Il Regolamento Europeo: Videosorveglianza ed impatto sul cittadino Firenze, 7 giugno 2013 Relatore Avv. Alessandro Cecchetti Il Regolamento Europeo come strumento Presentato alla Commissione Europea lo scorso 25 gennaio 2012 Art. 288 TFUE Ha portata generale: ha efficacia per un numero indeterminato ed indeterminabile di destinatari. È obbligatorio in tutti i suoi elementi: l’obbligatorietà è riferita a tutte le disposizioni del regolamento e vale a distinguere tale atto normativo dalle direttive (come la Direttiva 95/46 CE) che, invece, sono obbligatorie soltanto con riferimento alle finalità che devono essere raggiunte. È direttamente applicabile: nel senso che le disposizioni del regolamento operano al’interno di ciascun Stato membro dell’Unione Europea senza che occorra un atto di attuazione dell’Unione o degli Stati Il Regolamento Europeo come strumento Sentenza CGCE 10 ottobre 1973 (Sent. F.lli Variola/Amministrazione Italiana delle Finanze) La Corte ha condannato la riproduzione delle disposizioni di regolamenti in atti legislativi nazionali dichiarando in contrasto con il Trattato le modalità di attuazione che possono avere la conseguenza di ostacolare l’efficacia diretta dei regolamenti comunitari e di comprometterne, quindi, la simultanea ed uniforme applicazione nell’intera Comunità Pertanto: In virtù di tali caratteristiche il regolamento è di per sé idoneo a far sorgere in capo alle persone fisiche o giuridiche degli Stati membri situazioni giuridiche soggettive che essi possono far valere nei confronti degli Stati, delle Istituzioni dell’Unione e delle altre persone fisiche o giuridiche. Alcune novità introdotte dal nuovo Regolamento Europeo Resta fermo il concetto di interessato: la persona fisica cui si riferiscono i dati personali Ambito di applicazione: strutture che hanno più di 250 dipendenti / strutture che gestiscono almeno 500 interessati. Principio dell’applicazione delle sue disposizioni anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi ai cittadini dell’UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’UE. Introduzione del diritto degli interessati alla portabilità del dato e del diritto all’oblio, quest’ultimo prevalentemente riferito alla realtà digitale nel rispetto della libertà di espressione e nella possibilità di condurre ricerche storiche. Sono aggiunte le definizioni di dato genetico e dato biometrico. Alcune novità introdotte dal nuovo Regolamento Europeo – Il Data Protection Officer Art. 37 della Bozza di Regolamento Con competenze informatiche e giuridiche - che conosca il mercato in cui opera l’Ente designante - soggetto indipendente rispetto all’Ente Designato con mandato, un contatto di lavoro o di servizi, in carica per almeno 2/4 anni (ciò anche per garantire la continuità necessaria nell’applicazione delle normativa) Compiti di sorveglianza e applicazione della normativa anche rispetto alla privacy by default Dovrà comunicare all’Autorità eventuali violazioni che interessino i dati Il Regolamento Europeo: alcune questioni ancora in sospeso L’Autorità Statale: chi sarà – ruolo composizione e compiti Resta da definire se e come ci sarà ancora autonomia in materia per gli Stati membri Che ne sarà dei provvedimenti del Garante ad oggi in vigore? Probabilmente sopravvivranno al nuovo assetto normativo: - Amministratore di sistema (27 novembre 2008); - Posta elettronica ed internet (1 marzo 2007) - Videosorveglianza (8 aprile 2010) Il Regolamento Europeo: la Privacy by Design ed il Privacy Impact Assessment per la Videosorveglianza Art. 23 comma 1 Bozza del Regolamento Privacy by Design: disposizione che impone la previsione di misure a protezione dei dati già al momento della progettazione di un software o di un prodotto che impatti in materia di trattamento dei dati. Trasposizione europea del Principio di Necessità codicistico. Strettamente connessa alla privacy by default di competenza del DPO. Il Regolamento Europeo: la Privacy by Design ed il Privacy Impact Assessments per la Videosorveglianza Art. 33 della Bozza del Regolamento Privacy Impact Assessment: valutazione preventiva dell’impatto privacy con riferimento all’avvio di un nuovo trattamento per talune tipologie di dati (videosorveglianza, sanitari, biometrici). Pertanto, la necessità di preventivare i rischi, adottare preliminarmente soluzioni che già in sede di prima raccolta del dato siano capaci di tutelarlo, con una anticipazione di responsabilità sulla parte di progettazione. Il Regolamento Europeo: la Privacy by Design ed il Privacy Impact Assessments per la Videosorveglianza Privacy Impact Assessment: La valutazione contiene almeno una descrizione sistematica: - del trattamento previsto e della sua necessità e proporzionalità in relazione alla finalità; - una valutazione dei rischi per i diritti e le libertà degli interessati; - le misure previste per affrontare i rischi e ridurre al minimo il volume dei dati personali trattati; - le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione Lo Statuto dei Lavoratori – L. 300/1970 Art. 4 comma 1– vieta il controllo diretto a distanza dell’attività dei lavoratori. Art. 4 comma 2 – in presenza di esigenze organizzative e produttive o per la sicurezza del lavoro, il datore può installare strumenti (ad es. telecamere o sistemi di geolocalizzazione) che permettono un controllo indiretto, anche potenziale, dell’attività lavorativa del dipendente solo con l’esperimento di opportune procedure di autorizzazione con le rappresentanza sindacali aziendali o alla direzione provinciale del lavoro territorialmente competente. Sia lo Statuto dei Lavoratori che il Provv. a carattere generale dell’Autorità di ambito nella materia di cui trattasi, ma anche il Codice Privacy influiscono anche sulle zone che possono formare oggetto di ripresa