Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le regole del garante.

D.Lgs. 196/2003
Provvedimento Generale del Garante della Privacy
8 Aprile 2010 sulla Videosorveglianza

VIDEOSORVEGLIANZA, LICEITA’, PERTINENZA
BILANCIAMENTO DEGLI INTERESSI:
LE REGOLE DEL GARANTE

Fonte normativa: www.garanteprivacy.it

Relatore: Paolo Rossi

1
Contrà Porti, 16
36100 VICENZA www.ipslab.it

VIDEOSORVEGLIANZA, LICEITA’, PERTINENZA E BILANCIAMENTO DEGLI INTERESSI:
LE REGOLE DEL GARANTE.
Durante l’incontro verranno trattati i seguenti argomenti:

 dal Testo Unico sulla Privacy ai dati identificativi originati dalla
videosorveglianza, come trattarli?

 Il Provvedimento del Garante della Privacy del 8 Aprile 2010

 le ispezioni del Garante

 la videosorveglianza nei luoghi di lavoro e nei luoghi pubblici.

 i sistemi integrati di videosorveglianza

 gli incaricati al trattamento e gli amministratori di sistema

 informativa e segnaletica, cosa prevede il Garante?

 le procedure necessarie per gestire il "sistema videosorveglianza"

 DPS
2
Contrà Porti, 16

Dal Testo Unico sulla Privacy ai dati identificativi
originati dalla videosorveglianza,
come trattarli?

3
Contrà Porti, 16

GLI ARTICOLI + IMPORTANTI DEL CODICE
ART. 7 DIRITTO DI ACCESSO AI DATI PERSONALI ED ALTRI DIRITTI.
ART. 13 INFORMATIVA
ART. 15 DANNI CAGIONATI PER EFFETTO DEL TRATTAMENTO
ART. 28 TITOLARE DEL TRATTAMENTO
ART. 30 INCARICATI DEL TRATTAMENTO

TITOLO V SICUREZZA DEI DATI E DEI SISTEMI
ART. 33 MISURE MINIME
ART. 34 TRATTAMENTI CON STRUMENTI ELETTRONICI
ART. 35 TRATTAMENTI SENZA AUSILIO DI STRUMENTI ELETTRONICI
ART. 37 NOTIFICAZIONE

Conosciuti questi……è già sufficiente!!
Infatti si applicano tutti sul tema videosorveglianza

4
Contrà Porti, 16

PRINCIPI GENERALI

Art. 1 (Diritto alla protezione dei dati personali)

1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia

addetto ad una funzione pubblica e la relativa valutazione non sono

oggetto di protezione della riservatezza personale. (seconda sezione

cancellata l’8 novembre 2010 !!)

Art. 2 della COSTITUZIONE
La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come
singolo sia nelle formazioni sociali ove si svolge la sua personalità, e richiede
l'adempimento dei doveri inderogabili di solidarietà politica, economica e sociale

5
Contrà Porti, 16

PRINCIPI GENERALI
Art.2 (Finalità)

1. Il presente TESTO UNICO, di seguito denominato "codice", garantisce
che il trattamento dei dati personali si svolga nel rispetto dei diritti e
delle libertà fondamentali, nonché della dignità dell'interessato, con
particolare riferimento alla riservatezza, all'identità personale e al diritto
alla protezione dei dati personali.

2. Il trattamento dei dati personali è disciplinato assicurando un elevato
livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei
principi di semplificazione, armonizzazione ed efficacia delle modalità
previste per il loro esercizio da parte degli interessati, nonché per
l'adempimento degli obblighi da parte dei titolari del trattamento.
6
Contrà Porti, 16

PRINCIPI GENERALI

Art.3 (Principio di necessità nel trattamento dei dati)

1. I SISTEMI INFORMATIVI E I PROGRAMMI INFORMATICI sono

configurati riducendo al minimo l'utilizzazione di dati personali e di dati

identificativi, in modo da escluderne il trattamento quando le finalità

perseguite nei singoli casi possono essere realizzate mediante,

rispettivamente, dati anonimi od opportune modalità che permettano di

identificare l'interessato solo in caso di necessità.

SI APPLICA ANCHE PER I SISTEMI DI VIDEOREGISTRAZIONE ATTUANDO

LIVELLI DIFFERENZIATI DI ACCESSO UTENTE AL SISTEMA

INSTALLATO, GARANTENDO IL SALVATAGGIO DEI DATI PER

EVENTUALI RICORSI, ECC

7
Contrà Porti, 16

PRINCIPI GENERALI

Art.4 (Definizioni)
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti elettronici, concernenti
la raccolta, la registrazione, l'organizzazione, la
conservazione, la consultazione, l'elaborazione, la
modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione,
la cancellazione e la distruzione di dati, ANCHE se non registrati
in una banca di dati;
b) “dato personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
8
Contrà Porti, 16

PRINCIPI GENERALI

E QUINDI PER LE IMMAGINI ???
Il trattamento dei dati personali effettuato
mediante l'uso di sistemi di
videosorveglianza (IMMAGINI) non
forma oggetto di legislazione specifica;
al riguardo si applicano, pertanto, le
disposizioni generali in tema di
protezione dei dati personali (quindi il
TU Privacy).
La raccolta, la registrazione, la conservazione e, in generale,
l'utilizzo di immagini configura un trattamento di dati
personali (art. 4, comma 1, lett. b), del Codice).
È considerato dato personale, infatti, qualunque informazione
relativa a persona fisica identificata o identificabile,
anche indirettamente, mediante riferimento a qualsiasi
altra informazione.
9
Contrà Porti, 16

PRINCIPI GENERALI

Art.4 (Definizioni) SOLO IN CASO DI SUCCESSIVO UTILIZZO
DELLE IMMAGINI PER FINI
GIUDIZIARI

c) "dati identificativi", i dati personali che permettono
l’identificazione diretta dell’interessato;
d) “dati sensibili”, i dati personali idonei a rivelare l'origine razziale ed
etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo stato di salute e la vita
sessuale;
e) “dati giudiziari”, i dati personali idonei a rivelare provvedimenti di cui
all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14
novembre 2002, n. 313, in materia di casellario giudiziale, di
anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi
degli articoli 60 e 61 del codice di procedura penale;
10
Contrà Porti, 16

PRINCIPI GENERALI

Art.4 (Definizioni)

“TITOLARE", la PERSONA FISICA, la PERSONA GIURIDICA, la
pubblica amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare, le
decisioni in ordine alle FINALITA’, alle MODALITA’ del
trattamento di dati personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza;
"responsabile", la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo
preposti dal titolare al trattamento di dati personali;
“INCARICATO”, le persone fisiche autorizzate a compiere operazioni
di trattamento dal titolare o dal responsabile;
“INTERESSATO", la persona fisica, la persona giuridica, l'ente o
l'associazione cui si riferiscono i dati personali;

11
IL VIDEORIPRESO
Contrà Porti, 16

PRINCIPI GENERALI

L’impianto delle Responsabilità

LIVELLO
FACOLTATIVO

12
Contrà Porti, 16

L’impianto delle Responsabilità PRIVACY
TIPICO PER UNA AZIENDA
AZIENDA S.p.A.

RESPONSABILE ESTERNO AL TRATTAMENTO TITOLARE DELL’INFORMAZIONE
competenza Fiscale/Amministrazione PRESIDENTE

RESPONSABILE ESTERNO AL TRATTAMENTO
competenza
Amministratore RETI
competenza RETE, Voce, Dati RESPONSABILE INTERNO
RESPONSABILE INTERNO
DEL TRATTAMENTO
DEL TRATTAMENTO
Amministratore RETI
Gestore dei Processi di Trattamento Dati
competenza RETE, Voce, Dati

competenza
Risorse Amministrazione Sistemi
“SERVICE EXT.” Umane e Finanza Informatici
VIDEOSORVEGLIANZA
INCARICATO AL INCARICATO AL INCARICATO AL
TRATTAMENTO TRATTAMENTO TRATTAMENTO

13
Contrà Porti, 16

TIPICO PER UNA AZIENDA in SERVICE
AZIENDA S.p.A.
competenza
Amministratore RETI TITOLARE DELL’INFORMAZIONE
competenza RETE, Voce, Dati XXXXX
VIDEOSORVEGLIANZA

CAROSELLO srl
RESPONSABILE INTERNO
DEL TRATTAMENTO RESPONSABILE INTERNO
TITOLARE DELL’INFORMAZIONE DEL TRATTAMENTO
CCCCCC CCCCCC
Amministratore RETI CCCCCC
competenza RETE, Voce, Dati Gestore dei Processi di Trattamento Dati
VIDEOSORVEGLIANZA

STORE
CALZEDONIA
Risorse Amministrazione Sistemi
Umane e Finanza Informatici
INCARICATO AL INCARICATO AL
TRATTAMENTO TRATTAMENTO
INCARICATO AL INCARICATO AL TRATTAMENTO TRATTAMENTO TRATTAMENTO
TRATTAMENTO TRATTAMENTO INCARICATO AL INCARICATO AL INCARICATO AL

14
Contrà Porti, 16

TIPICO PER UNA SCARL o ENTE
PARCO SCIENTIFICO E
TECNOLOGICO DI VENEZIA TITOLARE DELL’INFORMAZIONE
PRESIDENTE/AMMINISTRATORE DELEGATO
RESPONSABILE ESTERNO
AL TRATTAMENTO
competenza
Fiscale/Amministrazione DIRETTORE GENERALE

RESPONSABILE
ESTERNO AL
TRATTAMENTO
competenza
Amministratore RETI
competenza RETE, Voce, RESPONSABILE INTERNO
Dati
DEL TRATTAMENTO
Gestore dei Processi di Trattamento Dati

SOLO INCARICATO
RESPONSABILE
ESTERNO AL A VEDERE IMMAGINI
TRATTAMENTO
competenza
VIDEOSORVEGLIANZA
LA VIGILE SAN MARCO
INCARICATO AL INCARICATO AL INCARICATO AL INCARICATO AL INCARICATO AL
TRATTAMENTOAL
INCARICATO TRATTAMENTOAL
INCARICATO INCARICATO AL
TRATTAMENTO
INCARICATO AL
TRATTAMENTO
INCARICATO AL
TRATTAMENTO
PARCHEGGI, LABORATORI, TRATTAMENTO TRATTAMENTO TRATTAMENTO TRATTAMENTO TRATTAMENTO
AREA RICERCA, AREA
SVILUPPO, SICUREZZA LAVORO,
GRANDI RISCHI Project Office Comunicazione Area Area Tecnica Area
Procedimento Amministrazione

15
Contrà Porti, 16

PRINCIPI GENERALI

Art.4 (Definizioni)
l) "comunicazione", il dare conoscenza dei
dati personali a uno o più soggetti
determinati diversi dall'interessato, dal
rappresentante del titolare nel territorio
dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche
mediante la loro messa a disposizione o
consultazione;
m) "diffusione", il dare conoscenza dei dati
personali a soggetti indeterminati, in
qualunque forma, anche mediante la loro
messa a disposizione o consultazione;
QUASI SEMPRE VIETATA

16
Contrà Porti, 16

PRINCIPI GENERALI

Art.4 (Definizioni)

n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato
identificato o identificabile;

o) "blocco", la conservazione di dati personali con sospensione
temporanea di ogni altra operazione del trattamento;
p) “banca di dati”, qualsiasi complesso organizzato di dati
personali, ripartito in una o più unità dislocate in uno o più
siti; QUINDI LA VIDEOREGISTRAZIONE COSTITUISCE UNA
BANCA DATI
q) "Garante", l'autorità di cui all’articolo 153, istituita dalla legge 31 dicembre 1996, n. 675.

17
Contrà Porti, 16

PRINCIPI GENERALI

Art.4 (Definizioni)
………..omissis
h) “dati relativi al traffico”, qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su
una rete di comunicazione elettronica o della relativa fatturazione;

i) “dati relativi all’ubicazione”, ogni dato trattato in una
rete di comunicazione elettronica che indica la posizione
geografica dell’apparecchiatura terminale dell’utente di un
servizio di comunicazione elettronica accessibile al
pubblico; Esempio Tesserini RIFD, Telepass, SkiPASS
l) “servizio a valore aggiunto”, il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi
all’ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione
o della relativa fatturazione;
m) “posta elettronica”, messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica
di comunicazione, che possono essere archiviati in rete o nell’apparecchiatura terminale ricevente, fino a
che il ricevente non ne ha preso conoscenza.

18
Contrà Porti, 16

Titolo II DIRITTI DELL’INTERESSATO
Art.7 (Diritto di accesso ai dati personali ed altri diritti) CARTELLO
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di
dati personali che lo riguardano, anche se non ancora registrati, e la
loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con
l’ausilio di strumenti elettronici;
3. degli estremi identificativi del titolare, dei responsabili e del
rappresentante designato ai sensi dell’articolo 5, comma 2;
a) dei soggetti o delle categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza
in qualità di rappresentante designato nel territorio dello Stato,
di responsabili o incaricati.
19
Contrà Porti, 16

Art.7 (Diritto di accesso ai dati personali ed altri diritti)
3. L’interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse,
l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco
dei dati trattati in violazione di legge, compresi quelli di cui non è
necessaria la conservazione in relazione agli scopi per i quali i dati
sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state
portate a conoscenza, anche per quanto riguarda il loro contenuto,
di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il
caso in cui tale adempimento si rivela impossibile o comporta un
impiego di mezzi manifestamente sproporzionato rispetto al diritto
tutelato.

20
Contrà Porti, 16

Art.7 (Diritto di accesso ai dati personali ed altri diritti)

4. L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo
riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di
invio di materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione
commerciale.

21
Contrà Porti, 16

Art. 8 (Esercizio dei diritti)
1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza
formalità al titolare o al responsabile, anche per il tramite di un
incaricato, alla quale è fornito idoneo riscontro senza ritardo.
2. I diritti di cui all'articolo 7 NON POSSONO ESSERE ESERCITATI CON RICHIESTA AL
TITOLARE O AL RESPONSABILE O CON RICORSO AI SENSI DELL'ARTICOLO 145,
cioè se è già intervenuta l’autorità giudiziaria!!!

22
Contrà Porti, 16

Art. 9 (Modalità di esercizio)

1. La richiesta RIVOLTA AL TITOLARE o al responsabile può essere
trasmessa anche mediante lettera raccomandata, telefax o posta
elettronica. Il Garante può individuare altro idoneo sistema in
riferimento a nuove soluzioni tecnologiche. Quando riguarda l’esercizio
dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere
formulata anche oralmente e in tal caso è annotata sinteticamente
A CURA DELL’INCARICATO O DEL RESPONSABILE.

QUESTO E’ IL NORMALE CASO IN CUI SI TROVA IL
GESTORE DELL’IMPIANTO DI VIDEOCONTROLLO
PER “”GESTIRE”” IL CLIENTE

23
Contrà Porti, 16

Art. 10 (Riscontro all’interessato)
1. Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il titolare del trattamento è
tenuto ad adottare idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso
l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata
selezione dei dati che riguardano singoli interessati identificati o
identificabili;
b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche
nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.

2. I dati sono estratti a cura del responsabile o degli incaricati e possono
essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante
strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole,
considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, si
provvede alla trasposizione dei dati su supporto cartaceo o informatico, ovvero
alla loro trasmissione per via telematica.
3. Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato
comprende tutti i dati personali che riguardano l'interessato comunque trattati dal titolare. Se la richiesta è rivolta ad un esercente una
professione sanitaria o ad un organismo sanitario si osserva la disposizione di cui all'articolo 84, comma 1.

24
Contrà Porti, 16

Art. 10 (Riscontro all’interessato)
4. Quando l'estrazione dei dati risulta particolarmente difficoltosa il riscontro
alla richiesta dell'interessato può avvenire anche attraverso l'esibizione o
la consegna in copia di atti e documenti contenenti i dati personali
richiesti.
5. Il diritto di ottenere la comunicazione in forma intelligibile dei dati non riguarda
dati personali relativi a terzi, salvo che la scomposizione dei dati trattati o la
privazione di alcuni elementi renda incomprensibili i dati personali relativi
all'interessato.
6. La comunicazione dei dati è effettuata in forma intelligibile anche
attraverso l'utilizzo di una grafia comprensibile. In caso di comunicazione
di codici o sigle sono forniti, anche mediante gli incaricati, i parametri per
la comprensione del relativo significato.
7. Quando, a seguito della richiesta di cui all'articolo 7, commi 1 e 2, lettere a), b) e
c) non risulta confermata l'esistenza di dati che riguardano l'interessato, può
essere chiesto un CONTRIBUTO SPESE non eccedente i costi
effettivamente sopportati per la ricerca effettuata nel caso specifico.

25
Contrà Porti, 16

Art. 11 (Modalità del trattamento e requisiti dei dati)

1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in
altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati;
(VIDEOSORVEGLIANZA)
e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di
trattamento dei dati personali non possono essere utilizzati.
26
Contrà Porti, 16

Art. 13 (Informativa)

1. L'interessato o la persona presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di
responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel
territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il
titolare ha designato più responsabili è indicato almeno uno di essi,
indicando il sito della rete di comunicazione o le modalità attraverso le quali
è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando
è stato designato un responsabile per il riscontro all'interessato in caso di
esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
27
Contrà Porti, 16

Art. 15 (Danni cagionati per effetto del trattamento)

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell'articolo 2050 del
codice civile.
2. Il danno non patrimoniale è risarcibile anche in caso di violazione
dell'articolo 11 (dati trattati in modo illecito).
Art. 2050
(Responsabilità per l'esercizio di attività pericolose)
Chiunque cagiona danno ad altri nello svolgimento di un'attività
pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al
risarcimento, se non prova di avere adottato tutte le misure idonee a
evitare il danno.

Videoregistrazione
non autorizzata SOVERATO Casa di cura

28
Contrà Porti, 16

Art. 16 (Cessazione del trattamento)

1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:
a) distrutti;
b) ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili
agli scopi per i quali i dati sono raccolti;

c) conservati per fini esclusivamente personali e non
destinati ad una comunicazione sistematica o alla
diffusione;
d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in
conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di
deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.
2. La cessione dei dati in violazione di quanto previsto dal comma 1, lettera b), o di altre
disposizioni rilevanti in materia di trattamento dei dati personali è priva di effetti.

29
Contrà Porti, 16

Art. 24 (Casi nei quali può essere effettuato il trattamento senza consenso)

d) riguarda dati relativi allo svolgimento di attività
economiche, trattati nel rispetto della vigente
normativa in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o
dell'incolumità fisica di un terzo. Se la medesima finalità riguarda
l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per
incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita
legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro
assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di
cui all’articolo 82, comma 2;
f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7
dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano
trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della
vigente normativa in materia di segreto aziendale e industriale;

30
Contrà Porti, 16

CAPO I MISURE DI SICUREZZA

Art. 31 (Obblighi di sicurezza)

1. I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l'adozione di
idonee e preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme alle
finalità della raccolta.

31
Contrà Porti, 16

CAPO I MISURE DI SICUREZZA

Art. 33 (Misure minime)

1. Nel quadro dei più generali obblighi di sicurezza di cui
all’articolo 31, o previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi dell’articolo
58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.

32
Contrà Porti, 16

 TITOLO V SICUREZZA DEI DATI E DEI SISTEMI
 CAPO I MISURE DI SICUREZZA

Art. 34 (Trattamenti con strumenti elettronici)

1. Il trattamento di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di
autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici;
33
Contrà Porti, 16


1. Il trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell’allegato B), le
seguenti misure minime:

f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilità dei dati e
dei sistemi;
DPS
g) tenuta di un aggiornato documento programmatico
sulla sicurezza;
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati idonei
a rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.

34
Contrà Porti, 16


1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che
trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia
dei propri dipendenti e collaboratori anche a progetto, senza indicazione
della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a
carattere sindacale, la tenuta di un aggiornato documento
programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47
del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre
2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di
sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti
comunque effettuati per correnti finalità amministrative e contabili, in
particolare presso piccole e medie imprese, liberi professionisti e artigiani, il
Garante, sentito il Ministro per la semplificazione normativa, individua con
proprio provvedimento, da aggiornare periodicamente, modalità semplificate
di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine
all'adozione delle misure minime di cui al comma 1.

35
Contrà Porti, 16

Art. 35 (Trattamenti senza l’ausilio di strumenti elettronici)

1. Il trattamento di dati personali effettuato senza l’ausilio di strumenti
elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell’allegato B), le seguenti misure
minime:
a) aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati o alle unità
organizzative;
b) previsione di procedure per un’idonea custodia di atti e
documenti affidati agli incaricati per lo svolgimento dei relativi
compiti;
c) previsione di procedure per la conservazione di determinati atti in
archivi ad accesso selezionato e disciplina delle modalità di
accesso finalizzata all’identificazione degli incaricati.

ESEMPIO Linea Guida Classificazione dei Dati trattati in azienda LG Classificazione
Informazioni

36
Contrà Porti, 16

IN LINEA GENERALE NON SI NOTIFICA LA VIDEOSORVEGLIANZA

Titolo VI ADEMPIMENTI Art. 37 (Notificazione del trattamento)

1. Il titolare notifica al Garante il trattamento di dati personali cui intende
procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di
comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale,
trattati a fini di procreazione assistita, prestazione di servizi
sanitari per via telematica relativi a banche di dati o alla
fornitura di beni, indagini epidemiologiche, rilevazione di
malattie mentali, infettive e diffusive, sieropositività, trapianto di
organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati
da associazioni, enti od organismi senza scopo di lucro, anche
non riconosciuti, a carattere politico, filosofico, religioso o
sindacale;
ESEMPIO NOTIFICA
Notifica F&M

37
Contrà Porti, 16

Art. 37 (Notificazione del trattamento)

d) dati trattati con l’ausilio di strumenti elettronici volti a definire il
profilo o la personalità dell’interessato, o ad analizzare abitudini
o scelte di consumo, ovvero a monitorare l’utilizzo di servizi
di comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi agli
utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del
personale per conto terzi, nonché dati sensibili utilizzati per
sondaggi di opinione, ricerche di mercato e altre ricerche
campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti
elettronici e relative al rischio sulla solvibilità economica, alla
situazione patrimoniale, al corretto adempimento di
obbligazioni, a comportamenti illeciti o fraudolenti.

38
Contrà Porti, 16

Art. 39 (Obblighi di comunicazione)

1. Il titolare del trattamento è tenuto a comunicare previamente al Garante le
seguenti circostanze:
a) comunicazione di dati personali da parte di un soggetto pubblico ad
altro soggetto pubblico non prevista da una norma di legge o di
regolamento, effettuata in qualunque forma anche mediante
convenzione;
b) trattamento di dati idonei a rivelare lo stato di salute previsto dal
programma di ricerca biomedica o sanitaria di cui all’articolo 110,
comma 1, primo periodo.
2. I trattamenti oggetto di comunicazione ai sensi del comma 1 possono
essere iniziati decorsi quarantacinque giorni dal ricevimento della
comunicazione salvo diversa determinazione anche successiva del
Garante.
3. La comunicazione di cui al comma 1 è inviata utilizzando il modello
predisposto e reso disponibile dal Garante, e trasmessa a quest’ultimo per
via telematica osservando le modalità di sottoscrizione con firma digitale e
conferma del ricevimento di cui all’articolo 38, comma 2, oppure mediante
telefax o lettera raccomandata.
39
Contrà Porti, 16

Il Provvedimento del Garante della Privacy
in tema di videosorveglinza
8 Aprile 2010

40
Contrà Porti, 16

VIDEOSORVEGLIANZA:

LEGGI
IL VADEMECUM

41
Contrà Porti, 16

TRATTAMENTO DEI DATI PERSONALI E VIDEOSORVEGLIANZA:
PRINCIPI GENERALI

• protezione e incolumità degli individui
• sicurezza urbana
• ordine e sicurezza pubblica
• prevenzione, accertamento o repressione dei
reati svolti dai soggetti pubblici
• sicurezza degli utenti, nel quadro delle
competenze ad essi attribuite dalla legge;
• protezione della proprietà;
• acquisizione di prove.

42
Contrà Porti, 16

PRINCIPI GENERALI

• il trattamento dei dati attraverso sistemi di
videosorveglianza sia fondato su uno dei presupposti di
liceità che il Codice prevede per i soggetti pubblici e per
soggetti privati ed enti pubblici economici
• ciascun sistema informativo ed il relativo programma
informatico vengano conformati già in origine in modo da
non utilizzare dati relativi a persone identificabili
• il principio di necessità, il quale comporta un obbligo di
attenta configurazione di sistemi informativi e di
programmi informatici per ridurre al minimo l'utilizzazione
di dati personali (art. 3 del Codice);
• l'attività di videosorveglianza venga effettuata nel rispetto
del principio di proporzionalità nella scelta delle
modalità di ripresa e dislocazione (es. tramite
telecamere fisse o brandeggiabili, dotate o meno di zoom)

43
Contrà Porti, 16

PRINCIPALI NOVITA’

Le principali novità riguardano la segnaletica da esporre che deve
essere visibile anche di notte (se posta all’esterno) quindi
rifrangente o illuminata direttamente nonché l’introduzione di
un apposito cartello (allegato 2) qualora le immagini venissero
veicolate alle Forze dell’Ordine.

Vi sono (erano) dei tempi di adeguamento fissati in :
entro dodici mesi, rendere l'informativa visibile anche quando il
sistema di videosorveglianza sia eventualmente attivo in orario
notturno (punto 3.1);
entro sei mesi, sottoporre i trattamenti che presentano rischi specifici
per i diritti e le libertà fondamentali degli interessati, alla verifica
preliminare ai sensi dell'art. 17 del Codice (punto 3.2.1);

44
Contrà Porti, 16

PRINCIPALI NOVITA’

Vi sono dei tempi di adeguamento fissati in :
……
entro dodici mesi, adottare, le misure di sicurezza a protezione dei
dati registrati tramite impianti di videosorveglianza (punto 3.3);
entro sei mesi, adottare le misure necessarie per garantire il rispetto di
quanto indicato nei punti 4.6 e 5.4, per quanto concerne i sistemi
integrati di videosorveglianza; Ovvero adeguamento dei sistemi
integrati e videoregistrazione dei Comuni (cartello, procedura ed
informativa)

45
Contrà Porti, 16

INFORMATIVA (CARTELLO)

• Gli interessati devono essere sempre informati
che stanno per accedere in una zona video
sorvegliata; ciò anche nei casi di eventi e in
occasione di spettacoli pubblici (es. concerti,
manifestazioni sportive).
• il Garante ritiene che si possa utilizzare lo
stesso modello semplificato di informativa
"minima“ del 2004 (provvedimento precedente)
• deve essere collocato prima del raggio di
azione della telecamera, anche nelle sue
immediate vicinanze e non necessariamente a
contatto con gli impianti;
• deve avere un formato ed un posizionamento tale da essere chiaramente visibile
in ogni condizione di illuminazione ambientale, anche quando il sistema di
videosorveglianza sia eventualmente attivo in orario notturno;
• può inglobare un simbolo o una stilizzazione di esplicita e immediata
comprensione, eventualmente diversificati al fine di informare se le immagini
sono solo visionate o anche registrate.
• Il Garante auspica che il cartello rimandi ad una informativa + completa ad
esempio su un sito WEB o cartello agli albi interno.
46
Contrà Porti, 16

INFORMATIVA (CARTELLO)

Videosorveglianza effettuata per finalità di tutela dell'ordine e della
Sicurezza pubblica, prevenzione, accertamento o repressione dei
reati
Il Codice non prevede informativa preventiva

Videosorveglianza dei soggetti privati che effettuano collegamenti
con le forze di polizia

Il Codice prevede informativa preventiva con
cartello conforme all’allegato 2.
In assenza si applica la sanzione dell’articolo
161 (6.000 a 36.000 euro)

47
Contrà Porti, 16

VERIFICA PRELIMINARE

Non sono concessi sistemi di registrazione che incrocino dati
biometrici – fattezze, volto, resistenza dielettrica del tessuto
corporeo, peso e massa del corpo, ecc.- con dati originati
della videosorveglianza salvo parere preliminare richiesto al
Garante

VANNO NOTIFICATI????
In linea generale i dati originati da sistemi di videosorveglianza NON
VANNO NOTIFICATI salvo le finalità siano diverse da quelle indicate
nell’art.37 del Codice –
esempio videoregistrazione per localizzare aree di rischio dei lavoratori –
es. laboratori di ricerca farmaceutica, parchi divertimenti in aree oscure
ecc.

48
Contrà Porti, 16

MISURE DI SICUREZZA OBBLIGATORIE
Le misure di sicurezza da adottare sono le stesse previste dal Codice:
 Accessi selezionati, differenziati, autorizzati;
 Salvataggio dei dati;
 Incarichi formali (responsabili ed incaricati)
 Chi visiona in maniera differita non deve poter cancellare le
immagini
 Durata della conservazione definita in origine (24 ore o 7 gg)
 Criptazione dei dati se trasmessi in remoto (UMTS, GPRS, WI-
FI ecc)
 Garanzia del divieto di accesso dall’esterno al sistema
 Estrazione dei dati da parte del manutentore solo in presenza
del titolare

49
Contrà Porti, 16

DURATA DELLA CONSERVAZIONE
La conservazione deve essere limitata a poche ore o, al massimo, alle
ventiquattro ore successive alla rilevazione, fatte salve speciali
esigenze di ulteriore conservazione in relazione a festività o
chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire
ad una specifica richiesta investigativa dell'autorità giudiziaria o di
polizia giudiziaria.
Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di
trasporto) o per la particolare rischiosità dell'attività svolta dal
titolare del trattamento (ad esempio, per alcuni luoghi come le
banche può risultare giustificata l'esigenza di identificare gli autori
di un sopralluogo nei giorni precedenti una rapina), può ritenersi
ammesso un tempo più ampio di conservazione dei dati che, sulla
scorta anche del tempo massimo legislativamente posto per altri
trattamenti, si ritiene non debba comunque superare la
settimana.

50
Contrà Porti, 16

DURATA DELLA CONSERVAZIONE
Per i comuni e nelle sole ipotesi in cui l'attività di videosorveglianza sia
finalizzata alla tutela della sicurezza urbana, alla luce delle
recenti disposizioni normative, il termine massimo di durata della
conservazione dei dati è limitato "ai sette giorni successivi alla
rilevazione delle informazioni e delle immagini raccolte
mediante l'uso di sistemi di videosorveglianza, fatte salve
speciali esigenze di ulteriore conservazione".
In tutto gli altri casi NON SI DEVE superare la settimana salvo PARERE
del GARANTE (da richiedere e motivare)
Il sistema di videosorveglianza deve sovrascrivere le immagini se
digitale o se a “nastro” il titolare dell’informazione deve prevedere
il minor tempo possibile per la sovrascrittura o cancellazione con
procedura. La mancata cancellazione comporta sanzione
amministrativa da 30 mila a 180 mila euro (articolo 162 comma 2-ter)

51
Contrà Porti, 16

LE ISPEZIONI DEL GARANTE

52
Contrà Porti, 16

Il sistema Sanzionatorio
Solo per dovere di cronaca: La sede del Garante è in Piazza Montecitorio 121; le sanzioni
vengono canalizzate sul conto del Garante presso la Banca Popolare di Lodi al civico 111
Almeno il 50% dell’incassato viene reinvestito per la produzione di linee guida, documenti,
pareri, il resto è destinato al funzionamento dell’Ufficio del Garante che si “mantiene” col
principio di cassa…

La legislazione prevede, qualora la norma venisse disattesa, sanzioni penali o
amministrative (ammende).
Il sistema sanzionatorio descritto é conforme a quanto previsto dall'articolo 162
del Codice Penale e dal Decreto n. 758 del 1994.
E' importante schematizzare come funziona il sistema sanzionarlo:
1. L'organo di vigilanza (G.d.F.,) rileva l'inadempienza delle norme, ordina le
necessarie bonifiche, fissa un termine entro cui bisogna regolarizzare la situazione
rilevata (termine di prescrizione);
2. L’organo di vigilanza trasmette al pubblico Ministero la contravvenzione, la
prescrizione imposta e il reato configurato;
3. Il Pubblico Ministero sospende il provvedimento penale fino alla scadenza del
termine imposto;
4. L’organo di vigilanza, scaduto il termine, verifica l'adempimento della prescrizione;
5. Se l'inadempienza persiste, l'organo di vigilanza lo comunica al Pubblico estero
che avvia il procedimento penale. Se la situazione anomala é stata regolarizzata,
il reato viene estinto, evitando il procedimento penale e pagando la sola sanzione
amministrativa.
53
Contrà Porti, 16

SCHEMA ITER PROCEDIMENTALE per ORGANI DI UPG

Visita ispettiva dell’Organo di Vigilanza

Comunicazione al P.M. della notizia di reato e Comunicazione del P.M. all’organo
sospensione del procedimento di vigilanza di una notizia di reato

Prescrizione al contravventore con termine per l’adempimento (posso richiedere una proroga motivandola!!)

Verifica della regolarizzazione entro es. 60 gg. dalla scadenza del termine

Adempimento totale della Processo penale
prescrizione Adempimento difforme
per tempi e metodi
Pagamento di ¼ del
massimo dell’ammenda Valutazione del Giudice
prevista per la Mancato adempimento
contravvenzione (art. 162-bis c.p. e 430 c.p.p.) della prescrizione

Comunicazione al P.M.
Pagamento di ¼ del
dell’avvenuta
massimo dell’ammenda Il procedimento penale
regolarizzazione
prevista per la riprende il suo corso
contravvenzione
Estinzione del reato e Processo penale
provvedimento di
archiviazione Estinzione del reato

54 VERBALE GDF
Contrà Porti, 16

CAPO III ACCERTAMENTI E CONTROLLI

Art. 157 (Richiesta di informazioni e di esibizione di documenti)
1. Per l’espletamento dei propri compiti il Garante può richiedere al titolare, al
responsabile,all’interessato o anche a terzi di fornire informazioni e di esibire
documenti.

Art. 158 (Accertamenti)
1. Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche
nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni
comunque utili al controllo del rispetto della disciplina in materia di trattamento
dei dati personali.
2. I controlli di cui al comma 1 sono eseguiti da personale dell’Ufficio. Il Garante si avvale
anche, ove necessario, della collaborazione di altri organi dello Stato.
3. Gli accertamenti di cui al comma 1, se svolti in un’abitazione o in un altro luogo di
privata dimora o nelle relative appartenenze, sono effettuati con l’assenso informato del
titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale
competente per territorio in relazione al luogo dell’accertamento, il quale provvede
con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento
della richiesta del Garante quando è documentata l’indifferibilità
dell’accertamento.
55
Contrà Porti, 16


Art. 159 (Modalità)
1. Il personale operante, munito di documento di riconoscimento, può essere assistito ove necessario da
consulenti tenuti al segreto ai sensi dell’articolo 156, comma 8. Nel procedere a rilievi e ad
operazioni tecniche può altresì estrarre copia di ogni atto, dato e documento, anche a
campione e su supporto informatico o per via telematica. Degli accertamenti è redatto
sommario verbale nel quale sono annotate anche le eventuali dichiarazioni dei presenti.
2. Ai soggetti presso i quali sono eseguiti gli accertamenti è consegnata copia dell'autorizzazione del
presidente del tribunale, ove rilasciata. I medesimi soggetti sono tenuti a farli eseguire e a prestare la
collaborazione a tal fine necessaria. In caso di rifiuto gli accertamenti sono comunque eseguiti e le
spese in tal caso occorrenti sono poste a carico del titolare con il provvedimento che definisce il
procedimento, che per questa parte costituisce titolo esecutivo ai sensi degli articoli 474 e 475 del
codice di procedura civile.
3. Gli accertamenti, se effettuati presso il titolare o il responsabile, sono eseguiti dandone informazione a
quest’ultimo o, se questo è assente o non è designato, agli incaricati. Agli accertamenti
possono assistere persone indicate dal titolare o dal responsabile.
4. Se non è disposto diversamente nel decreto di autorizzazione del presidente del tribunale, l'accertamento
non può essere iniziato prima delle ore sette e dopo le ore venti, e può essere eseguito anche
con preavviso quando ciò può facilitarne l'esecuzione.
5. Le informative, le richieste e i provvedimenti di cui al presente articolo e agli articoli 157 e 158
possono essere trasmessi anche mediante posta elettronica e telefax.
6. Quando emergono indizi di reato si osserva la disposizione di cui all’articolo 220 delle norme di
attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto
legislativo 28 luglio 1989, n. 271.
56
Contrà Porti, 16

Art. 160 (Particolari accertamenti)
1. Per i trattamenti di dati personali indicati nei titoli I, II e III della Parte II gli accertamenti sono
effettuati per il tramite di un componente designato dal Garante.
2. Se il trattamento non risulta conforme alle disposizioni di legge o di regolamento, il Garante indica
al titolare o al responsabile le necessarie modificazioni ed integrazioni e ne verifica
l’attuazione. Se l’accertamento è stato richiesto dall’interessato, a quest’ultimo è fornito in ogni
caso un riscontro circa il relativo esito, se ciò non pregiudica azioni od operazioni a tutela dell’ordine
e della sicurezza pubblica o di prevenzione e repressione di reati o ricorrono motivi di difesa o di
sicurezza dello Stato.
3. Gli accertamenti non sono delegabili. Quando risulta necessario in ragione della specificità della
verifica, il componente designato può farsi assistere da personale specializzato tenuto al segreto ai
sensi dell’articolo 156, comma 8. Gli atti e i documenti acquisiti sono custoditi secondo modalità tali
da assicurarne la segretezza e sono conoscibili dal presidente e dai componenti del Garante e, se
necessario per lo svolgimento delle funzioni dell’organo, da un numero delimitato di addetti
all’Ufficio individuati dal Garante sulla base di criteri definiti dal regolamento di cui all’articolo 156,
comma 3, lettera a).
4. Per gli accertamenti relativi agli organismi di informazione e di sicurezza e ai dati coperti da segreto di Stato il componente designato prende visione degli atti e dei
documenti rilevanti e riferisce oralmente nelle riunioni del Garante.
5. Nell’effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee modalità nel rispetto delle reciproche attribuzioni e della
particolare collocazione istituzionale dell’organo procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi è richiesta dell’organo
procedente, al momento in cui cessa il segreto.
6. La validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di
legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale.

57
Contrà Porti, 16

TITOLO III SANZIONI CAPO I
VIOLAZIONI AMMINISTRATIVE

Art. 161 (Omessa o inidonea informativa all’interessato)

1. La violazione delle disposizioni di cui all’articolo 13 è punita
con la sanzione amministrativa del pagamento di una somma
da seimila euro a trentaseimila.

58
Contrà Porti, 16


Art. 162 (Altre fattispecie)

1. La cessione dei dati in violazione di quanto previsto dall'articolo 16,
comma 1, lettera b), o di altre disposizioni in materia di disciplina del
trattamento dei dati personali è punita con la sanzione amministrativa del
pagamento di una somma da diecimila euro a sessantamila euro
2. La violazione della disposizione di cui all'articolo 84, comma 1, è punita con la
sanzione amministrativa del pagamento di una somma da mille euro a
seimila euro .
2-bis. (2) In caso di trattamento di dati personali effettuato in violazione delle
misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167
è altresì applicata in sede amministrativa, in ogni caso, la sanzione del
pagamento di una somma da ventimila euro a centoventimila euro. Nei
casi di cui all'articolo 33 è escluso il pagamento in misura ridotta.
2-ter. (2) In caso di inosservanza dei provvedimenti di prescrizione di misure
necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1,
lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la
sanzione del pagamento di una somma da trentamila euro a
centottantamila euro.
59
Contrà Porti, 16


Art. 163
(Omessa o incompleta notificazione)

1. Chiunque, essendovi tenuto, non provvede tempestivamente alla
notificazione ai sensi degli articoli 37 e 38, ovvero indica in
essa notizie incomplete, è punito con la sanzione
amministrativa del pagamento di una somma da ventimila
euro a centoventimila euro.

Art. 164
(Omessa informazione o esibizione al Garante)

1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal
Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione
amministrativa del pagamento di una somma da diecimila euro a sessantamila
mila euro.

60
Contrà Porti, 16


Art. 165
(Pubblicazione del provvedimento del Garante)
1. Nei casi di cui agli articoli del presente Capo può essere applicata la
sanzione amministrativa accessoria della pubblicazione
dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più
giornali indicati nel provvedimento che la applica. La pubblicazione ha
luogo a cura e spese del contravventore.
Licenziamento Giusta Causa ESEMPIO
SANZIONE SANZIONE
UNICREDIT

Art. 166 (Procedimento di applicazione)
1. L’organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui
al presente capo e all’articolo 179, comma 3, è il Garante. Si osservano, in
quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e
successive modificazioni. I proventi, nella misura del cinquanta per cento del
totale annuo, sono riassegnati al fondo di cui all'articolo 156, comma 10, e sono
utilizzati unicamente per l'esercizio dei compiti di cui agli articoli 154, comma 1,
lettera h), e 158.

61
Contrà Porti, 16


Art. 167 (Trattamento illecito di dati)
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé
o per altri profitto o di recare ad altri un danno, procede al trattamento di dati
personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e
130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva
nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste
nella comunicazione o diffusione, con la reclusione da sei a ventiquattro
mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per
sé o per altri profitto o di recare ad altri un danno, procede al trattamento
di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21,
22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento,
con la reclusione da uno a tre anni.

Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante)
Chiunque, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o
dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti,
dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito,
salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.

62
Contrà Porti, 16

CAPO II - ILLECITI PENALI

Art. 169 (Misure di sicurezza)

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste
dall'articolo 33 è punito con l'arresto sino a due anni.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche
con successivo atto del Garante, è impartita una prescrizione fissando un
termine per la regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di particolare complessità o
per l'oggettiva difficoltà dell'adempimento e comunque non superiore a
sei mesi. Nei sessanta giorni successivi allo scadere del termine, se
risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal
Garante a pagare una somma pari al quarto del massimo della sanzione
stabilita per la violazione amministrativa. L'adempimento e il pagamento
estinguono il reato. L'organo che impartisce la prescrizione e il pubblico
ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del
decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni,
in quanto applicabili.
63
Contrà Porti, 16

La Videosorveglianza nei luoghi di lavoro
e nei luoghi pubblici

64
Contrà Porti, 16

L. 20.05.1970 N°. 300
STATUTO DEI DIRITTI DEI LAVORATORI

ART. 3 - Personale di vigilanza. RAPPORTI DI LAVORO
I nominativi e le mansioni specifiche del personale addetto alla vigilanza dell'attività
lavorativa debbono essere comunicati ai lavoratori interessati.

ART. 4 - Impianti audiovisivi.
ISTANZA
È vietato l'uso di impianti audiovisivi e di altre apparecchiature
per finalità di controllo a distanza dell'attività dei lavoratori.
Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze
organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi
anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono
essere installati soltanto previo accordo con le rappresentanze sindacali aziendali,
oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su
istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le
modalità per l'uso di tali impianti.
Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al
secondo comma del presente articolo, in mancanza di accordo con le rappresentanze
sindacali aziendali o con la commissione interna, l'Ispettorato del lavoro provvede
entro un anno dall'entrata in vigore della presente legge, dettando all'occorrenza le prescrizioni
per l'adeguamento e le modalità di uso degli impianti suddetti. ……….

65
Contrà Porti, 16

RAPPORTI DI LAVORO
Chi riprende i lavoratori senza accordo con le RSU o con la
commissione interna o con il consenso di tutti i lavoratori è
soggetto a sanzione ex. art.38 della L.300/70 fino a 7.500 euro
circa, pubblicazione della condanna o arresto da 15 gg. ad un
anno.

OSPEDALI
Deve essere garantito il rispetto della dignità del soggetto videoripreso
evitando la diffusione delle immagini (esempio monitor su corridoio
ecc. che riprenda il degente…).

Scuole
Deve essere garantito il DIRITTO ALLA RISERVATEZZA DEL
MINORE, è vietato la videosorveglianza durante attività
extrascolastiche

66
Contrà Porti, 16

TRASPORTO PUBBLICO
La ripresa su TAXI, treni, TRAM, BUS, pensiline (sosta ed allineamento
del mezzo) deve essere effettuata riducendo al minimo l’angolo
visuale.
La segnaletica DEVE essere presente anche nei pressi dei tabelloni
orari!!!
WEB CAM e TURISMO
Le immagini non devono consentire l’identificazione dettagliata del
ripreso.

67
Contrà Porti, 16

SICUREZZA URBANA
Non spetta al Garante definire il concetto di sicurezza urbana
bensì al Sindaco.
In ogni caso deve essere assicurata la liceità, pertinenza,
adeguatezza , finalità della videoregistrazione ed ovviamente
l’informativa di chi tratta i dati ecc.

…, esempio area Mestre “Terraglio”….(strada videosorvegliata per motivi di
“decoro” per divieto prestazioni a pagamento, ricorso accolto dal
ricorrente dinnanzi al Giudice di pace per violazione della disposizione
comunale) – motivo “accesso non autorizzato alle immagini da parte di
dipendenti di cooperativa –lavoratori socialmente utili” addetti
all’estrazione dei fotogrammi per la predisposizione di verbali di infrazione
dell’ordinanza comunale”.

68
Contrà Porti, 16

DEPOSITO RIFIUTI
Con l’introduzione del SISTRI (riconoscimento targa e
geolocalizzazione mezzi presso aree di deposito e
conferimento rifiuti) anche la videosorveglianza deve
rispettare la dignità dell’operatore in quanto lavoratore pur
garantendo il riconoscimento del mezzo senza entrare nella
rilevazione dei tempi e metodi del lavoratore.
La videosorveglianza non deve eccedere la finalità attesa, non
deve riprendere aree esterne alla discarica, può altresì
essere utilizzata per individuare “chi getta la roba fuori dai
cassonetti”.
È ammessa solo se altri mezzi si sono dimostrati inefficaci.
In pratica la sanzione per abbandono rifiuti può essere elevata solo se
colti sul fatto e da soggetti “autorizzati” esempio Polizia Provinciale,
NOE, NAS, CC, ecc ma non dopo aver raccolto la foto (come fosse
un autovelox) e spedita a casa..
69
Contrà Porti, 16

Violazione codice della strada
Nel nostro Paese si potrebbe scrivere un romanzo sui ricorsi…..
In sintesi:
• Immagini sono utilizzabili SOLO se vi è preventiva informativa!!
• Immagini non devono essere inviate al domicilio specie se
riprendono l’autista ed il compagno di viaggio..
• Immagini non devono essere manipolabili da personale non
autorizzato o non coordinato al Comandante dei vigili (se in
Comune) o PS;
• Immagini con evidenza ora, data, condizioni meteo ma non devono
comprendere luoghi vicini o pedoni;
• Attestazione di avvenuta cancellazione delle immagini al termine
della vicenda…!!!!.

70
Contrà Porti, 16

PRIVATI
Benchè il Garante non entri nella definizione di vita privata…… tuttavia le
immagini devono rispettare il principio della liceità e pertinenza.
Possono essere riprese aree interne e perimetrali senza interferire con altri
(pianerottoli, Scale, Garage comuni ecc.)
L’informativa è necessaria solo se si riprendono aree esterne alla proprietà.

71
Contrà Porti, 16

I sistemi integrati di Videosorveglianza

72
Contrà Porti, 16

SISTEMI INTEGRATI DI VIDEOSORVEGLIANZA
Sono quei sistemi che prevedono un’unica stazione di registrazione o
rilevazione per contenimento dei costi esempio edifici pubblici, aree
comunali, parcheggi pubblici.
La gestione condivisa necessita di CHIARA IDENTIFICAZIONE dei
livelli di autorizzazione all’accesso delle immagini sia per la visione
sia per l’estrazione sia per il COORDINAMENTO nelle fasi
estrazione delle immagini
Verifica semestrale dell’operato dei responsabili alla gestione delle
immagini da parte del titolare del trattamento.
Separazione logica delle immagini registrate dai diversi titolari.

Mancato rispetto di quanto sopra espone al rischio sanzione
amministrativa da 10 mila a 50 mila euro

73
Contrà Porti, 16

SISTEMI INTEGRATI DI VIDEOSORVEGLIANZA
TORRE A RISTORANTE TORRE B

BANCA POPOLARE

SUPERMERCATO

TITOLARE INFORMAZIONE

GESTORE VDC e RESP. EXT.

74 PROPRIO INCARICATO
Contrà Porti, 16

ENTI PUBBLICI E TERRITORIALI
(aree industriali per esempio)

DEVE essere chiaro nelle aree di competenza degli Enti territoriali chi
gestisce le immagini, chi le registra, la finalità attesa, il soggetto unico
che gestisce le immagini (es. Istituto Vigilanza privata autorizzato da
Prefetto o PS).
Tutta la gestione deve prevedere un PROTOCOLLO o Procedura per
l’estrazione, consegna, manipolazione delle immagini.

Procedura PROVINCIA
BRINDISI
ZONA INDUSTRIALE

75
Contrà Porti, 16

Gli incaricati al trattamento
e gli Amministratori di Sistema

76
Contrà Porti, 16

TITOLO IV
SOGGETTI CHE EFFETTUANO IL TRATTAMENTO

Art. 28 (Titolare del trattamento)

Quando il trattamento è effettuato da una persona giuridica,
da una pubblica amministrazione o da un qualsiasi altro
ente, associazione od organismo, titolare del trattamento è
l’entità nel suo complesso o l’unità od organismo periferico
che esercita un potere decisionale del tutto autonomo sulle
finalità e sulle modalità del trattamento, ivi compreso il
profilo della sicurezza.

77
Contrà Porti, 16

Art. 29 (Responsabile del trattamento)

1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo
alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal
titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal
titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale
osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.

ESEMPIO LETTERA DESIGNAZIONE RESPONSABILE INTERNO

78
Contrà Porti, 16

Art. 30 (Incaricati del trattamento)

1. Le operazioni di trattamento possono essere effettuate solo da
incaricati che operano sotto la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente
l’ambito del trattamento consentito. Si considera tale anche la
documentata preposizione della persona fisica ad una unità per la
quale è individuato, per iscritto, l’ambito del trattamento consentito
agli addetti all’unità medesima.

ESEMPIO LETTERA AGLI INCARICATI

79
Contrà Porti, 16

AMMINISTRATORI DI SISTEMA:

"amministratore di sistema" si individua generalmente, in ambito
informatico, come figura professionale finalizzata alla gestione e alla
manutenzione di un impianto di elaborazione o di sue componenti.

La rilevanza, la specificità e la particolare criticità del ruolo
dell'amministratore di sistema sono state considerate anche dal
legislatore il quale ha individuato, con diversa denominazione,
particolari funzioni tecniche che, se svolte da chi commette un
determinato reato, integrano ad esempio una circostanza
aggravante.
Ci si riferisce, in particolare, all'abuso della qualità di operatore di sistema
prevista dal codice penale per le fattispecie di accesso abusivo a
sistema informatico o telematico (art. 615 ter) e di frode
informatica (art. 640 ter), nonché per le fattispecie di
danneggiamento di informazioni, dati e programmi informatici (artt.
635 bis e ter) e di danneggiamento di sistemi informatici e
telematici (artt. 635 quater e quinques) di recente modifica

80
Contrà Porti, 16

AMMINISTRATORI DI SISTEMA:

4.4 Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza
almeno annuale, di un'attività di verifica da parte dei titolari o dei
responsabili del trattamento, in modo da controllare la sua rispondenza alle
misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati
personali previste dalle norme vigenti.

4.5 Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici
(autenticazione informatica) ai sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di sistema. Le registrazioni (access
log) devono avere caratteristiche di completezza, inalterabilità e possibilità di
verifica della loro integrità adeguate al raggiungimento dello scopo di verifica
per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione
dell'evento che le ha generate e devono essere conservate per un
congruo periodo, non inferiore a sei mesi.

81
Contrà Porti, 16

Informativa e segnaletica
cosa prevede il Garante?

82
Contrà Porti, 16

VISIBILE ANCHE DI NOTTE

Esempio CARTELLO “MINIMAL”
CARTELLO

Esempio CARTELLO VIDEOSORVEGLIANZA VERSO
FORZE POLIZIA

Esempio CARTELLO VIDEOSORVEGLIANZA

83
Contrà Porti, 16

Le Procedure necessarie per gestire
la videosorveglianza

84
Contrà Porti, 16

VIDEOSORVEGLIANZA:

Esempio Procedura Videosorveglianza
BRINDISI AREA INDUSTRIALE

Esempio Procedura Videosorveglianza

Esempio PLANIMETRIE CON ANGOLO VISUALE

Esempio ACCORDO Datore di Lavoro e Rappresentanze dei
lavoratori

85
Contrà Porti, 16

Il DPS
Documento Programmatico per la Sicurezza
dei Dati

86
Contrà Porti, 16

VIDEOSORVEGLIANZA:

ESEMPIO DI DPS

87
Contrà Porti, 16

Ipslab srl

Cosa facciamo??

Salvataggio automatico remoto dei dati
Certificazioni di sistema qualità
Sicurezza sul lavoro

88
Contrà Porti, 16

ESEMPIO SALVATAGGIO DATI AUTOMATICO

IPSLAB dal 2005 detiene esclusivo sistema per il salvataggio remoto dei
dati delocalizzato all’estero su server farm.

Il sistema è automatico e si avvale della semplice connessione ad
internet.

Possono essere salvati dati in continuo, in differita, in tempo reale ecc.
senza intervento operatore

cosa serve? Solo la tua linea internet..

89
Contrà Porti, 16

La struttura SAFE BACKUP

La sicurezza assoluta ora è possibile!!
Backup automatico remoto « ON-DEM AND »

Postazioni e server da salvaguardare
nell’azienda Piattaforma IPSlab

Tivoli Stor age
VPN M anage r
TIV OLI STORA GE IBM
Salvataggio a “caldo” de i Ne tse cure Box MA NA GER
Se r ve r di pos ta Lotus
Note s & Exchange NETSECURE
BOX
Km
10

2° Ce ntr o di
e m e r ge nza di
Salvataggio di un Back up
s e r ve r Unix, Linux,
Nove ll

Salvataggio di un
PC Por tatile con
Window s XP

Salvataggio di una
Pos tazione di Ce ntr o Pr incipale
lavor o con Cus tom e r Car e IPSlab de l Back up
Window s 2000
(+39) 3338008008

Salvataggio di una
Pos tazione di lavor o
Suppor to SAFE
pe r s onalizzato
con M ac OS X
BACKUP

90
Contrà Porti, 16

Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le regole del garante.

Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le regole del garante.

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le regole del garante.

Similar to Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le regole del garante. (20)

More from Centro Produttività Veneto

More from Centro Produttività Veneto (20)

Recently uploaded

Recently uploaded (9)

Videosorveglianza, liceità, pertinenza e bilanciamento degli interessi: le regole del garante.