licenza http://creativecommons.org/licenses/by-nc/2.5/it ; versione online[1] su www.compliance.normativa.it ; data di pubblicazione: 3 novembre 2010

Abstract

L’articolo riepiloga le principali novità che, nel corso del 2010, hanno interessato la normativa sulla privacy: marketing, videosorveglianza, social network. Sono ipotizzano i temi che saranno al centro della discussione nel 2011: privacy by design, accountability.

Parole chiave: privacy, marketing, videosorveglianza, privacy by design, accountability

Le principali novità del 2010 in ambito privacy

Nel corso del 2010 ci sono stati numerosi cambiamenti nella disciplina in materia di protezione dei dati personali, comprese alcune modifiche al testo del decreto legislativo 30 giugno 2003[2] n. 196, “Codice in materia di protezione dei dati personali”.

Di seguito alcune delle novità più rilevanti.

• Telemarketing: passaggio, per le sole telefonate “commerciali”, da un regime di opt-in (necessario il preliminare consenso del consumatore) ad un regime di opt-out (necessario per il consumatore opporsi esplicitamente alle telefonate commerciali); istituzione, a tal fine, del “Registro pubblico delle opposizioni”[3], gestito dalla Fondazione Ugo Bordoni[4].
• Videosorveglianza: l’8 aprile 2010[5]il Garante ha emanato un nuovo provvedimento sulla videosorveglianza che introduce significativi cambiamenti rispetto alle precedenti disposizioni; le novità più importanti sono:
  • sistemi integrati di videosorveglianza solo nel rispetto di specifiche garanzie per la libertà delle persone;
  • appositi cartelli per segnalare la presenza di telecamere collegate con le sale operative delle forze di polizia;
  • obbligo di sottoporre alla preliminare verifica del Garante privacy, prima della loro attivazione, i sistemi che presentino rischi per i diritti e le libertà fondamentali delle persone, come i sistemi tecnologicamente avanzati o “intelligenti”;
  • conservazione a tempo delle immagini registrate;
  • rigorose misure di sicurezza a protezione delle immagini e contro accessi non autorizzati.
• Valutazioni delle prestazioni del pubblico impiego: la legge 4 novembre 2010, n. 183[6] ha modificato gli articoli 1 e 19 della legge 196/93 per permettere che sia rese accessibili lo “svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione”.

A fine 2009, inoltre, c’erano state altre novità significative:

• Referti online: il 15 dicembre 2009, il Garante ha pubblicato le “Linee guida in tema di referti on-line - 19 novembre 2009”[7] che forniscono indicazioni in merito all'utilizzo dei dati personali nell'ambito di alcune iniziative sorte nel processo di ammodernamento della sanità pubblica e privata che ha generato un maggiore sviluppo delle reti e una più ampia gestione informatica e telematica di atti, documenti e procedure.
• Privacy e antiriciclaggio: nella Gazzetta Ufficiale del 16 novembre 2009 è stato pubblicato il provvedimento 10 settembre 2009 del Garante per la protezione dei dati personali recante “Misure relative alle comunicazioni fra intermediari finanziari appartenenti al medesimo gruppo in materia di antiriciclaggio”[8].

Negli scorsi mesi, infine, il Garante ha svolto un’intensa azione di “sensibilizzazione” su temi quali:

• “La privacy tra i banchi di scuola”: si veda l’opuscolo divulgativo del Garante (19 maggio 2010)[9];
• “Social network: attenzione agli effetti collaterali”, si veda l’opuscolo divulgativo del Garante (26 novembre 2009)[10].

Telemarketing

Il 25 novembre 2009 è entrata in vigore la “Legge 20 novembre 2009, n. 166” che prevede l’articolo 20-bis “Adeguamento alla normativa comunitaria in materia di tutela della vita privata nel settore delle comunicazioni elettroniche, di cui alla direttiva 2002/58/CE” con il quale si passa, per quanto riguarda le comunicazioni commerciali telefoniche, da un approccio “opt-in” (obbligo per le aziende di avere il consenso da parte dei clienti prima di inviare le comunicazioni commerciali) all’approccio opposto, denominato “opt-out” con il quale si intende la possibilità a posteriori, per i clienti, di esercitare il diritto di opporsi all’invio di comunicazioni commerciali indesiderate[11]; contestualmente è stato modificato anche il “Codice in materia di protezione dei dati personali”.

Il 9 luglio 2010 il Consiglio dei Ministri su proposta del Ministero dello Sviluppo Economico ha varato[12] le nuove regole per il telemarketing approvando il regolamento per l’istituzione di un registro pubblico per gli abbonati che non desiderano essere contatti telefonicamente a fini commerciali o promozionali.

Il 17 novembre 2010 tale regolamento è entrato in vigore[13] ed il “Registro” affidato alla gestione della Fondazione Ugo Bordoni[14].

In questo momento (questo articolo è stato scritto a fine novembre 2011) “siamo in regime transitorio”[15]; in quanto sarà possibile “iscriversi” al registro delle opposizioni non prima di novanta giorni dopo il 17 novembre 2010 (quindi a partire circa da metà febbraio 2011) .

Videosorveglianza

Il 27 aprile 2010 con un nuovo “Provvedimento in materia di videosorveglianza - 8 aprile 2010”[16] l’Autorità Garante per la protezione dei dati personali ha varato le nuove regole alle quali soggetti pubblici e privati devono conformarsi per installare telecamere e sistemi di videosorveglianza. Il periodo per adeguarsi è stato fissato, a seconda degli adempimenti, da un minimo di sei mesi ad un massimo di un anno.

Il provvedimento sulla videosorveglianza, che sostituisce quello del 2004 e introduce importanti novità, si è reso necessario non solo alla luce dell'aumento massiccio di sistemi di videosorveglianza per diverse finalità (prevenzione, accertamento e repressione dei reati, sicurezza pubblica, tutela della proprietà privata, controllo stradale, etc.), ma anche in considerazione dei numerosi interventi legislativi adottati in materia: tra questi, quelli più recenti che hanno attribuito ai sindaci e ai comuni[17] specifiche competenze in materia di incolumità pubblica e di sicurezza urbana, così come le norme, anche regionali, che hanno incentivato l'uso di telecamere.

Ecco in sintesi le regole fissate dal Garante.

Principi generali

• Informativa: i cittadini che transitano nelle aree sorvegliate devono essere informati con cartelli della presenza delle telecamere, i cartelli devono essere resi visibili anche quando il sistema di videosorveglianza è attivo in orario notturno. Nel caso in cui i sistemi di videosorveglianza installati da soggetti pubblici e privati (esercizi commerciali, banche, aziende etc.) siano collegati alle forze di polizia è necessario apporre uno specifico cartello, sulla base del modello elaborato dal Garante. Le telecamere installate a fini di tutela dell'ordine e della sicurezza pubblica non devono essere segnalate, ma il Garante auspica comunque l'utilizzo di cartelli che informino i cittadini.
• Conservazione: le immagini registrate possono essere conservate per periodo limitato e fino ad un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini. Per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che non può superare comunque la settimana. Eventuali esigenze di allungamento dovranno essere sottoposte a verifica preliminare del Garante.

In particolare il Garante ha indicato i seguenti settori di particolare interesse.

• Sicurezza urbana: i Comuni che installano telecamere per fini di sicurezza urbana hanno l'obbligo di mettere cartelli che ne segnalino la presenza, salvo che le attività di videosorveglianza siano riconducibili a quelle di tutela specifica della sicurezza pubblica,  prevenzione, accertamento o repressione dei reati. La conservazione dei dati  non può superare i 7 giorni, fatte salve speciali esigenze (il 17 novembre 2010 nell’ambito del Convegno sulla Videosorveglianza organizzato a Padova in occasione della XXVII Assemblea Annuale dell’ANCI, è stata presentata la pubblicazione “Linee Guida per i Comuni in materia di videosorveglianza alla luce del provvedimento Garante Privacy 8 aprile 2010”[18]).
• Sistemi integrati:  per i sistemi che collegano telecamere tra soggetti diversi, sia pubblici  che privati, o che consentono la fornitura di servizi di videosorveglianza "in remoto" da parte di società specializzate (es. società di vigilanza, Internet providers) mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza (es. contro accessi abusivi alle immagini). Per alcuni sistemi è comunque necessaria la verifica preliminare del Garante.
• Sistemi intelligenti: per i sistemi di videosorveglianza "intelligenti" dotati di software che permettono l'associazione di immagini a dati biometrici (es. "riconoscimento facciale") o in grado, ad esempio, di riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (es. "motion detection") è obbligatoria la verifica preliminare del Garante.
• Violazioni al codice della strada: obbligatori i cartelli che segnalino i sistemi elettronici di rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo (non quindi conducente, passeggeri, eventuali pedoni). Le fotografie o i video che attestano l'infrazione non devono essere inviati  al domicilio dell'intestatario del veicolo.
• Deposito rifiuti: lecito l'utilizzo di telecamere per controllare discariche di sostanze pericolose ed "eco piazzole" per monitorare  modalità del loro uso, tipologia dei rifiuti scaricati e orario di deposito.

Settori specifici

• Luoghi di lavoro: le telecamere possono essere installate solo nel rispetto dello norme in materia di lavoro. Vietato comunque il controllo a distanza dei lavoratori, sia all'interno degli edifici, sia in altri luoghi di prestazione del lavoro (es. cantieri, veicoli).
• Ospedali e luoghi di cura: no alla diffusione di immagini di persone malate mediante monitor quando questi sono collocati in locali accessibili al pubblico. E' ammesso, nei casi indispensabili, il monitoraggio da parte del personale sanitario dei pazienti ricoverati in particolari reparti (es.rianimazione), ma l'accesso alle immagini deve essere consentito solo al personale autorizzato e ai familiari dei ricoverati.
• Istituti scolastici: ammessa l'installazione di sistemi di videosorveglianza per la tutela contro gli atti  vandalici, con riprese delimitate alle sole aree interessate e solo negli orari di chiusura.
• Taxi: le telecamere non devono riprendere in modo stabile la postazione di guida e la loro presenza deve essere segnalata con appositi contrassegni.
• Trasporto pubblico: lecita l'installazione su mezzi di trasporto pubblico e presso le fermate, ma rispettando limiti precisi (es.angolo visuale circoscritto, riprese senza l'uso di zoom).
• Webcam a scopo turistico: la ripresa delle immagini deve avvenire con modalità che non rendano identificabili le persone.

Soggetti privati.

• Tutela delle persone e della proprietà: contro possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc. si possono installare telecamere senza il consenso dei soggetti ripresi, ma sempre sulla base delle prescrizioni indicate dal Garante.

Cosa ci aspetta nel 2011

Il 4 novembre 2010 il vicepresidente della Commissione europea Viviane Reding http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1462&format=HTML&aged=0&language=IT&guiLanguage=en ha proposto una strategia per rafforzare le norme sulla protezione dei dati dell'UE ed annunciato che, sulla base dei risultati di una consultazione pubblica, la Commissione modificherà la direttiva sulla protezione dei datidel 1995 e presenterà una proposta legislativa nel 2011.

Trattamento dei dati nel rapporto di lavoro

A fine novembre 2010, Giovanni Buttarelli[19], Garante europeo aggiunto alla protezione dei dati personali, http://www.edps.europa.eu/EDPSWEB/edps/EDPS?lang=it ha annunciato di avere “redatto la nuova bozza di raccomandazione che dovrebbe sostituire la Raccomandazione (89) 2 sul trattamento dei dati nel rapporto di lavoro”. La nuova raccomandazione tiene conto anche delle informazioni che il datore di lavoro può ottenere grazie ai social network: “Il social network si usa per socializzare con una serie limitata di soggetti e per ragioni personali. Quindi, occorrerà fare una valutazione di questo tipo, magari distinguendo i social network usati per ragioni puramente di diletto da quelli riservati alle relazioni professionali, tipo Linked-In”.

Privacy by design

Alla 32ma Conferenza mondiale dei Garanti Privacy che si è tenuta a Gerusalemme dal 27 al 29 ottobre scorso 2010 è stata approvata una risoluzione proposta dalla Commissioner dell'Ontario (Canada), Ann Cavoukian, in materia di Privacy by design.

Spiega Buttarelli che con privacy by design si intende che non bastano più software privacy-oriented ma che occorre progettare dispositivi e programma che “permettano di adempiere automaticamente ai requisiti della privacy, per esempio con la cancellazione automatica dei dati attraverso una sovrascrittura, o mediante l’istituzione di alert che permettano di capire quando l’uso ulteriore dei dati è incompatibile con le finalità originali, o ancora per mezzo di qualcosa che impedisca o renda più difficile una profilazione dell’interessato sulla base di una raccolta occulta dei dati da parte dei motori di ricerca”[20].

Accountability

Altro tema caldo è quello dell’accountability aziendale intesa come responsabilizzazione maggiore dei titolari dei dati.

“Si tratta di fare le cose più seriamente: i titolari del trattamento non devono soltanto considerare questa materia come qualcosa da rispettare nel momento in cui c’è un incidente, un reclamo o un ricorso, ma come qualcosa da tradurre in pratica. Devono assumersi l’onere di trasformare in una procedura interna tutto ciò che è necessario fare per essere effettivamente aderenti ai principi normativi, quindi distribuire ruoli e compiti, creare una policy interna e nel caso di ricorso, reclamo, ispezione, controllo da parte dell’Autorità essere in grado di poter adeguatamente, in tempo reale, dimostrare di averlo fatto. Quindi, non più un contesto in cui il titolare del trattamento sceglie di non adempiere agli obblighi della privacy e di correre il rischio di una sanzione, pensando che forse un’ispezione non arriverà mai, ma una prospettiva in cui il titolare è consapevole che la tutela della privacy è un compito quotidiano, una cosa che se non si fa, si potrebbe anche essere chiamati a rispondere per non avere tradotto in concreto gli obblighi di legge. Quindi, qualcosa di nuovo e non nuovo al tempo stesso”[21].

Riferimenti e link

Le norme

• Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali in http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 e http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2003-06-30;196
• Garante per la protezione dei dati personali, “Normativa italiana”, in http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana
• Garante per la protezione dei dati personali, “Provvedimenti”, in http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti

Letture utili

• Linee Guida per i Comuni in materia di videosorveglianza alla luce del provvedimento Garante Privacy 8 aprile 2010 in http://www.compliancenet.it/content/privacy-linee-guida-per-i-comuni-in-materia-di-videosorveglianza-alla-luce-del-provvedimento-garante
• Speciale privacy online: intervista al Cons.Buttarelli, Garante europeo aggiunto alla protezione dei dati in http://www.blogstudiolegalefinocchiaro.it/privacy-e-protezione-dei-dati-personali/speciale-privacy-online-intervista-al-cons-buttarelli-garante-europeo-aggiunto-alla-protezione-dei-dati/
• ComplianceNet, pagine dedicate alla privacy in http://www.compliancenet.it/category/compliancenet/privacy
• ComplianceNet, “Sei lezioni sulla privacy”, liberamente scaricabile in privacy in http://www.compliancenet.it/content/6-lezioni-sulla-privacy (ultimo aggiornamento 16 novembre 2009)
• ComplianceNet, esempi di documenti e modelli sulla privacy, tra cui:
  • modello di "regolamento aziendale" sulla videosorveglianza (con licenza aperta) - 28 ottobre 2009 in http://www.compliancenet.it/content/privacy-modello-di-regolamento-aziendale-sulla-videosorveglianza-con-licenza-aperta
  • modello di “analisi preliminare” sulla videosorveglianza - 22 ottobre 2009 in http://www.compliancenet.it/content/privacy-modello-di-analisi-preliminare-sulla-videosorveglianza-con-licenza-aperta
• modello per esercitare il diritto d'accesso (basato sul modello pdf proposto dal Garante) - 16 ottobre 2009 in http://www.compliancenet.it/documenti/modello-diritto-accesso.doc
• procedura organizzativa per gestire i "reclami privacy" - 16 ottobre 2009 in http://www.compliancenet.it/documenti/procedura-gestione-reclami-privacy.doc
• esempio di DPS per la PMI (con licenza aperta) - 2 marzo 2009 in http://www.compliancenet.it/content/privacy-aggiornamento-2009-esempio-dps-per-pmi-con-licenza-aperta