La videosorveglianza sans façon*

1 Risposta

Il Garante tramite la propria Newsletter del 1 marzo 2013 ha pubblicizzato un provvedimento del 17 gennaio 2013 che ribadisce le linee interpretative già espresse in tema di Videosorveglianza (attività per la quale si rimanda sempre al provvedimento di carattere generale dell’8 aprile 2010).

Il Garante ha disposto il blocco dei trattamenti nei confronti del sistema di videosorveglianza attuato da FNAC Italia s.p.a. nel proprio negozio di Genova. Molti dei trattamenti sono stati giudicati inadeguati ai requisiti di legge.

Il provvedimento non contiene veri e propri elementi di novità, tuttavia nel ribadire un indirizzo già consolidato dell’Autorità Garante non mancano alcuni elementi che vanno sottolineati, se non altro perché i titolari dei trattamenti continuano ad ignorare alcuni aspetti delle norme in materia.

Prima di tutto bisogna ricordare che non adeguare i trattamenti agli obblighi di legge costa!
Sulla base del provvedimento del Garante gli illeciti contestati dovrebbero portare ad una sanzione stimabile tra € 56.000 e € 1.344.000.

1.
Violare le norme in tema di videosorveglianza, quando ci sono di mezzo i lavoratori è molto pericoloso, perché rende illecito il trattamento e integra un comportamento penalmente rilevante. Infatti, in questa occasione il Garante ha disposto la trasmissione degli atti all’Autorità Giudiziaria perché autonomamente proceda valutando la presenza del reato di “Trattamento illecito di dati personali”.

2.
Oltre a questo non bisogna dimenticare che, nell’ambito dei rapporti di lavoro bisogna concludere con i dipendenti un accordo sindacale che rende lecita la videosorveglianza, e l’accordo deve essere completo ed esatto. In questo caso il Garante ha accertato che l’accordo non descriveva correttamente il trattamento e nascondeva alcune operazioni di trattamento e persino un soggetto che non era stato censito e nominato responsabile.

3.
Si è ravvisato inoltre che uno dei soggetti che effettuava il controllo delle immagini riprese per conto del titolare non era munito di licenza prefettizia necessaria per svolgere l’attività di sorveglianza ai sensi del Testo Unico Leggi Pubblica Sicurezza.

4.
Non per tutti gli attori del trattamento erano stati formalmente decisi dei ruoli o erano state stipulate delle misure di sicurezza, anche questo ha contribuito a determinare il blocco dei trattamenti. Per porre rimedio FNAC ha pertanto dovuto nominare responsabili i soggetti che prima operavano in carenza di autorizzazione.

5. 
Una delle telecamere dovrà comunque essere spostata: chi ha configurato il sistema non ha provveduto a valutare per le immagini raccolte che non vi fosse un eccesso di trattamento. Non serve solo mettere le telecamere bene, serve anche verificare che siano tutte necessarie e che non vi siano telecamere di cui si potrebbe fare a meno!

6.
Oltre non tutte le aree videosorvegliate erano segnalate tramite l’informativa semplificata che si può sistemare tramite il cartello. A questo si somma che comunque i cartelli che erano stati sistemati recavano un informativa incompleta!
Basterebbe usare il cartello predisposto dal Garante (guarda qui sotto!) e compilarlo completamente e correttamente, per evitare questa contestazione (che già da sola può costare oltre seimila euro).

Se siete interessati a ricevere un articolo tecnico di analisi del provedimento potete scaricarlo da questa pagina, mentre se desiderate leggere il provvedimento del Garante annotato e re-impaginato potete scaricarlo da questa pagina.

 

Cartello video

* dal dizionario Treccani on-line: “sans façonsã fasõ› locuz. avv., fr. (propr. «senza atto cerimonioso»). – Propriam., senza cerimonie, alla buona. Nell’uso ital. è frequente il costrutto ibrido alla sans façon, alla buona, o anche in modo sciatto, senza cura: è un lavoro alla sans façon.”

 

 

 

 

 

Le sanzioni esistono

1 Risposta

1. Note introduttive

Spesso i nostri clienti chiedono a noi consulenti quali sono, e in che modo sono realmente articolate, le sanzioni in tema di protezione dei dati personali. Ancora più spesso siamo noi, i consulenti, che dobbiamo ricordare ai nostri clienti che le violazioni del Codice privacy (il d.lg. 196/2003) essendo le violazioni di una legge cogente non rimangono indolori.

Almeno non sul piano teorico. A livello pratico, si dice o si pensa spesso, però, una cosa diversa, si dice che non è così frequente essere sanzionati, o che almeno che le sanzioni non siano così frequenti da doversene preoccupare. O non sono almeno così automatiche da potersi pensare che chi è inadempiente debba pagare per le sue infrazioni.

Eppure, le sanzioni per la violazione degli obblighi della legge ci sono, l’Autorità Garante per la protezione dei dati personali sanziona veramente i violatori.

In queste brevi note si da un quadro agile e veloce dell’attività ispettiva e sanzionatoria dell’Autorità Garante utilizzando le informazioni che il Garante stesso ha presentato al parlamento nel luglio 2011 ad illustrazione delle attività del 2010, in alcuni punti queste informazioni sono poi state integrate con quelle fornite anche dalle altre relazioni annualmente presentate al Parlamento dall’autorità indipendente.

Si tratta di informazioni liberamente disponibili presso il sito dell’autorità www.garanteprivacy.it. Ovviamente queste informazioni sono anche valutate a fronte di un’attività professionale di diversi anni nel corso dei quali abbiamo assistito a controlli, ad accertamenti, a richieste di informazioni e chiarimenti.

1.1 L’attività ispettiva e i controlli del Garante

L’Autorità Garante per la protezione dei dati personali dispone sin dalla sua creazione di un potere sanzionatorio effettivamente esercitato tramite un apposito ufficio interno all’autorità. L’attività ispettiva di controllo avviene sia tramite un programma elaborato in modo autonomo annualmente e periodicamente comunicato che prevede controlli di cui si indicano gli obiettivi e i campi generali di indagine. Ma al tempo stesso i controlli vengono anche avviati per effetto di segnalazioni che l’Autorità Garante riceve da parte dei cittadini.

L’autorità esegue controlli direttamente e tramite il Nucleo speciale privacy, ma inoltre procede a controlli tramite le segnalazioni che riceve dai cittadini.

Nel 2010 si è proceduto a 474 controlli cui si sommano 109 operazioni di controllo e verifica dietro segnalazioni dei cittadini. Poiché queste 583 operazioni di controllo e verifica hanno portato (cfr. oltre per i particolari nel paragrafo dedicato alle sanzioni amministrative) a 424 sanzioni amministrative, ne consegue che, una visita ispettiva del Garante porta, nel 72,7% dei casi, ad una sanzione amministrativa e ben di rado (nel 9% dei casi) ad una denuncia alla procura per la segnalazione di reati connessi alla protezione dei dati personali.

Questa è una tendenza che comunque è consolidata negli ultimi anni perché a partire dal 2008 il rapporto tra controlli e sanzioni elevate appare costante nonostante si sia assistito ad un incremento costante del numero dei controlli.

Questo il grafico dell’andamento dei controlli e delle sanzioni in Italia a partire dal 2002 (dati presi dalle relazioni dell’Autorità Garante nel corso degli anni):

1.1.1 Il “crimine” che non paga
A questo punto serve fornire un’ulteriore conferma sul fatto che il delitto non paghi. O almeno non paga quando si tratta delle sanzioni previste dal Codice privacye quindi di sanzioni dovute agli inadempimenti rispetto agli obblighi di legge.La motivazione del nostro deciso “no” nasce dal fatto che la sanzione, quale essa sia come tipologia e/o entità, non sana assolutamente la posizione: non elimina l’inadempimento e, nei casi più gravi, la posizione penalmente rilevante. Quindi, pagata la sanzione bisogna comunque “mettersi a posto”.In buona sostanza se qualcuno tenta di fare il calcolo (più propriamente “la scommessa”) se convenga rischiare, e pagare la sanzione se “scoperti”, piuttosto che investire denaro nell’adeguamento, deve tenere ben presente tre elementi:

  • se si è colti in fallo il primo (ma non unico) costo da sostenere è quello della sanzione, quasi esclusivamente economico;
  • a questo si deve aggiungere il costo (economico e organizzativo) per (ri)mettersi a norma, cosa che va fatta in tempi stretti e comunque imposti dal Garante. Vi sono anche i costi di formalizzazione delle misure adottate e della dimostrazione concreta dell’attuazione delle medesime al Garante (e non farlo “vi” fa diventare come uno dei sette soggetti che l’Autorità Garante ha segnalato nel 2010 per non avere rispettato le proprie indicazioni, reato punito con la reclusione sino a due anni (cfr. art. 170 d.lg. 196/2003);
  • Ulterior sed non ultimus” vi è un costo, praticamente non calcolabile ma certamente ingentissimo in termini organizzativi e di immagine verso il mercato, derivante dalla più minacciosa delle cosiddette “sanzioni accessorie” previste, e cioè il “blocco dei trattamenti”: in sostanza finché non si è dimostrato al Garante di avere conseguito l’adeguamento, i trattamenti oggetto di sanzione non possono essere effettuati! Nella maggior parte dei casi esaminati questo blocco dei trattamenti è stato equivalente ad un blocco della attività reale. Il più semplice degli esempi: se viene rilevato un trattamento “inadeguato od omesso” (es. Inadeguata od omessa informativa, o mancata raccolta del consenso ove previsto) in una campagna promozionale, o in un concorso o attività simile, come primo atto viene bloccata la “campagna” finché non sono stati raccolti TUTTI i consensi specifici da parte dei partecipanti già “registrati”… Praticamente l’attività finisce su un binario morto perché i tempi per recuperare tale documentazione a posteriori sono probabilmente più lunghi della scadenza del periodo dedicato alla promozione. Lasciamo ad ogni uomo di marketing la valutazione dell’impatto sulla clientela, reale o potenziale, di un evento simile. Dove lo abbiamo visto accadere è stato pesantemente negativo.

In sostanza costa meno essere law compliant che scommettere di farla franca…

1.2 Il sistema sanzionatorio
Le sanzioni connesse alle violazioni della legge possono essere penali (nei casi più gravi), o amministrative. Le seconde sono comminate dal Garante privacy e possono essere giustiziate presso il tribunale amministrativo. Nel 2010 65 ricorsi avverso i provvedimenti del Garante già definiti sono tutti stati rigettati (cfr. la Relazione 2010 del Garante privacy a p. 185). Pertanto non è consigliabile cercare di adire le vie giudiziarie che rischiano molto facilmente di tradursi semplicemente in un aumento dei costi.

1.2.1 Le sanzioni penali
Il Codice privacy, prevede innanzitutto delle sanzioni di natura penale per le condotte più gravi. Le sanzioni penali non sono frequentissime ma nel corso dei quasi cinquecento casi di ispezione, nel 2010, il Garante ha dato impulso ad indagini di natura penale per cinquantacinque volte. Sono, in ogni caso, delle indagini che si aprono e, nel migliore dei casi, si chiudono dopo qualche tempo con un decreto di archiviazione, ma nei casi più gravi non si può escludere che dalle indagini preliminari non si sfoci nel dibattimento (il processo) vero e proprio.

1.2.2 Le sanzioni amministrative
Accanto alle sanzioni di natura penale i comportamenti in violazione della legge comportano, quasi ogni volta, la possibilità per l’Autorità Garante di irrogare una sanzione che oscilla da un minimo ad un massimo edittale. Le sanzioni sono, nei casi più gravi, anche molto salate perché possono superare il milione di euro.

2. Le sanzioni nel 2010
2.1. Le sanzioni penali
Il Garante ha fornito informazioni che ci consentono di creare un quadro prospettico delle contestazioni di reato compiute nel 2010:

Nella maggior parte dei casi il Garante ha contestato la mancata adozione delle misure di sicurezza (34/55) e le violazioni connesse al controllo dell’attività lavorativa dei dipendenti.Sono questi i temi che destano comprensibilmente le maggiori preoccupazioni, e all’interno delle misure di sicurezza dominano le contestazioni dovute alla mancata consegna delle lettere d’incarico, e la mancanza di formali procedure per l’autenticazione.

2.1.1. Una pericolosa specificità

Le ispezioni sui sistemi di videosorveglianza spesso non conducono “solo” all’accertamento di violazioni rispetto agli obblighi dettati dal Codice privacy, con le relative sanzioni, ma conducono anche (e vi sono ormai parecchi casi consolidati) a contestazioni di mancato rispetto dello Statuto dei Lavoratori. La realtà è che, troppo spesso, un sistema di videosorveglianza si traduce in un controllo a distanza del lavoratore, o come tale viene considerato dagli ispettori.

Come noto, per porre al riparo da contestazioni simili controlli deve essere rispettato non solo quanto prescritto dall’Autorità Garante in tema di protezione dei dati personali, ma anche quanto previsto dalle norme del diritto del lavoro. Quindi, innanzitutto, serve concludere accordi precisi con le rappresentanze sindacali.

In questi casi il reato segnalato alla procura della repubblica crea innanzitutto un clima di tensione nell’ambito delle relazioni industriali, e vi è sempre il rischio che il tema si allarghi dalla videosorveglianza anche agli altri sistemi di controllo del dipendente/incaricato (quelli connessi all’uso di strumenti elettronici).

2.2. Le sanzioni amministrative

Come si può notare dal grafico qui sotto, analogo a quello che illustrava le sanzioni penali e anche questo elaborato a partire dalle informazioni ufficiali che l’Autorità Garante ha presentato al parlamento nel luglio 2011 per l’anno 2010, le sanzioni amministrative elevate sono in coerenza con i rilievi penalmente rilevanti, tanto è vero che per 124 volte (su 424 sanzioni irrogate) il Garante ha contestato l’omessa adozione di misure di sicurezza.

Ma a “farla da padrone” sono le informative omesse o inidonee: un vero biglietto da visita da cui il Garante inizia ad esaminare le posizioni dei titolari e che ben di rado superano il vaglio degli ispettori. Fra l’altro si tratta del documento più facile da acquisite o del quale verificare l’inesistenza o l’inadeguatezza. Poiché la sanzione minima per una informativa inidonea è duemila euro (e deve notarsi che conta il numero di informative consegnate non il tipo di informative: se l’informativa inidonea o omessa riguarda un concorso a premi la sanzione base deve essere moltiplicata per il numero di concorrenti…), in questa occasione possiamo stimare che le sanzioni non possono essere state inferiori, complessivamente, a 478.000 euro.

3. Gli importi delle sanzioni negli anni

Complessivamente il peso delle sanzioni è salito molto negli ultimi anni, anche per effetto delle modifiche legislative che hanno aumentato i massimi edittali delle sanzioni amministrative.

3.1 I massimi ed i minimi
Nel 2010 le sanzioni irrogate complessivamente vanno da un minimo edittale di € 5.200.000 ed un massimo di € 31.100.000, significa che, in rapporto con le ispezioni effettuate (circa 500), si può stimare in oltre diecimila euro la sanzione mediamente irrogata ai titolari del trattamento che risultino inadempienti rispetto agli obblighi di legge.

Questa è comunque il grafico che mostra l’incremento delle sanzioni negli ultimi anni:

Questi conti, malamente interpretati con il numero di sanzioni amministrative elevate, dicono che, mediamente, una sanzione amministrativa del Garante, quando arriva, costa dai dodici ai settantatremila euro.

3.2. Gli importi già incassati
Gli importi sopra indicati sono ovviamente tutti teorici e da definire, perché è evidente che qualora una sanzione del Garante venga contestata con ricorso alla giustizia amministrativa, nonostante il Garante tenda a venire riconosciute le proprie ragioni (cfr. quanto già detto sopra nel paragrafo sul sistema sanzionatorio), pertanto il Garante ha anche iniziato a fare i conti con i soldi che effettivamente vengono incassati come conseguenza della propria attività sanzionatoria, sono quindi le sanzioni definite e non più pendenti presso i tribunali amministrativi.

Nel corso degli ultimi quattro anni (dal 2007 al 2010 inclusi) tali somme sono molto aumentate ed è probabile che aumenteranno ancora, perché non si sono ancora sentiti gli influssi dell’aumento delle sanzioni definito nel 2008 (cfr. la Relazione 2010 del Garante a p. 200):

Non è sbagliato ipotizzare secondo noi (ma mancano informazioni dettagliate al riguardo), che anche gli importi incassati continueranno ad aumentare e di molto, via via che si definiranno i provvedimenti sanzionatori che sono stati emessi a partire dal 2008. Il grafico inserito qui sotto mostra, nell’incremento tra il 2009 e il 2010, che la tendenza è già emersa e che probabilmente da un punto di vista pecuniario si tradurrà in un iperbolico (il termine non è usato se non in chiaro riferimento alla funzione matematica) aumento degli importi.

È quasi superfluo sottolineare che quindi, nel corso dei prossimi anni diverrà via via sempre meno vantaggioso, essere inadempienti rispetto agli obblighi del Codice Privacy.

E la chiamano privacy…

1 Risposta

Un valido esempio di classico mercante che deve tenere una contabilità

In Italia il tema della protezione dei dati personali ha preso piede ed è divenuto d’attualità quando la Comunità Europea ha iniziato ad emanare delle direttive su questo tema. Ogni stato dell’Unione ha emanato una legge nazionale in alcuni casi aggiornando quelle già esistenti e anche l’Italia come è noto ha proceduto a scrivere una prima legge nazionale nel 1996 e poi nel 2003. Il tema della protezione dei dati personali riguarda diversi aspetti tra loro contigui (ovviamente) ma anche profondamente distinti:

  • il tema delle libertà fondamentali, ovvero il fatto che il dato personale è un elemento che costituisce una parte fondamentale dell’identità umana e che quindi ogni persona ha il diritto di mantere un controllo sui dati che lo riguardano;
  • il tema della tutela dallo Stato dei dati personali: lo stato tratta i dati personali dei propri cittadini solo in quanto siano necessari per il perseguimento di fini espliciti (corollario del principio di stato di diritto);
  • il tema delle nuove tecnologie, vale a dire che il progresso tecnologico consente operazioni che prima non erano possibili e al tempo stesso rende possibile operare in modo del tutto nuovo con i dati personali. Pertanto quest’attività deve essere regolata in modo trasparente.

Trovo che il terzo punto abbia una contiguità notevolissima con quanto avvenuto in passato e nel medioevo con la matematica e la contabilità.

Nel corso della mia attività professionale ho spesso spiegato in convegni, articoli e ai miei clienti, che l’attività che dovevano svolgere per documentare il proprio sistema informativo era del tutto analoga a quella che compivano rispetto ai temi contabili e finanziari. Le scritture contabili ovviamente possono essere tenute in varie maniere (è prova di questo il fatto che in ogni nazione le regole possono e sono, in alcuni casi, differenti). Tuttavia una è la maniera prescritta, identica per tutte le società (e non solo le società) che operano in Italia e sono sottoposte quindi alla legge nazionale. Nonostante questa imposizione, nessuno (salvo rarissimi casi peculiari), si lamenta dell’obbligo di redigere la contabilità in un dato modo, perché questo obbligo è per tutti anche uno strumento di utilità insopprimibile: innanzitutto è uno strumento di auto-analisi, ma in secondo luogo l’elaborazione delle informazioni in modo uguale e identico consente anche alle persone di essere (quando necessario) sostituibili senza traumi: non è necessario un corso di iniziati per sapere come la contabilità viene tenuta nella società Barabba!

Per quanto riguarda il sistema informativo di una società quello che si è iniziato a costruire per la protezione dei dati personali è la stessa cosa: dato che oggi gli apparati elettronici (le così dette nuove tecnologie) sono una parte essenziale delle informazioni societarie e sono un ganglio vitale della società, è opportuno che le informazioni su questa parte della società non siano più depositate presso alcuni uomini oscuri che vivono in una stanza compiendo operazioni del tutto sconosciute a chi questa società la amministra, le informazioni vitali devono essere patrimonio comune e noto agli amministratori. E questo patrimonio deve essere organizzato in un modo codificato in modo da rendere sostituibili le persone e chiare le informazioni.

Questo fenomeno trovo sia somigliante e non poco a quanto è avvenuto a suo tempo in Europa, in particolare in Italia e a Firenze sul tema delle scritture contabili che ogni mercante doveva tenere nel proprio banco. La matematica finanziaria si era sviluppata e rendeva possibili cose che prima erano impensabili, ma questa maggiore opportunità conteneva anche degli evidenti rischi: i mercanti che non potevano pagare i debiti dovevano ricostruire la loro posizione e questo non era facile o possibile se le informazioni erano organizzate in modo oscuro o del tutto personalizzato. Da lì lo sappiamo, il passo verso la codificazione di metodi di lavoro e di regole sulla contabilità è stato in parte lungo ma concettualmente breve.