privacy Archivi - Studio Legale Avv. Gabriele Bisinella

28 Maggio 2020

Videosorveglianza in condominio: quando è legittima

Accade spesso nella vita quotidiana che i proprietari di singole unità immobiliari condominiali decidano di installare sistemi di videosorveglianza finalizzati alla protezione della propria abitazione.

È intuibile come tale scelta possa creare dei dubbi circa la legittimità delle riprese così effettuate, specialmente nel caso in cui l’angolo visuale delle telecamere private non inquadri esclusivamente l’abitazione dell’interessato ma anche porzioni di immobili altrui o zone comuni di passaggio, come le scale condominiali o il pianerottolo. Infatti, l’attività di raccolta di informazioni personali di soggetti terzi compiuta attraverso le telecamere, di regola, dovrebbe essere svolta nei limiti e con le modalità imposte dalla normativa vigente in tema di protezione dei dati personali.

Al riguardo, è opportuno sottolineare come il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza non formi oggetto di legislazione specifica. Si applicano, pertanto, le disposizioni generali in tema di protezione dei dati personali: in particolare, la materia della videosorveglianza privata risulta attualmente disciplinata dal Codice della privacy (D. Lgs. 196/2003), così come modificato dall’entrata in vigore del G.D.P.R. (General Data Protection Regulation – Regolamento UE 2016/679), nonché da un provvedimento generale adottato nel 2010 del Garante della privacy e pubblicato nella Gazzetta Ufficiale n. 99 del 29.04.2010.

Il combinato disposto delle norme sopra citate ha creato un intricato sistema di tutele a beneficio della riservatezza dei singoli soggetti, i quali hanno diritto di conoscere come verranno raccolti e utilizzati i dati personali a loro riferibili. È quindi evidente che, nel caso in cui tali norme dovessero trovare effettiva applicazione anche all’attività di videosorveglianza privata, il soggetto interessato al posizionamento delle telecamere sarebbe tenuto a rispettare gli imponenti obblighi informativi e di conservazione dei dati imposti dalla legge, con cospicuo dispendio di tempo ed energie.

Se, da un lato, è indubbio che la ripresa di immagini a fini di sorveglianza rientri nella categoria di attività classificabili come trattamento di dati personali (e, quindi, disciplinate dalle norme in precedenza indicate), dall’altro lato è parimenti pacifico come le disposizioni poste a tutela della privacy non trovino applicazione nei casi in cui il trattamento dei dati personali venga effettuato da una persona fisica per l’esercizio di attività esclusivamente personale o domestico.

Infatti, l’art. 2 co. 2 lett. c) del Regolamento UE 2016/679 (G.D.P.R.) esclude dal proprio ambito di applicazione tutti i casi in cui la raccolta di dati avvenga per finalità strettamente personali, ovvero senza una connessione con attività commerciali o professionali (Considerando n. 18 Regolamento UE 2016/679).

Parallelamente, l’art. 6.1 regolamento 2010 del Garante della Privacy chiarisce che il Codice della privacy non debba trovare applicazione qualora i dati non siano comunicati sistematicamente a terzi ovvero diffusi.

Nel concetto di trattamento dati a fini personali, specifica il Garante, può rientrare, ad esempio, l’utilizzo di strumenti di videosorveglianza idonei ad identificare coloro che si accingono ad entrare in luoghi privati (videocitofoni ovvero altre apparecchiature che rilevano immagini o suoni, anche tramite registrazione), oltre a sistemi di ripresa installati nei pressi di immobili privati ed all´interno di condomini e loro pertinenze (quali posti auto e box).

Tuttavia, benché non trovi applicazione né la disciplina del Codice né del G.D.P.R., l’utilizzo di strumenti di ripresa visiva o sonora finalizzato all’indebito ottenimento di notizie o immagini attinenti alla vita privata delle persone integra gli estremi del reato di interferenze illecite nella vita privata, disciplinato e punti ai sensi dell’art. 615-bis c.p.

Al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.), il Garante della privacy, nella medesima disposizione sopra citata, ha ricordato come sia comunque opportuno che l´angolo visuale delle riprese sia limitato ai soli spazi di propria esclusiva pertinenza (ad esempio antistanti l´accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni (cortili, pianerottoli, scale, garage comuni) ovvero ad ambiti antistanti l´abitazione di altri condomini (art. 6.1 co. 2).

Tuttavia, affinché le riprese della videosorveglianza possano integrare gli estremi della condotta punibile ai sensi dell’art. 615-bis c.p., è necessario che l’azione ripresa, svolgendosi in luoghi di privata dimora, non possa essere liberamente osservata da estranei se non ricorrendo a particolari accorgimenti (ad esempio cimici, registratori o telecamere nascoste). In tal caso, infatti, viene meno l’esigenza di tutela della vita privata della persona, la quale, compiendo determinate attività in luoghi esposti alla vista di estranei, accetta il rischio di veder compresso il proprio diritto alla riservatezza.

Di conseguenza, le videoriprese aventi ad oggetto comportamenti tenuti in spazi di pertinenza della abitazione di taluno ma di fatto non protetti dalla vista degli estranei, come quelli tenuti in prossimità di una finestra aperta o sulle scale condominiali, possono essere equiparate a registrazioni effettuate in luoghi esposti al pubblico e, pertanto, non sono idonee ad integrare gli estremi della condotta punibile ai sensi dell’art. 615-bis c.p.

4 Maggio 202011 Maggio 2020

Il Protocollo condiviso: le risposte agli aspetti privacy problematici

Dopo il periodo trascorso in lockdown la “Fase 2” è iniziata ed alle imprese che riprendono l’attività spetta interpretare le normative e i documenti emanati in questo periodo d’emergenza per essere compliant e gestire al meglio la ripresa nel rispetto della salute e sicurezza del luogo di lavoro.

Un documento importante nella “Fase 2” è il Protocollo di regolamentazione delle misure per il contrasto ed il contenimento della diffusione del COVID-19 redatto in condivisione dalle parti sociali e contenente una serie di prescrizioni per il contenimento della diffusione del virus nello svolgimento – sicuro – dell’attività produttiva.

Il 24 Aprile è stata diffusa la versione aggiornata del suddetto protocollo (la prima versione è del 14 marzo), la cui applicazione su base nazionale è rinnovata dal D.P.C.M. del 26 aprile 2020. Il protocollo è recepito anche nell’Ordinanza Regione Veneto n. 44 del 3 maggio 2020, che ne inserisce il testo all’Allegato 2.

Principi generali

Il protocollo definisce il Covid-19 come rischio biologico generico: il documento pertanto si rivolge a tutte le aziende, in quanto possibilmente soggette a tale rischio, sia per la gestione della sicurezza dei lavoratori negli ambienti di lavoro, sia per l’adozione di misure di contenimento della diffusione nei confronti di chiunque entri nei luoghi di lavoro: clienti, fornitori, dipendenti dei fornitori e simili.

È bene evidenziare che, nella modifica adottata il 24 aprile, la mancata attuazione del protocollo, che non assicuri adeguati livelli di protezione, determina la sospensione dell’attività fino al ripristino delle condizioni di sicurezza.

Oltre alle prescrizioni organizzative (quali la sanificazione dei locali, ecc.), il rispetto del protocollo può comportare una serie di operazioni di trattamento di dati personali cui è bene porre attenzione per procedere in modo conforme alle normative vigenti.

Il Garante privacy è intervenuto in data 4 maggio con una serie di faq (https://www.garanteprivacy.it/temi/coronavirus/faq) volte a fare un po’ di chiarezza sui principali snodi problematici cui le imprese si sono trovate a fare i conti nell’attuazione del protocollo.

Modalità di ingresso in azienda (di tutti i soggetti) – Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

Innanzitutto, per rispettare la messa in sicurezza dei luoghi di lavoro, è bene premettere che la misurazione della temperatura all’ingresso non ha carattere obbligatorio. È tuttavia vero che il Datore di Lavoro ha l’onere di garantire il rispetto delle misure a tutela della salute e sicurezza dei luoghi di lavoro e, dal Par. 2 del protocollo, di impedire l’accesso ai soggetti con temperatura superiore ai 37,5°: per cui lo stesso potrebbe ritenere che la rilevazione della temperatura sia una misura necessaria.

In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) GDPR), nel rispetto dei principi di “minimizzazione” (art. 5, par.1, lett. c) GDPR) la registrazione del dato relativo non è ammessa in linea generale, salvo che:

per quanto riguarda i dipendenti: la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro;
nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

L’azienda può richiedere, quale condizione per l’accesso, di rendere informazioni in merito all’eventuale esposizione al contagio da COVID 19?

Il protocollo afferma che è inibito l’ingresso in azienda in presenza di condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc).

Data questa premessa:

il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati;
tra le misure di prevenzione e contenimento del contagio vi è la preclusione dell’accesso alla sede dell’azienda a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS.

A tal fine, si ritiene sia possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).

In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

Qualora fosse prevista la rilevazione della temperatura e/o la raccolta di dichiarazioni scritte con cui si attesti di non versare nelle condizioni ostative di cui al Protocollo deve essere fornita specifica informativa ai sensi del Reg. UE 679/2016 ai lavoratori e a chiunque entri in azienda in merito ai trattamenti che l’azienda stessa potrà effettuare nell’applicare le misure di sicurezza.

L’identità del dipendente affetto da Covid-19 può essere resa nota agli altri lavoratori / al RLS da parte del datore di lavoro?

La risposta al quesito è no: in relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai predetti compiti.

Non solo, qualsiasi informazione relativa alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti.

I soggetti adibiti alla rilevazione della temperatura

Si è discusso se i datori di lavoro potessero incaricare alla rilevazione della temperatura all’accesso dei locali aziendali – gli “autorizzati al trattamento dei dati personali” ai sensi degli artt. 4, n. 10 e 29 GDPR – dei dipendenti dell’azienda o se la rilevazione dovesse rimanere esclusivamente in capo al medico competente, eventualmente tramite delegati.

Dalla struttura del protocollo, che pone la gestione dei lavoratori sintomatici in capo al medico curante e non al medico competente e la base giuridica del trattamento nell’implementazione dei protocolli di sicurezza anticontagio, più propriamente inquadrabile nella lett. g) dello stesso art. 9, par. 2 (trattamento necessario per motivi di interesse pubblico rilevante), e non in quella della medicina del lavoro ex art. 9, par. 2, lett. h), sembra che la prevenzione del Covid si ponga al di fuori dell’ambito preventivo regolato dal d.lgs. 81/2008, pur ritenuto rilevante.

Pertanto, rimanendo che, laddove possibile, optare per il medico competente sembra una valida soluzione, il datore lavoro ha certamente la possibilità di affidare tale trattamento a personale qualificato, possibilmente formato in materia di privacy e/o di salute e sicurezza sul lavoro.

Il medico competente

Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” ossia quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.

Questo quadro di misure, soggetto a continue evoluzioni, sarà inevitabilmente legato all’andamento dell’epidemia, sicché il la tenuta delle misure andrà “testata” nella sua applicazione pratica, nel rispetto delle normative emergenziali ma senza dimenticare i principi generali dell’ordinamento.

6 Febbraio 2020

LA TUTELA DELL’IMMAGINE, tra Legge sul diritto d’Autore e Privacy, come non commettere passi falsi

Qual è l’oggetto della tutela?

Quando parliamo di diritto all’immagine, dobbiamo innanzitutto individuare l’oggetto della tutela:

ad essere tutelato è infatti il diritto della persona che la propria immagine non venga divulgata, esposta o comunque pubblicata senza il suo consenso e fuori dai casi previsti dalla legge: “il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa” (art 96 Legge sul Diritto d’Autore).

Per il mero scatto della fotografia non è necessario il consenso della persona ritratta.

È necessario se, invece, si vuole divulgare lo scatto (su social network, su carta stampata, su siti internet, per finalità promozionali).

Tali argomentazioni valgono anche per i clic video, insomma, per qualsiasi supporto che contenga il bene tutelato: l’immagine.

Il consenso andrà richiesto alla persona della quale si vuole diffondere l’immagine, mediante l’espressione di un assenso conosciuto con il termine “liberatoria”.

Liberatoria non è un termine giuridico (non è infatti menzionato nella normativa che disciplina il diritto d’autore) ma viene utilizzato per identificare il contratto di uso / utilizzo della propria immagine.

In generale, il protagonista dello scatto o della clip video “rilascia la liberatoria” ovvero conferisce a colui che ha eseguito la fotografia o la registrazione la possibilità di utilizzare, nelle modalità convenute tra le parti, la propria immagine.

La liberatoria non deve avere forma scritta ai fini della validità. È necessario però che chi ha la necessità di ottenerla sia in grado di provarne l’esistenza per difendersi da eventuali obiezioni:

uno stratagemma sarà, ad es., la registrazione di un breve assenso prima di iniziare una ripresa video;
un’altra modalità potrà essere, in caso di organizzazione di un evento per cui non é prevista alcuna modalità di iscrizione, l’invitare i partecipanti, all’entrata della sala, a dare lettura di un’informativa. Essa dovrà specificare che varcando la soglia il soggetto esprimerà implicitamente il consenso ad essere ritratto ed all’utilizzo delle immagini e videoriprese.

La liberatoria è necessaria per ogni soggetto la cui immagine viene “catturata”?

No. Essa è necessaria in tutti i casi in cui la persona è oggettivamente riconoscibile.

È molto importante questa distinzione. Esempi di soggetto riconoscibile sono, oltre al classico ritratto al volto, gli scatti di un tatuaggio o di una cicatrice che risulta visibile solo in una persona.

In tutti i casi in cui il soggetto non possa essere ritenuto riconoscibile da chi veda l’immagine, lo stesso non può, sulla stessa, vantarne diritti che ne limitino la diffusione.

Ci sono delle eccezioni?

La Legge sul Diritto d’Autore prevede delle eccezioni al diritto della persona a che la propria immagine non venga divulgata, esposta o comunque pubblicata senza il suo consenso: le immagini che riguardano eventi svoltisi in pubblico, gli eventi di interesse pubblico, la notorietà della persona ritratta.

Nel caso di “eventi di interesse pubblico” il diritto all’immagine della persona ritratta viene a cedere il passo al diritto, ritenuto predominante, all’informazione e alla cronaca. Bisogna tuttavia considerare che un evento non ha un interesse pubblico per sempre: il diritto all’informazione può venire meno trascorso un certo periodo di tempo. Il diritto di utilizzare il ritratto senza consenso è limitato temporalmente a tale durata, finché cioè c’è ancora interesse a parlarne e a divulgarlo.

Tale eccezione non può essere stabilita a priori ma è necessario valutare il singolo caso concreto.

Ad esempio, una conferenza organizzata dall’Ordine degli Avvocati su una novità normativa potrà avere un interesse pubblico. Lo stesso sarà però molto limitato nel tempo e peraltro limitato alla cerchia di professionisti del settore.

La normativa privacy

Essendo l’immagine di una persona identificabile un dato personale, il conseguente trattamento (come la diffusione) deve rispettare anche tale normativa.

Per questo è importante fornire, nel richiedere la liberatoria, un’Informativa privacy idonea: le sue principali caratteristiche saranno la chiarezza e la completezza nella descrizione delle attività che chi la fornisce effettuerà sul dato personale (nel nostro caso, l’immagine).

Le sanzioni

L’articolo 10 del codice civile disciplina l’abuso dell’immagine altrui: impone il risarcimento dei danni e la cessazione dell’abuso da parte di colui che espone o pubblica l’immagine:

fuori dei casi in cui l’esposizione o la pubblicazione sono consentite dalla legge
o con pregiudizio al decoro e alla reputazione della persona stessa o dei congiunti.

Ai fini del risarcimento di tipo patrimoniale, riveste ruolo fondamentale la notorietà del soggetto. La persona deve, infatti, essere in grado di trarre vantaggi di tipo patrimoniale dall’utilizzo della propria immagine, comportando l’uso non autorizzato da parte di terzi un danno qualificabile come lucro cessante (prezzo del consenso e prezzo dell’immagine).

Ciò non sta a significare che la diffusione non autorizzata a fini commerciali dell’immagine di persona non nota possa ritenersi lecita, ma rileva soltanto ai fini di una quantificazione della somma risarcibile. In caso di diffusione non autorizzata dell’immagine di persona non nota, il soggetto danneggiato avrà in ogni caso diritto di adire l’autorità giudiziaria:

per l’accertamento dell’illiceità del comportamento del terzo;
per ottenere la cessazione della diffusione dell’immagine;
per il risarcimento del danno esistenziale e del danno morale qualora l’illecito commesso integri anche gli estremi di un reato.

Restano salve le quantificazioni del danno eventualmente valutabili dall’Autorità Garante per la privacy per l’ulteriore elemento del trattamento illecito di dati personali.