Il Regolamento Europeo:
Videosorveglianza ed impatto sul
cittadino
Firenze, 7 giugno 2013
Relatore
Avv. Alessandro Cecchetti
Il Regolamento Europeo come strumento
Presentato alla Commissione Europea lo scorso 25 gennaio 2012
Art. 288 TFUE
Ha portata generale: ha efficacia per un numero indeterminato ed indeterminabile di
destinatari.
È obbligatorio in tutti i suoi elementi: l’obbligatorietà è riferita a tutte le disposizioni del
regolamento e vale a distinguere tale atto normativo dalle direttive (come la Direttiva
95/46 CE) che, invece, sono obbligatorie soltanto con riferimento alle finalità che devono
essere raggiunte.
È direttamente applicabile: nel senso che le disposizioni del regolamento operano al’interno
di ciascun Stato membro dell’Unione Europea senza che occorra un atto di attuazione
dell’Unione o degli Stati
Il Regolamento Europeo come strumento
Sentenza CGCE 10 ottobre 1973 (Sent. F.lli Variola/Amministrazione Italiana delle Finanze)
La Corte ha condannato la riproduzione delle disposizioni di regolamenti in atti legislativi
nazionali dichiarando in contrasto con il Trattato le modalità di attuazione che possono
avere la conseguenza di ostacolare l’efficacia diretta dei regolamenti comunitari e di
comprometterne, quindi, la simultanea ed uniforme applicazione nell’intera Comunità
Pertanto:
In virtù di tali caratteristiche il regolamento è di per sé idoneo a far sorgere in capo alle
persone fisiche o giuridiche degli Stati membri situazioni giuridiche soggettive che essi
possono far valere nei confronti degli Stati, delle Istituzioni dell’Unione e delle altre persone
fisiche o giuridiche.
Alcune novità introdotte dal nuovo
Regolamento Europeo
Resta fermo il concetto di interessato: la persona fisica cui si riferiscono i dati personali
Ambito di applicazione: strutture che hanno più di 250 dipendenti / strutture che
gestiscono almeno 500 interessati.
Principio dell’applicazione delle sue disposizioni anche ai trattamenti di dati personali non
svolti nell’UE, se relativi all’offerta di beni o servizi ai cittadini dell’UE o tali da permettere il
monitoraggio dei comportamenti dei cittadini dell’UE.
Introduzione del diritto degli interessati alla portabilità del dato e del diritto all’oblio,
quest’ultimo prevalentemente riferito alla realtà digitale nel rispetto della libertà di
espressione e nella possibilità di condurre ricerche storiche.
Sono aggiunte le definizioni di dato genetico e dato biometrico.
Alcune novità introdotte dal nuovo Regolamento
Europeo – Il Data Protection Officer
Art. 37 della Bozza di Regolamento
Con competenze informatiche e giuridiche - che conosca il mercato in cui opera l’Ente
designante - soggetto indipendente rispetto all’Ente
Designato con mandato, un contatto di lavoro o di servizi, in carica per almeno 2/4 anni
(ciò anche per garantire la continuità necessaria nell’applicazione delle normativa)
Compiti di sorveglianza e applicazione della normativa anche rispetto alla privacy by
default
Dovrà comunicare all’Autorità eventuali violazioni che interessino i dati
Il Regolamento Europeo: alcune questioni
ancora in sospeso
L’Autorità Statale: chi sarà – ruolo composizione e compiti
Resta da definire se e come ci sarà ancora autonomia in materia per gli Stati membri
Che ne sarà dei provvedimenti del Garante ad oggi in vigore?
Probabilmente sopravvivranno al nuovo assetto normativo:
-
Amministratore di sistema (27 novembre 2008);
-
Posta elettronica ed internet (1 marzo 2007)
-
Videosorveglianza (8 aprile 2010)
Il Regolamento Europeo: la Privacy by Design ed il
Privacy Impact Assessment per la Videosorveglianza
Art. 23 comma 1 Bozza del Regolamento
Privacy by Design: disposizione che impone la previsione di misure a protezione dei dati già
al momento della progettazione di un software o di un prodotto che impatti in materia di
trattamento dei dati.
Trasposizione europea del Principio di Necessità codicistico.
Strettamente connessa alla privacy by default di competenza del DPO.
Il Regolamento Europeo: la Privacy by Design ed il
Privacy Impact Assessments per la Videosorveglianza
Art. 33 della Bozza del Regolamento
Privacy Impact Assessment: valutazione preventiva dell’impatto privacy con riferimento
all’avvio di un nuovo trattamento per talune tipologie di dati (videosorveglianza, sanitari,
biometrici). Pertanto, la necessità di preventivare i rischi, adottare preliminarmente soluzioni
che già in sede di prima raccolta del dato siano capaci di tutelarlo, con una anticipazione
di responsabilità sulla parte di progettazione.
Il Regolamento Europeo: la Privacy by Design ed il
Privacy Impact Assessments per la Videosorveglianza
Privacy Impact Assessment:
La valutazione contiene almeno una descrizione sistematica:
-
del trattamento previsto e della sua necessità e proporzionalità in relazione alla finalità;
-
una valutazione dei rischi per i diritti e le libertà degli interessati;
-
le misure previste per affrontare i rischi e ridurre al minimo il volume dei dati personali
trattati;
-
le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati
personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e dei
legittimi interessi degli interessati e delle altre persone in questione
Lo Statuto dei Lavoratori – L. 300/1970
Art. 4 comma 1– vieta il controllo diretto a distanza dell’attività dei lavoratori.
Art. 4 comma 2 – in presenza di esigenze organizzative e produttive o per la sicurezza del
lavoro, il datore può installare strumenti (ad es. telecamere o sistemi di geolocalizzazione)
che permettono un controllo indiretto, anche potenziale, dell’attività lavorativa del
dipendente solo con l’esperimento di opportune procedure di autorizzazione con le
rappresentanza sindacali aziendali o alla direzione provinciale del lavoro territorialmente
competente.
Sia lo Statuto dei Lavoratori che il Provv. a carattere generale dell’Autorità di ambito nella
materia di cui trattasi, ma anche il Codice Privacy influiscono anche sulle zone che
possono formare oggetto di ripresa