul valore dei propri dati personali e della loro condivisione con altri soggetti attori del mercato.

Quale il valore aggiunto nei confronti delle aziende titolari del trattamento?

Weople ha l’obiettivo di proporsi non solo ai consumatori, ma anche alle aziende quale strumento di intermediazione utile per gestire i rapporti con gli interessati che possono essere coinvolti nei trattamenti di dati legati al buisness, inviando offerte e comunicazioni agli utenti iscritti a questa nuova piattaforma.

Ad un anno di distanza, l’attività della piattaforma Weople inizia a farsi consistente nei confronti dei Titolari del trattamento: un class actor che agisce collettando le richieste da parte di interessati coinvolti nei trattamenti effettuati da Grandi aziende B2C, che basano il loro buisness su attività di marketing diretto, profilazione, analisi dei dati dei loro consumatori ed inviandole poi ai contatti privacy dei Titolari del trattamento.

Spunti di riflessione

Si realizza uno scambio di informazioni che vede il coinvolgimento non solo del Titolare del trattamento e dell’interessato coinvolto, ma anche di un terzo soggetto, che colletta tutti i dati personali ricevuti, in banche dati dedicate.

Quindi, quali informazioni le società possono condividere rispettando l’urgenza di dare riscontro alle richieste degli interessati ai sensi del GDPR?

Sono sufficienti le garanzie offerte dalla piattaforma sulla reale corrispondenza dell’identità dell’interessato che effettua la richiesta tramite Weople, sulle misure di sicurezza applicate a protezione dei dati personali, sulla definizione dei rapporti privacy dei vari soggetti e gestione reale della filiera di responsabilità?

Nel mentre, come si devono comportare i Titolari del trattamento e quindi, anche i professionisti che li stanno supportando nella gestione della nuova normativa europea per la protezione dei dati personali?

Prima di affidarsi ad un servizio simile, per non incorrere in inconsapevoli violazioni, urge certamente una pronuncia e valutazione dell’Autorità Garante Privacy in merito, affinché anche i Titolari del trattamento possano utilizzare in modo consapevole e sicuro questo nuovo strumento ed opportunità del mercato ed in modo da sancire una corretta e trasparente collaborazione, nel pieno rispetto del principio di responsabilizzazione (Accountability) cui il GDPR chiama tutti i soggetti del mercato che trattano dati personali.

Data breach: il caso Italiaonline, risvolti pratici e spunti operativi

Il tema della violazione dei dati personali ha sempre suscitato grande attenzione presso i privacy professionals e le aziende che quotidianamente si trovano a dover affrontare attacchi informatici, nonché i conseguenti danni economico-reputazionali scaturenti da una non corretta gestione degli stessi.

Dal 2018 ad oggi si sono susseguiti diversi provvedimenti del Garante Italiano sul tema (si pensi, ad esempio, alle recenti pronunce relative alle intrusioni informatiche nella piattaforma Rousseau e nell’applicazione “Speedy Arena” di Unicredit S.p.A.): il focus era proiettato sull’analizzare “a monte” l’adeguatezza delle misure tecnico organizzative adottate sui sistemi oggetto di data breach e l’idoneità del processo impostato dall’azienda per prevenire violazioni di dati.

INDICE
– Il caso pratico Italiaonline
– Spunti pratici del Garante

Il caso pratico Italiaonline

Con il provvedimento del 30 Aprile 2019 (doc. web n. 9116509), il Garante si concentra invece sull’analisi “a valle” della procedura di data breach adottata dall’azienda e, nello specifico, sul “come” notificare la violazione di dati personali agli interessati ai sensi dell’art. 34 GDPR (General Data Protection Regulation).

Il caso in esame trae origine dal data breach subito da Italiaonline S.p.A., principale provider di servizi di posta elettronica a livello nazionale (Virgilio e Libero): nel febbraio 2019, a seguito di accesso fraudolento mediante un hot spot wi-fi della rete dell’azienda, erano stati violati circa 1,5 milioni di credenziali di account di posta elettronica riconducibili ad utenti che avevano eseguito l’accesso mediante webmail.

Spunti pratici del Garante

Il provvedimento in questione, pubblicato in una recente newsletter dello stesso Garante lo scorso 30 Maggio, pone il focus sulla modalità con cui era stata comunicata agli interessati la violazione di dati personali, fissando due importanti regole pratiche:

necessità di fornire all’interessato una descrizione della natura della violazione e delle possibili conseguenze della stessa: nel caso di specie, infatti, le mail di comunicazione del data breach inviata agli utenti contenevano un riferimento ad un’“attività anomala sui sistemi” senza fornire ulteriori dettagli. Veto del Garante, dunque, a comunicazioni generiche

necessità di specificare le azioni correttive suggerite dall’azienda agli interessati per proteggersi da eventuali, ulteriori violazioni di dati personali. Il suggerire (come avvenuto nel caso di specie) il semplice cambio password secondo il Garante è insufficiente: la comunicazione deve infatti garantire una tutela a 360 gradi dell’utente. Si impone dunque all’azienda di fornire raccomandazioni di dettaglio all’interessato come ad esempio il “non utilizzare più le credenziali compromesse, modificando la password per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione”.

La vicenda analizzata dal Garante a più riprese fornisce interessanti spunti operativi per le aziende Titolari del Trattamento. La stessa fissa peraltro un ulteriore, importante tassello nel disciplinare un ambito – quello della violazione dei dati personali – che ha numerose ripercussioni non solo in tema GDPR, ma anche in tema di sicurezza informatica e, soprattutto, di revisione dei processi delle nostre aziende italiane.

Convocazione Assemblea Ordinaria Soci ASSO DPO

Convocazione Assemblea Ordinaria per i soci ASSO DPO per l’approvazione del Rendiconto economico-finanziario 2018 e l’elezione del Comitato Direttivo di ASSO DPO.

I soci dell’Associazione Data Protection Officer sono convocati, ai sensi degli artt. 13 e 14 dello Statuto, in Assemblea ordinaria in prima convocazione presso il Glam Hotel in Piazza Duca d’Aosta n. 4/6 a Milano (MI) – di fronte alla Stazione Centrale di Milano – il giorno 2 luglio 2019 alle ore 13.30 ed eventualmente in seconda convocazione il giorno 2 luglio 2019 alle ore 14.30.

Scopri tutti i dettagli >