Disciplinare per la gestione delle
Camera di Commercio, Industria, Artigianato
e Agricoltura di Foggia
Disciplinare per la gestione delle
immagini e delle registrazioni dell’impianto di videosorveglianza
Il presente documento si inserisce nel piano di accountability dell’Ente,
in linea con i principi di cui al
Regolamento (UE) 2016/679 – GDPR
Disciplinare per la gestione delle immagini e delle registrazioni dell’impianto di videosorveglianza pag. 2 di 23
NORMATIVE E LINEE GUIDA DI RIFERIMENTO 4
ACRONIMI E DEFINIZIONI UTILIZZATE 4
MATRICE DELLA REDAZIONE E DELLE REVISIONI 5
DEFINIZIONE DEI RUOLI, DELLE GERARCHIE E DELLE FUNZIONI 6
SOSTITUTO DESIGNATO DAL TITOLARE 7
RESPONSABILE ESTERNO EX ART. 28 DEL GDPR 7
SOGGETTI AUTORIZZATI AL TRATTAMENTO EX ART. 29 DEL GDPR 7
REGOLAMENTO PER LA VIDEOSORVEGLIANZA 8
DATA PROTECTION IMPACT ANALYSIS 12
DURATA DI CONSERVAZIONE DELLE REGISTRAZIONI 13
ESERCIZIO DEI DIRITTI DEGLI INTERESSATI 13
REGOLE GENERALI DI COMPORTAMENTO 14
TRATTAMENTO DELLE RIPRESE IN TEMPO REALE 15
TRATTAMENTO DELLE REGISTRAZIONI 15
ACCESSO AI LOCALI DA PARTE DI SOGGETTI DIVERSI DAGLI AUTORIZZATI 15
MODALITA’ DI CONSERVAZIONE DEL REGISTRATO 16
CANCELLAZIONE DEL REGISTRATO 16
DISTRUZIONE DEI SUPPORTI ESTERNI 16
ACCERTAMENTO DELL’ESISTENZA DI IMMAGINI 18
REGISTRAZIONE DEGLI ACCESSI 18
ESERCIZIO DEI DIRITTI EX ARTT. 15 E SS. DEL GDPR DA PARTE DELL’INTERESSATO (SOGGETTO RIPRESO) 19
REALIZZAZIONE E CONSEGNA DI COPIE 20
AGGIORNAMENTO E REVISIONE DEL DISCIPLINARE 22
Il presente regolamento descrive i principi, le regole e le procedure di:
A. gestione della videosorveglianza presso le aree di pertinenza della Camera di Commercio, Industria, Artigianato e Agricoltura di Foggia (di seguito CCIAA), ubicate nei locali di Xxx Xxxxxxx Xxxxxxx xxxxxx 0 - Xxxxxx - considerate come siti di rischio;
B. di accesso alle immagini registrate e la realizzazione di copie di sicurezza, la loro conservazione e la consegna, su richiesta, ad uso esclusivo delle Autorità (Magistratura e Forze dell’Ordine).
La procedura è principalmente di tipo organizzativo. Il suo fine è, quindi, quello di:
1. individuare i soggetti autorizzati, evidenziandone ruoli, attività, compiti e responsabilità;
2. enunciare le direttive per una corretta gestione delle immagini, ed in particolare delle registrazioni, in conformità con la normativa vigente in materia di trattamento dei dati personali, tenuto conto delle esigenze concrete per cui il trattamento viene effettuato.
Il Disciplinare:
a) deve essere conosciuto e condiviso quale norma di comportamento durante lo svolgimento delle attività lavorative;
b) deve intendersi quali istruzioni impartite dal Titolare obbligatorie con decorrenza dalla data della sua entrata in vigore e con valore di ordine di servizio;
c) integra e completa l’informativa per il trattamento dei dati personali ai fini della gestione del rapporto di lavoro/collaborazione, redatta e già fornita agli interessati ai sensi dell’art. 13 del GDPR (disposizione n.34 del 16-11-2020) e della nomina per i dipendenti a soggetti autorizzati al trattamento che accompagnerà la comunicazione di adozione del disciplinare stesso.
Il disciplinare è frutto di un accordo sindacale con le Organizzazioni sindacali territoriali e alla RSU (verbale del 6 maggio 2022).
È diffuso a tutto il personale:
• con apposita disposizione di servizio;
• mediante inserimento nel fascicolo “pubblico” denominato “Accountability trattamento dati personali – tutela privacy” all’interno del sistema di gestione documentale GEDOC, nel quale sono conservati tutti gli atti ufficiali interni di accountability dell’Ente;
• attraverso specifici interventi formativi e informativi;
Viene inoltre comunicato formalmente agli ulteriori soggetti potenzialmente destinatari del presente disciplinare (es. collaboratori, consulenti, anche nell’ambito del sistema camerale, e ogni ulteriore supporto per le attività istituzionali in termini di risorse umane).
Il documento si compone di tre parti:
1. Organizzazione – Nella quale vengono individuati i soggetti coinvolti nel trattamento, con attribuzione di funzioni e compiti rischio;
2. Regolamento – Nel quale vengono fissati i principi e le regole a cui il trattamento deve uniformarsi;
3. Procedure – Nella quale vengono descritte le procedure, affinché la gestione delle immagini, ed in particolare delle registrazioni, avvengano in conformità al Regolamento.
Il presente documento si applica a tutti gli impianti di videosorveglianza sia di proprietà della CCIAA sia in appalto e gestione a ditte esterne installati presso le strutture dell’Ente, identificate come sito di rischio.
NORMATIVE E LINEE GUIDA DI RIFERIMENTO
La normativa di riferimento, a cui si rinvia per gli aspetti non espressamente disciplinati nel presente documento, è contenuta nelle seguenti fonti:
1. Regolamento (UE) 2016/679, General Data Protection Regulation (di seguito anche “Regolamento” o “GDPR”):
2. Decreto legislativo 196/2003 e s.m.i. (di seguito anche “Codice” o “Codice Privacy”);
3. Provvedimento dell’Autorità garante per la protezione dei dati personali in materia di videosorveglianza del 8 aprile 2010 (di seguito anche PG del 08-04-2010). Il provvedimento, pur essendo precedente all’entrata in vigore del GDPR e delle Guidelines 3/2019, deve ancora essere valutato contenendo utili indicazioni di natura prescrittiva;
4. Guidelines 3/2019 on processing of personal data through video devices - adottate in versione definitiva il 29-01-2020. Le Linee Guida dell’European Data Protection Board (EDPB) - Comitato europeo per la protezione dei dati - mirano a chiarire l’applicazione del GDPR al trattamento di dati personali quando si utilizzano dispositivi video, e a garantire un approccio coerente a tale riguardo. Le linee guida prendono in esame sia i dispositivi video tradizionali che i dispositivi video intelligenti. Fra i temi affrontati sono da segnalare, in particolare, le condizioni di liceità del trattamento, compreso il trattamento di categorie speciali di dati, i casi in cui il trattamento è svolto solo per finalità personali o familiari, e la divulgazione di filmati a terzi.
I testi aggiornati delle norme sono consultabili sul sito del Garante per la protezione dei dati italiano xxxxx://xxx.xxxxxxxxxxxxxx.xx/ o sul sito del Comitato Europeo per la protezione dei dati xxxxx://xxxx.xxxxxx.xx/xxxx_xx
ACRONIMI E DEFINIZIONI UTILIZZATE
GDPR | Regolamento UE 2016/679 (General Data Protection Regulation) |
Codice Privacy | D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali” come modificato dal D.Lgs. 101/2018 Autorità Garante per la protezione dei dati personali |
Garante | |
EDPB | European Data Protection Board - Comitato europeo per la protezione dei dati |
WP29 | Working Party article 29 – Gruppo di lavoro ex art. 29 (ora Comitato europeo della protezione dei dati) – EDPB (European Data Protection Board) |
Dato personale | Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale |
Interessato | Persona fisica cui si riferiscono i dati personali |
DPIA | Data Protection Impact Assessment o Valutazione d’impatto sulla protezione dei dati. È un processo volto a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire e a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli. |
Xxxxxxx | E’ uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e di probabilità. |
Gestione dei rischi | L’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi |
Diritti e libertà delle persone fisiche | Riguarda principalmente i diritti alla protezione dei dati e alla vita privata, include anche altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione. |
CCIAA | Camera di Commercio, Industria, Artigianato e Agricoltura di Foggia |
Titolare del trattamento | La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri (art. 4, punto 7 del GDPR) |
RPD/DPO | Responsabile della Protezione dei Dati / Data Protection Officer ai sensi dell’art. 37 del GDPR |
Responsabile del trattamento | La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento, ai sensi dell’art. 28 GDPR |
SG | Segretario Generale della Camera di Commercio di Foggia |
Referente Privacy | Soggetto a cui, ai sensi dell’art. 2-quaterdecies del Codice privacy, l’Ente ha attribuito specifici poteri, oltre che compiti e funzioni, ai fini non solo dell’esecuzione di attività materiali di trattamento, ma anche e soprattutto per contribuire ad assicurare la compliance dell’Ente al GDPR. |
Amministratore di Sistema | Soggetto incaricato dall’Ente, ai sensi dell’art. 2-quaterdecies del Codice privacy, alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, ivi comprese le figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi |
Soggetto autorizzato dal Titolare | Soggetto che, secondo il sistema di gestione della privacy, garantisce specifiche funzioni ai fini della compliance al GDPR (resp. dell’Area/Servizio/Ufficio che detiene i dati o i documenti oggetto di trattamento, secondo quanto riportato all’interno del Registro dei trattamenti della Camera di Commercio - competenza ratione materiae) |
UO | Unità organizzativa (come da organigramma dell’Ente) |
MATRICE DELLA REDAZIONE E DELLE REVISIONI 1
Data
Stato
Descrizione
Approvazione
29-06-2022 Prima approvazione
Descrivere i principi, le regole e le procedure di gestione delle immagini dell’impianto di
Deliberazione di Giunta n.59 del 29-06-2022
videosorveglianza
1 Il documento può essere aggiornato anche dal Segretario generale su autorizzazione della Giunta.
Vengono definiti i ruoli, le gerarchie e le principali funzioni dei soggetti coinvolti nelle procedure di gestione delle immagini e delle registrazioni dell’impianto di videosorveglianza in coerenza con quanto già regolamentato nel Sistema di gestione dei dati personali - Modello organizzativo privacy, regolamentazione dei ruoli e sistema di responsabilità – approvato con Deliberazione di Giunta n.77 del 30-07-2020.
DEFINIZIONE DEI RUOLI, DELLE GERARCHIE E DELLE FUNZIONI
Definizioni:
Xxxxx | Xxxxxxxxx | Profilo e Funzione | |
Titolare del trattamento | 1 | A | Persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali Fanno capo al Titolare tutti gli obblighi ed i poteri previsti dalla legge, al fine di garantire che il trattamento avvenga nel rispetto dei principi posti a tutela dei diritti degli interessati. |
Designato sostituto del Titolare | 1 | B | Soggetto interno all’organizzazione preposto dal Titolare con designazione formale: • a valutare ed autorizzare le operazioni di accesso alle immagini anche registrate e alla realizzazione di copie, per conto del Titolare, al fine di garantire la continuità operativa; • a verificare le attività dei fornitori esterni, in riferimento alle regole ed istruzioni specificamente impartite contrattualmente e nell’apposita lettera di nomina a responsabile esterno del trattamento ex art. 28 GDPR |
Responsabile ex art. 28 Regolamento UE 679/2016 | 2 | C | Nei casi di servizi svolti in outsourcing per conto del Titolare, l’outsourcer che tratta dati personali viene di regola designato responsabile ai sensi dell’art. 28 del GDPR. I suoi compiti e le istruzioni impartite sono analiticamente elencati nell’atto di designazione, tenuto conto di quanto previsto dai contratti di affidamento del servizio e relative modalità di esecuzione. |
Soggetti autorizzati al trattamento ex art. 29 del GDPR | 3 | D | Il personale autorizzato a compiere operazioni di accesso visivo in tempo reale o ricerca delle immagini registrate, raccolta delle richieste di accesso ai dati e successiva trasmissione al Titolare, e alla realizzazione materiale e consegna delle copie di sicurezza. Agisce nei limiti delle istruzioni ricevute (dal titolare o dal responsabile ex art. 28) e del profilo di autorizzazione assegnato, eseguendo le operazioni di trattamento a cui è stato preventivamente abilitato. |
Amministratore di Sistema | 3 | E | Le professionalità - interne o esterne - con competenza e conoscenza organizzativa tecnica o informatica a cui è affidata la gestione e/o la manutenzione di risorse informatiche, considerate nel complesso o nelle loro componenti, necessarie o correlate al trattamento di dati oggetto di protezione secondo le leggi vigenti. È soggetto alla specifica disciplina di cui al Provvedimento del Garante per la protezione dei dati personali del 27-11-2008 e s.m.i. (di seguito anche PG del 27-11-2008). È soggetto, inoltre, al rispetto del “Disciplinare tecnico per le funzioni di amministratore di sistema” approvato con deliberazione di Giunta n.77 del 30-07-2020. |
Il titolare del trattamento è la Camera di Commercio, Industria, Artigianato e Agricoltura di Foggia, con sede legale in Xxx Xxxxxxx Xxxxxxx X. 0 – 00000 Xxxxxx. Secondo gli ordinari criteri di imputazione della volontà dell’Ente, il soggetto deputato in relazione al presente trattamento ad esprimere la volontà del Titolare è la Giunta camerale. Per esercitare in concreto i suoi poteri, il Titolare si avvale delle figure individuate ai punti successivi.
SOSTITUTO DESIGNATO DAL TITOLARE
I Sostituti designati del Titolare sono:
• il Segretario Generale della CCIAA in forza della designazione conferita con Deliberazione di Giunta n.17 del 20/02/2020 e in base a quanto indicato nel “Sistema di gestione dei dati personali - Modello organizzativo privacy, regolamentazione dei ruoli e sistema di responsabilità” approvato con deliberazione di Giunta n.77 del 30-07-2020. Sono assegnate al Segretario Generale, inoltre, tutte le funzioni in materia di videosorveglianza definite dal presente disciplinare.
• Il Provveditore in base a quanto previsto dal suddetto Sistema di gestione dei dati personali che affida, altresì, al Responsabile del “Servizio IV – Patrimonio, acquisti e servizi logistici” il compito di predisporre, e proporre gli opportuni aggiornamenti, al presente disciplinare, quale documentazione di accountability; allo stesso è affidata, inoltre, la tenuta, l’alimentazione e l’aggiornamento del “Registro degli accessi/visioni/consegne di immagini e registrazioni dell’impianto di videosorveglianza”. Sono assegnate al Provveditore, inoltre, tutte le funzioni in materia di videosorveglianza definite dal presente disciplinare.
I suddetti soggetti sono comunque destinatari di una esplicita designazione formale quali sostituti designati del Titolare con la quale si provvede ad affidare precisi e puntuali compiti e mansioni in materia di videosorveglianza.
RESPONSABILE ESTERNO EX ART. 28 DEL GDPR
La società cui è stato contrattualmente affidato il compito di gestire l’impianto di videosorveglianza, che agisce in qualità di Responsabile ex art. 28 del Regolamento secondo i compiti e le istruzioni impartite dal Titolare, formalizzate nel relativo atto di designazione, e nel rispetto delle modalità di esecuzione dei servizi, stabilite nel contratto e nel relativo capitolato.
In forza del contratto n. 1838409 - Facility Management Uffici 3 (CIG 6076007F94), sottoscritto tra le parti in data 29/12/2014, risulta designato (giusto atto prot.5582 del 08-04-2021) il RTI Gruppo Romeo Gestioni SpA.
SOGGETTI AUTORIZZATI AL TRATTAMENTO EX ART. 29 DEL GDPR
I soggetti autorizzati al trattamento sono:
a) in forza del suddetto contratto per l’affidamento dei servizi di sorveglianza, la Romeo Gestioni SpA che ha subappaltato gli ambiti di attività agli operatori della MGS SpA con qualifica di Amministratore di sistema, presenti sul sito di rischio nelle giornate di martedì e giovedì (come da verbale del 30 marzo 2021). Il responsabile esterno designato redige e custodisce un elenco nominativo dei propri soggetti, con indicazione del profilo di autorizzazione assegnato a ciascun operatore.
b) il personale (dipendenti e collaboratori) soggetto all’autorità diretta del Titolare, da quest’ultimo formalmente autorizzato in ragione del loro ruolo o funzione all’interno dell’Ente e più specificatamente:
• il Provveditore;
• il referente interno privacy;
• ogni altro soggetto autorizzato a supportare le figure di cui sopra.
Tenuto conto del quadro sopra delineato, a tali soggetti autorizzati sono affidati i seguenti compiti:
a. visione delle immagini in tempo reale;
b. accesso visivo al registrato, nei casi consentiti;
c. possibilità di realizzazione di copie di sicurezza, nelle modalità indicate dal Titolare;
d. presidio delle richieste di esercizio dei diritti ex artt. 12 e ss. del GDPR, ferma restando la facoltà degli interessati di adire direttamente il Responsabile per la Protezione dei Dati (RPD) della CCIAA, i cui dati di contatto sono esposti nell’informativa resa agli stessi;
e. informazione verbale o consegna dell’informativa dettagliata ex artt. 13 e 14 del GDPR.
La ricerca di immagini e la realizzazione di copie sono attività riservate alla RTI Romeo Gestioni che è stata formalmente designata quale Responsabile del trattamento con nota prot.5582 del 08-04-2021; l’atto di designazione, conforme ai requisiti di cui all'art. 28 del GDPR, richiama i compiti affidati e i doveri connessi ai trattamenti operati per conto dell'Ente. Agli atti della procedura risulta, da parte di quest’ultima, l’ulteriore affidamento all’impresa MGS SpA, che ha autorizzato e istruito il proprio personale alla gestione dell’impianto di videosorveglianza e che assume il ruolo di coordinatore degli addetti alla sicurezza e alla gestione dell’impianto, nonché responsabile della continuità operativa dello stesso.
Secondo quanto previsto al par. 2 del citato art. 28, il RTI Gruppo Romeo Gestioni SpA.– previa autorizzazione specifica della CCIAA – si avvale della Società MGS Spa, per la realizzazione delle seguenti attività:
a) configurazione e manutenzione degli impianti, compresa la creazione, configurazione e gestione tecnica dei profili utente;
b) configurazione del sistema automatico di conservazione massima del registrato;
c) adozione delle misure di sicurezza logiche a protezione delle immagini, con particolare attenzione alla consultazione e gestione delle immagini da remoto;
d) rispetto delle istruzioni impartite dal Titolare nell’atto di designazione;
e) supporto per ogni ulteriore azione di sicurezza ritenuta necessaria.
REGOLAMENTO PER LA VIDEOSORVEGLIANZA
Come indicato nelle Guidelines 3/2019, l’uso intensivo di dispositivi video influisce sul comportamento dei cittadini. Un ricorso significativo a tali strumenti in numerosi ambiti della vita delle persone può esercitare su queste ultime un’ulteriore pressione per impedire il rilevamento di quelle che potrebbero essere percepite come anomalie. Di fatto, queste tecnologie possono limitare le possibilità di muoversi e di utilizzare servizi in maniera anonima nonché, in linea generale, la possibilità di passare inosservati. Le conseguenze per la protezione dei dati sono enormi.
Mentre le persone potrebbero essere a proprio agio con la videosorveglianza installata, ad esempio, per una determinata finalità di sicurezza, occorre assicurare che non ne venga fatto un uso improprio per scopi totalmente diversi e inaspettati per l’interessato (ad esempio, per scopi di marketing, controllo delle prestazioni dei dipendenti, ecc.). Inoltre, attualmente si utilizzano molti strumenti per sfruttare le immagini acquisite e trasformare le telecamere tradizionali in telecamere intelligenti. La quantità di dati generati da video, unitamente a questi strumenti e tecniche, aumenta i rischi di un uso secondario (correlato o meno allo scopo al quale viene inizialmente destinato il sistema) o persino improprio.
Oltre alle questioni di privacy, sussistono, inoltre, anche i rischi legati a possibili malfunzionamenti di questi dispositivi e alle distorsioni che possono indurre.
Il presente Regolamento mira a fornire indicazioni sulla corretta applicazione del RGPD in relazione al trattamento di dati personali attraverso dispositivi video. Per quanto non espressamente definito si rimanda alla normativa di riferimento, rinvenuta, principalmente, in quella indicata al paragrafo “Normative e linee guida di riferimento” del Disciplinare.
Con il servizio di videosorveglianza con registrazione, il Titolare intende adottare misure volte a migliorare la sicurezza delle aree (interne o esterne) di sua pertinenza, assicurando la protezione delle persone e del patrimonio dell’Ente, materiale ed informativo, tenuto conto della sensibilità del sito di rischio in ragione dell’alto valore delle risorse che vi sono concentrate. (rif. verbale del 30-03-2021)
L’attività di videosorveglianza non sostituisce, né è complementare, rispetto all’attività degli organi giudiziari o di polizia giudiziaria o delle forze armate o di polizia. L’utilizzo del sistema e delle registrazioni non deve prescindere dalle normative in vigore riguardanti i compiti degli Organi di Pubblica Sicurezza, di modo che la complementarietà del sistema si limiti a permettere l’attivazione delle Forze dell’Ordine, anche se col tramite del Titolare e dei suoi collaboratori (per es. l’Istituto di Vigilanza designato responsabile).
Il trattamento dovrà pertanto avvenire nel rispetto dei seguenti principi:
1. Il trattamento dei dati deve avvenire secondo correttezza e per scopi determinati, espliciti e legittimi. I dati raccolti non possono essere utilizzati per finalità diverse o ulteriori e non possono essere diffusi o comunicati a terzi, salvo concrete esigenze di polizia o di giustizia.
2. Vanno rispettati i principi di pertinenza e di non eccedenza, raccogliendo solo i dati strettamente necessari per il raggiungimento delle finalità perseguite, registrando le sole immagini indispensabili e stabilendo la localizzazione delle telecamere e le relative modalità di ripresa. (vedere Allegato n.1 Planimetrie “Cittadella dell’Economia – nuova sede camerale” fornitura impianto di videosorveglianza – progetto esecutivo)
3. Gli interessati devono poter conoscere esattamente le finalità perseguite attraverso la video sorveglianza e verificarne la liceità in base alle norme vigenti, esercitando i diritti di cui agli artt. 12 e ss. del Regolamento. (vedere Allegato n.2 Cartello Videosorveglianza)
4. Si devono fornire alle persone che possono essere riprese indicazioni chiare, anche se sintetiche, che avvertano della presenza di impianti di videosorveglianza, fornendo anche le informazioni di dettaglio, necessarie ai sensi degli artt. 13 e 14 del GDPR. (vedere Allegato n.3 Informativa estesa in materia di trattamento dei dati personali nell’ambito delle attività di videosorveglianza. Tale informativa è desumibile dalla scansione del QR presente nel cartello affisso presso i locali sottoposti a videosorveglianza ed è disponibile, altresì, presso la reception e sul sito istituzionale dell’Ente)
5. Occorre rispettare il divieto di controllo a distanza dei lavoratori e le garanzie previste al riguardo (art. 4 L.300/1970 come modificato dal D.Lgs. 151/2015 attuativo del cd. Jobs Act L.81/2015).
6. Occorre determinare il periodo di eventuale conservazione delle immagini, prima della loro cancellazione, rispettando i tempi e le condizioni di legge. Gli interessati dovranno essere informati sui tempi di conservazione stabiliti dal Titolare anche al fine di poter esercitare i diritti precedentemente citati. (vedere verbale del 30-03-2021)
7. Occorre individuare, autorizzare e istruire i soggetti che possono utilizzare gli impianti e prendere visione delle registrazioni, adottando procedure atte a garantire - secondo profili diversificati - l’accesso e la realizzazione di copie esclusivamente ai soggetti autorizzati. Tali soggetti sono in numero limitato, nominativamente identificati e dotati in via preventiva di specifici profili di autorizzazione, tali da consentire l’esecuzione delle sole operazioni necessarie e sufficienti all’assolvimento dei loro compiti. Sono soggetti all’autorità diretta del Titolare oppure del Responsabile designato, secondo l’organizzazione di appartenenza e gli incarichi assegnati. Il personale è vincolato al segreto professionale.
8. I tecnici installatori e manutentori del sistema ed il personale tecnico informatico (in qualità di amministratori di sistema) potranno avere accesso ai sistemi per garantirne il corretto funzionamento. Essi possono avere accesso alle immagini solo se ciò è indispensabile, nei limiti ed in ragione delle operazioni che devono compiere. Il personale è vincolato al segreto professionale. Il Provveditore, quale soggetto designato dal Titolare, dovrà redigere e tenere aggiornata la loro lista nominativa, anche in considerazione della loro funzione di Amministratore di Sistema ai sensi del PG del 27-11-2008.
9. L’accesso visivo alle immagini, la loro registrazione e la loro trasmissione in rete deve essere protetta da misure di sicurezza idonee ad evitare ogni rischio di perdita, distruzione, accesso non autorizzato, trattamento illegittimo, non corretto o non conforme alle finalità dichiarate. In particolare, se è necessario l’uso di apparati e sistemi digitali collegati in remoto, anche via wireless, devono implementare le misure di sicurezza richieste dalla normativa vigente come specificate dal vigente Provvedimento del Garante.
10. Gli impianti dovranno essere configurati in modo da ridurre al minimo l’impatto sulla riservatezza degli interessati. Pertanto, non dovranno essere modificati gli angoli di ripresa o la definizione delle immagini, se non nel caso in cui ciò sia indispensabile a fronte di eventi anomali. Le funzionalità dei sistemi di controllo software devono essere configurate in modo che il loro impiego non risulti eccedente rispetto alla normale attività di videosorveglianza.
Le Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video EDPB - Versione 2.0 - Adottate il 29 gennaio 2020 (di seguito “Linee guida EDPB”) prevedono che (par.3, p.15) Prima di procedere al trattamento si devono specificatamente dettagliare le finalità di trattamento (art.5, par.1, lett.b) GDPR) La videosorveglianza può servire a molti scopi, ad esempio a supporto della protezione della proprietà e di altri beni, della protezione della vita e dell’integrità fisica delle persone o a raccogliere elementi di prova in vista di procedimenti giudiziari civili. Queste finalità del monitoraggio devono essere documentate per iscritto (articolo 5, paragrafo 2) e devono essere specificate per ogni telecamera di sorveglianza in uso. Le telecamere utilizzate per lo stesso scopo da un unico titolare del trattamento possono essere oggetto di una documentazione unitaria La semplice menzione di uno
scopo di «sicurezza» o «per la vostra sicurezza» con riguardo alla videosorveglianza non è sufficientemente specifica (articolo 5, paragrafo 1, lettera b)). Ciò contrasta inoltre con il principio secondo il quale i dati personali vengono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (articolo 5, paragrafo 1, lettera a).
La Camera di Commercio di Foggia, con la presente sezione intende specificatamente dettagliare le finalità di trattamento che l’hanno indotta ad installare e utilizzare un impianto di videosorveglianza.
L’Ente effettua attività di videosorveglianza esclusivamente per garantire la sicurezza del patrimonio dell’Ente e delle persone che, a vario titolo, frequentano gli ambienti delle strutture o che accedono agli stessi.
Tale esigenza è sorta in fase di ultimazione dei lavori di costruzione della nuova sede camerale denominata “Cittadella dell’Economia”, in data 01-01-2015 ca., prima del trasferimento definitivo, per tutelare l’immobile appena costruito e salvaguardarne i locali e i beni che iniziavano a farne parte in considerazione del fatto che lo stabile si trovava in una zona periferica della città, senza altri edifici abitati nei dintorni; tanto che, in aggiunta, è stato necessario prevedere un apposito servizio di guardiania aggiuntiva.
Ad ulteriore conferma di quanto affermato, si deve considerare, inoltre, che la nuova sede camerale è stata edificata in una zona periferica della Citta di Foggia, città ad alto rischio criminalità, come confermato dalla classifica relativa all’indice della criminalità 2020 de “Il Sole 24 Ore”, che pone la città al 19° posto nella graduatoria generale tra le 106 province italiane, al 10° posto per i “furti con strappo” e al 12° posto per le “rapine”. (Allegato
n.4 Indice di criminalità).
A tale riguardo l’Ente dispone in archivio di alcune denunce pervenute negli scorsi anni.
Ciò premesso, nello specifico, il controllo delle aree tramite sistema di videosorveglianza assicura:
A. l’individuazione e la gestione delle aree e dei punti strategici afferenti alla sicurezza;
B. la tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo e terrorismo, improvvisi ed imprevedibili;
C. il monitoraggio, nonché la rilevazione - in supporto al sistema di teleallarme - di eventuali situazioni di pericolo a protezione dell’incolumità delle persone, delle proprietà e del patrimonio dell’Ente per le quali, ricorrendo una effettiva esigenza di deterrenza a fronte di un rischio elevato, altre misure di protezione non sono sufficienti, non sono attuabili o non sono parimenti efficaci;
D. la rilevazione e la prevenzione di situazioni di pericolo nelle aree in cui possono essere presenti i lavoratori, al fine di consentire l'intervento delle squadre di emergenza, dei mezzi di soccorso e degli addetti alla security, nel rispetto della normativa vigente.
I dati trattati e raccolti mediante i sistemi di videosorveglianza con videoregistrazione, potranno essere utilizzati in sede di un eventuale giudizio civile o penale, per agevolare l’esercizio del diritto di difesa del Titolare del trattamento.
È espressamente vietato il trattamento delle immagini:
a) per finalità di controllo sull'attività dei lavoratori;
b) per il perseguimento di finalità private e personali. Fatto salvo l’esercizio di diritti ex artt. 12 e ss. del Regolamento e l’ordine di una Autorità, le richieste di accesso alle immagini da parte di privati (compresi i lavoratori) per la tutela di un diritto non correlato alle finalità perseguite e dichiarate dal Titolare, devono essere mediate dall’ordine di una Autorità ed autorizzate dal Titolare o da un suo sostituto.
Il sistema di videosorveglianza installato presso la sede di Via X. Xxxxxxx n.7 è descritto in modo approfondito all’art.3 del “Capitolato speciale d’appalto – specifiche tecniche impianti multimediali” – relativamente al progetto esecutivo della “Cittadella dell’economia di Capitanata” del dicembre 2011. (vedere Allegato n.5 Progetto esecutivo
– capitolato speciale d’appalto – impianti multimediali della “Cittadella dell’Economia di Capitanata”, descrizione dell’impianto e delle sue componenti.)
Sinteticamente il sistema è composto di:
• n.1 Server di registrazione video - PC da rack completamente configurato con software proprietario. Workstation a bordo;
• n.4 NVR x Registrazione TVCC/IP - Videoregistratore di Rete fino a 50 flussi a 25fps@4CIF/D1 (o fino a 95 con differenti;
• n.5 Monitor Professionale TFT LCD 19” - 1280 x1024 (SXGA), ingressi: analogico RGB, S-video, vide
• composito - 2x in e 2x out. 100;
• n.28 Licenza Software TVCC ip - Licenza software per implementazione telecamere di terze parti 1 canale;
• n.9 Telecamera Dome ip in custodia stagna IP66. - Telecamera Dome IP da esterno in custodia Outdoor- ready, classificata IP66, telecamera;
• n.9 Staffa da muro per Telecamera Dome;
• n.5 Staffa da palo;
• n.9 Kit custodia PoE 310mm con tettuccio supporto e snodo. Adatto per telecamere IP fisse;
• n.5 Telecamera Dome ip da incasso in custodia IP44 - Telecamera dome con zoom ottico 35x;
• n.19 Telecamera Box IP da interno - Telecamera IP 2.0 megapixel Day/Night;
• n.19 H.264/MJPEG/MPEG4, CMOS 1/3", 0.9 Lux (0.03 Lux TVCC-011 F.P.O. Di Ottica Megapixel varifocal autoiris 2.8-12mm;
• n.19 TVCC-012 F.P.O. Di Staffa da parete/soffitto per telecamere in plastica Siver, da interno, max carico 3 Kg;
• n.45 TVCC-013 Telecamera Mini Dome IP da interno - Minidome IP 2.0 megapixel Day/Night in contenitore da Interno, H.264/MJPEG/MPEG4.
Il client di gestione delle immagini del server è denominato “Control Center” ed è accessibile solo al personale autorizzato che può accedervi attraverso un sistema di autenticazione user-password.
Il sistema è composto da n.1 Server di registrazione video (PC da rack completamente configurato con software proprietario) e n.4 NVR x Registrazione TVCC/IP (Videoregistratore di Rete fino a 50 flussi a 25fps@4CIF/D1) ubicati in locali ad accesso limitato (tramite sistema controllo accessi).
Non è consentita la registrazione e il salvataggio di file di log degli accessi (in pratica un file di Log è un elenco in formato elettronico degli accessi effettuati dal personale addetto al sistema di videosorveglianza). È stato predisposto, quindi, nelle more di un adeguamento del sistema, che avverrà, presumibilmente, in fase di gara alla scadenza dell’attuale affidamento, un registro cartaceo degli accessi tenuto dal Provveditore.
Gli interventi tecnici, le modifiche e l’implementazione di nuove funzionalità dei sistemi di videosorveglianza, così come l’estensione delle aree oggetto di ripresa, devono essere preventivamente autorizzati dal Titolare a seguito di valutazioni e parere positivo del Provveditore della Camera di Commercio.
Le immagini sono accessibili in locale dai soggetti autorizzati, tramite videoterminale ubicato presso la sala CED dell’Ente, con possibilità di visione in tempo reale e con possibilità di accesso al registrato.
Per accedere alle immagini in tempo reale o registrate è necessario autenticarsi al sistema (inserimento di username + password), previa attribuzione di un profilo utente personalizzato. Il sistema non è impostato per tracciare e registrare gli accessi degli utenti e quelli dell’amministratore di sistema (log accessi); il Provveditore tiene aggiornato, quindi, nelle more di un prossimo aggiornamento ad un sistema che lo consenta, un apposito registro cartaceo degli accessi al sistema e delle visioni delle immagini (Allegato n.6 schema registro cartaceo degli accessi).
Il sistema è predisposto per la visione delle immagini da remoto, ma tale funzionalità non risulta attiva. DATA PROTECTION IMPACT ANALYSIS
Il Garante per la protezione dei dati personali ha provveduto ad individuare, con Provvedimento 11 ottobre 2018,
n° 467, l’elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto, tra cui i “trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti ….”.
La valutazione d’impatto sulla protezione dei dati è richiesta, in particolare, nel caso di sorveglianza sistemica su larga scala di una zona accessibile al pubblico – ex art. 35, par. 3, lett. c).
Al fine di una corretta analisi dell’impatto sulla protezione dei dati è necessario tenere in debita considerazione i seguenti elementi:
a) il Titolare procede al trattamento per effettive esigenze di deterrenza a fronte di minacce improvvise e imprevedibili nel loro verificarsi, con impatto potenzialmente grave per le cose e le persone;
b) l’elevato valore delle risorse e del patrimonio informativo da tutelare, anche a fronte del particolare e rilevante interesse pubblico perseguito dal Titolare stesso;
c) le telecamere sono opportunamente segnalate e possono inquadrare aree interne ed esterne preventivamente individuate;
d) l'accesso alle immagini può avvenire solo tramite trasmissioni criptate e che il collegamento da remoto viene attivato solo a seguito di una segnalazione da parte dell’impianto di teleallarme, per il periodo di tempo strettamente necessario ad attivare le procedure di intervento sul posto.
e) i dati possono essere consultati solo da personale appositamente autorizzato e dotato di utenze secondo profili diversificati, che ne consentono l’identificazione e la tracciabilità delle operazioni.
f) analoga misura è definita per l’accesso da parte del personale tecnico addetto alla configurazione ed alla manutenzione degli impianti;
g) sono stati definiti e configurati tempi massimi per la conservazione delle immagini, individuando modalità per la gestione delle eventuali copie off-site da realizzarsi su ordine di una autorità;
h) sono state individuate modalità e procedure per consentire agli interessati l’esercizio dei loro diritti;
i) i sistemi sono progettati per richiamare l’attenzione dell’operatore sul posto soltanto in caso di eventi anomali oggettivamente rilevanti (presenza ingiustificata in aree sensibili durante gli orari di chiusura delle strutture, scavalcamento della recinzione perimetrale, abbandono di oggetti sospetti in adiacenza di aree sensibili) consentendogli di richiedere tempestivamente e con maggiore efficacia l'intervento da parte degli addetti alla sicurezza. Dette funzionalità possono essere attivate per sorvegliare particolari aree per le quali altre misure di protezione potrebbero non essere sufficienti, non attuabili o non parimenti efficaci;
j) i sistemi di videosorveglianza non sono connessi direttamente o indirettamente con altre banche dati, anagrafiche o biometriche.
Sulla base di quanto premesso, si ritiene di poter confermare gli esiti della valutazione d’impatto effettuata in prima analisi e approvata con Determinazione del Segretario generale n.312 del 13-09-2021, ovvero che il trattamento non esponga, anche in ragione delle misure di sicurezza implementate e descritte nel presente disciplinare, gli interessati ad un rischio specifico per i loro diritti e le loro libertà.
Per questi motivi, si ritiene di procedere al trattamento senza attivare le procedure di:
• verifica preliminare con l’Autorità Garante, come prevista al punto 3.2.2 del PG 08-04-2010
• consultazione preventiva di cui all’art. 36 del GDPR
La valutazione d’impatto (ai sensi del par. 11 dell’art. 35 GDPR) dovrà essere riesaminata qualora, in caso di variazione delle caratteristiche del trattamento2, si modifichi il livello di rischio per gli interessati. Sulla base degli
2 ad es. modifica della configurazione degli impianti con impatto rilevante sul trattamento, oppure implementazione di funzionalità nuove o ulteriori, ove ciò sia ritenuto indifferibile - anche su segnalazione del Responsabile.
esiti del riesame il titolare del trattamento valuterà l’attivazione degli adempimenti sopra richiamati, adottando nel frattempo le cautele necessarie affinché siano comunque preservati i diritti degli interessati.
Gli interessati devono essere sempre informati del fatto che stanno per accedere in una zona video sorvegliata tramite apposita informativa.
A tal fine negli ambienti e negli spazi sottoposti a videosorveglianza la Camera di Commercio di Foggia prevede, in posizione chiaramente visibile, prima del raggio di azione della telecamera, appositi cartelli (come da Allegato n.2) contenenti l’informativa semplificata conforme al modello stabilito dal Garante per la Protezione dei Dati Personali (simbolo della presenza di telecamere, identificativo del titolare, finalità della raccolta, ecc.).
L’informativa estesa, contenente tutti gli elementi di cui agli artt. 13 e 14 del GDPR (come da Allegato n.3) viene messa a disposizione degli interessati presso la reception dell’Ente; è inoltre consultabile tramite sito web istituzionale dell’Ente (nell’area “privacy”), ed è raggiungile, infine, tramite QR code presente nei cartelli contenenti l’informativa semplificata.
DURATA DI CONSERVAZIONE DELLE REGISTRAZIONI
Determinato un livello di rischio alto, in relazione alla sensibilità ed al rilevante interesse pubblico delle attività che vi si svolgono, nonché dei beni che vi si trovano, della valutazione storica e prognostica di possibili eventi illeciti e dannosi, alla ubicazione del sito di rischio, delle caratteristiche e dei limiti tecnici del sistema di videoregistrazione, il periodo di conservazione delle immagini è determinato in 96 ore dalla loro rilevazione. (vedere verbale del 30-03- 2021)
Il Titolare può autorizzare un tempo di conservazione più elevato, ma comunque non superiore ai 7 giorni:
• in caso di comprovata e documentabile necessità o di pericolo concreto e imminente;
• nel caso sia necessario consentire l’accesso visivo a soggetti legittimati, che ne abbiano fatto comunque richiesta in tempo utile.
• nel caso in cui il sistema di registrazione delle immagini non consenta di diversificare i periodi di registrazione tra feriali e festivi ed al fine di coprire eventuali ponti.
I limiti indicati ai punti precedenti, possono essere superati solo per aderire ad una specifica richiesta di custodire o consegnare una copia da parte dall'Autorità giudiziaria o dalle Forze dell’Ordine, in relazione ad un'attività investigativa in corso. Qualora fosse necessario aderire ad una richiesta dell’Interessato, si applica quanto previsto al punto ACCESSO ALLE IMMAGINI più sotto indicato.
ESERCIZIO DEI DIRITTI DEGLI INTERESSATI
Mediante apposita istanza in forma scritta 3, indirizzata al Titolare o al Responsabile designato nonché indirizzabile in ogni caso direttamente al Responsabile della Protezione dei Dati nominato dal Titolare ex artt. 37 e ss. del GDPR, anche consegnata tramite soggetti autorizzati al trattamento, l’interessato potrà esercitare i seguenti diritti:
a) ottenere conferma o smentita dell’esistenza di immagini che lo riguardano;
b) accedere ai dati che lo riguardano ed ottenerne copia, previa comunicazione formale dell’Autorità giudiziaria o delle Forze dell’Ordine;
c) verificare le finalità, le modalità e la logica del trattamento;
d) ottenerne il blocco qualora i dati siano trattati in violazione di legge e la cancellazione delle immagini registrate in difformità agli scopi dichiarati nelle informative.
In riferimento alle immagini registrate non è in concreto esercitabile il diritto di aggiornamento, rettificazione, integrazione o opposizione in considerazione della natura intrinseca dei dati raccolti, in quanto si tratta di immagini raccolte in tempo reale riguardanti un fatto obiettivo.
3 vedere l’allegato n.7 “Modello per la richiesta di esercizio dei diritti dell’interessato in riferimento alle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia”
La risposta ad una richiesta di esercizio dei diritti riguarderà soltanto i dati attinenti al richiedente identificabile e le immagini che lo riguardano direttamente.
Di regola, l’accesso visivo alle riprese, alle registrazioni e la consegna di eventuali copie, se disponibili tenuto conto dei tempi di conservazione delle stesse, è esclusivamente riservato all’Autorità giudiziaria e alle Forze dell’Ordine.
Qualora risulti eccezionalmente indispensabile concedere all’interessato il diritto di accedere visivamente alle immagini, dovranno essere adottate, se possibile, tecniche di schermatura (anche manuale) del video o programmi che rendano possibile l’oscuramento delle immagini che riprendono altri interessati. La visione potrà comprendere eventuali dati riferiti a terzi soltanto se la scomposizione dei dati trattati o la privazione di alcuni elementi del video rendessero incomprensibili i dati personali dell’interessato.
Tutti gli accessi devono essere registrati mediante annotazione riportante data e ora dell’accesso, identificazione del richiedente, estremi dell’autorizzazione all’accesso.
REGOLE GENERALI DI COMPORTAMENTO
a) L'addetto alla sorveglianza autorizzato a raccogliere, gestire e custodire le immagini, deve agire nei imiti delle istruzioni ricevute e secondo le procedure indicate nei mansionari e nelle disposizioni di servizio.
b) Ove l’operatore autorizzato ritenga che ciò non avvenga, non sia avvenuto o non possa avvenire, deve informarne il proprio Responsabile del trattamento diretto (nella persona del superiore gerarchico o funzionale). Il Responsabile avviserà il titolare del trattamento (o il Sostituto Delegato) al fine di attuare le misure ritenute opportune.
c) L’accesso alle immagini deve limitarsi alle attività oggetto della sorveglianza: devono essere ignorate eventuali altre informazioni di cui si possa venire a conoscenza, osservando il comportamento di un soggetto ripreso. In particolare, non dovranno essere date informazioni di alcun genere, né attivate operazioni di ricerca, estrapolazione e copia delle immagini, richieste o sollecitate telefonicamente o verbalmente.
d) L’operatore autorizzato non deve riferire a terzi estranei alcun elemento contenuto nelle immagini e nelle registrazioni o di cui comunque sia venuto a conoscenza nel corso della sua attività di sorveglianza. È altresì vietato duplicare le immagini (per es. fotografando lo schermo con il proprio smartphone personale) e quindi diffonderle, comunicarle o consentire l’accesso a soggetti diversi da quelli individuati nel presente Disciplinare, secondo la procedura ACCESSO ALLE IMMAGINI di cui al punto più sotto del regolamento.
e) L’operatore autorizzato non ha autonomia decisionale e dovrà attenersi alle istruzioni impartite. In caso di dubbio dovrà rivolgersi al proprio Responsabile diretto (impresa per la quale presta attività lavorativa) e attendere istruzioni.
f) L’operatore autorizzato deve custodire con diligenza le immagini eventualmente in suo possesso, applicando le istruzioni e le disposizioni di servizio ricevute, nel rispetto del presente disciplinare.
g) L’obbligo di riservatezza viene attenuato ai rapporti con il Titolare ed il responsabile esterno designato, con i superiori, con le forze dell'ordine o la magistratura. In caso di dubbio, è fatto obbligo all’operatore autorizzato di chiedere istruzioni al Responsabile diretto (impresa per la quale presta attività lavorativa).
Vengono descritte le procedure operative cui tutti i soggetti coinvolti devono attenersi nel trattamento delle immagini e delle registrazioni dell’impianto di videosorveglianza.
GESTIONE DELLE IMMAGINI TRATTAMENTO DELLE RIPRESE IN TEMPO REALE
Il trattamento deve essere effettuato in modo da limitare l’angolo di visuale delle telecamere all’area effettivamente da proteggere. Per quanto possibile, dovrà essere evitata la ripresa di luoghi circostanti e di dettagli che non risultino rilevanti. Non sono consentite riprese delle postazioni di lavoro, del marcatempo, dei luoghi di raccolta (come a puro titolo di esempio le zone in cui sono ubicati i distributori automatici) e di ogni ulteriore particolare che non risponda alle finalità indicate.
La funzionalità di zoom dovrà essere utilizzata solo se indispensabile per verificare la effettiva sussistenza di un evento anomalo o se la ripresa ordinaria fosse resa inefficace dalle condizioni ambientali (luce, eventi atmosferici, presenza di ostacoli).
TRATTAMENTO DELLE REGISTRAZIONI
Le seguenti operazioni di trattamento devono svolgersi all'interno del complesso dell’Ente, in locali dove non vi sia afflusso di persone estranee alla Camera di Commercio, da parte di personale incaricato del trattamento:
1. registrazione delle immagini;
2. visione del registrato;
3. estrapolazione / scarico delle immagini dal sistema di registrazione;
4. realizzazione di eventuali copie di sicurezza;
5. consegna delle copie ai soggetti autorizzati.
Le operazioni di cui ai punti 1., 2., 3. e 4. vengono normalmente eseguite nel locale CED dell’Ente ad accesso limitato; la consegna delle copie di cui al punto 5. avviene, di norma, nella stanza del Provveditore o nel locale CED.
Dette operazioni sono riservate al personale autorizzato della società designata responsabile del trattamento a seguito di formale affidamento (al momento della redazione del presente disciplinare personale della MGS SpA) e si svolgono su indicazione, e sotto il controllo, del segretario Generale o del Provveditore, o di un suo sostituto per esigenze di continuità operativa.
ACCESSO AI LOCALI DA PARTE DI SOGGETTI DIVERSI DAGLI AUTORIZZATI
La postazione informatica utilizzata per la gestione dell’impianto di videosorveglianza si trova nella sala CED dell’Ente; oltre al personale autorizzato alla visione delle immagini sopra indicato accedono ai locali, quindi, anche i soggetti incaricati delle operazioni di gestione del server camerale e della rete.
Il Provveditore gestisce e conserva l’elenco delle persone autorizzate ad accedere alla sala CED.
Eventuali accessi fisici ai locali dove si svolge il trattamento o dove sono collocati i registratori digitali da parte di persone diverse da quelle sopra indicate, devono essere autorizzate formalmente dal Segretario Generale o dal Provveditore.
L'autorizzazione deve riportare:
• identificativo dell’autorizzato;
• lo scopo dell'accesso (breve descrizione dell’attività autorizzata);
• se possibile: la durata dell’accesso (orario di entrata e di uscita dai locali) oppure la stima del tempo necessario per lo svolgimento dell'attività autorizzata.
L’autorizzazione viene comunicata agli incaricati del trattamento interni o esterni, i quali dovranno accertarsi dell’identità della persona autorizzata prima di consentirne l’accesso ai locali dove si svolge il trattamento.
MODALITA’ DI CONSERVAZIONE DEL REGISTRATO
Secondo il sistema, le immagini possono essere memorizzate in formato crittografato:
1) all’interno del dispositivo di registrazione;
2) in supporti esterni ed asportabili, in copia off-site.
Le copie di immagini (realizzate come al punto più sotto della procedura ACCESSO ALLE IMMAGINI), sono conservate solo per il tempo intercorrente tra la loro realizzazione e la consegna materiale al richiedente. Il supporto deve essere etichettato (o contrassegnato) indicando:
• l’identificativo del richiedente (nome dell’autorità o del pubblico ufficiale);
• la data della richiesta;
• la data e l’orario delle riprese originali.
Xxxxx evitati riferimenti che consentano di identificare direttamente gli interessati, o di collegarli esplicitamente ad eventuali illeciti, presunti o contestati.
I supporti etichettati devono essere riposti in un armadio (o simili, per es. cassaforte) dotato di serratura, accessibile solo da parte dagli incaricati del trattamento. Il contenitore delle copie deve essere comunque ubicato in area ad accesso ristretto e controllato.
Le copie potranno essere consegnate soltanto all’Autorità o ai soggetti autorizzati (individuati secondo la procedura ACCESSO ALLE IMMAGINI di cui al punto più sotto) che ne abbiano fatto richiesta. Le copie non ritirate devono essere distrutte secondo quanto disposto al successivo punto “Distruzione dei supporti esterni”.
A seguito di ricezione di formale di blocco, le immagini oggetto dell’istanza possono essere temporaneamente salvate in locale, in formato crittografato, sul server ubicato in sala CED. Qualora entro 30 gg. dalla richiesta di blocco le immagini non vengano richieste dall’Autorità giudiziaria o dalle Forze dell’Ordine, tali registrazioni vengono cancellate dal personale autorizzato. 4
Le immagini sono registrate con impianto digitale; il sistema deve essere impostato in modo da cancellarle automaticamente entro i tempi di legge, come definiti dal presente disciplinare. In caso di impossibilità di procedere automaticamente alla cancellazione, essa dovrà avvenire manualmente attraverso l’apposita funzionalità del registratore. Le operazioni dovranno essere effettuate nel locale dove è ubicato il registratore. Al loro termine l’operatore dovrà verificarne il risultato.
DISTRUZIONE DEI SUPPORTI ESTERNI
Eventuali supporti contenenti copie realizzate su richiesta degli aventi diritto e non ritirati entro i tempi stabiliti, dovranno essere fisicamente distrutti in modo da renderne impossibile la ricostruzione ed il recupero dei dati. Memorie di massa quali chiavette o hard disk, in caso di riutilizzo controllato, dovranno essere preventivamente sottoposte a formattazione di basso livello mendiate apposito software, in modo da rendere impossibile il recupero di dati memorizzati in precedenza.
4 vedere allegato n.8 “Richiesta blocco delle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia”
Si prevedono i seguenti tipi di accesso, secondo le regole generali e specifiche, che costituiscono la procedura per l’accesso descritta nel prosieguo.
Tipo di accesso | Contenuto | Documentazione |
Acquisizione di copia delle registrazioni (ad uso esclusivo di autorità giudiziaria o delle Forze dell’Ordine) | Il richiedente è autorizzato o legittimato ad ottenere copia delle immagini registrate, riversate su di un supporto mobile. La ricerca delle immagini, la realizzazione delle copie e la loro consegna materiale avviene a cura di un operatore autorizzato ed abilitato al trattamento. | • Richiesta Autorità o FFOO; • Autorizzazione / richiesta del Titolare • Autorizzazione al ritiro dei supporti da parte di persona identificata (in caso di impedimento del rappresentante del Titolare o del responsabile interno); • Verbale di consegna. E’ possibile, in casi di urgenza, redigere un unico documento, un verbale, contenente i motivi della richiesta, gli estremi delle immagini visualizzate, ed eventualmente consegnate; il verbale è controfirmato dalle richiedenti autorità o FFOO e dal Provveditore, o da un suo sostituto. |
Accesso visivo | Il soggetto legittimato o autorizzato, accede alla sola visione delle registrazioni, previa loro ricerca da parte di un operatore autorizzato ed abilitato al trattamento. | • Richiesta Autorità o FFOO; • Autorizzazione / richiesta del Titolare; • Esercizio dei diritti ex art.7; • Verbale di visione. |
L’accesso alle immagini è consentito, quindi, solo su richiesta dell’Autorità giudiziaria o delle Forze dell’Ordine, salvo casi particolari ed eccezionali, di seguito descritti, che devono essere formalmente autorizzati dal sostituto designato del titolare (Segretario generale o Provveditore), e che devono essere attentamente documentati e annotati nell’apposito registro degli accessi:
• richiesta formale di blocco delle immagini;
• attività di manutenzione sull’impianto di videosorveglianza da parte dei soggetti autorizzati;
• attività di audit del RPD;
• esercizio diritti degli interessati;
• altri casi eccezionali da motivare e documentare.
Vengono allegati al presente disciplinare i modelli che si raccomanda di utilizzare nella gestione della procedura:
• allegato n.6: Modello registro cartaceo degli accessi al sistema e delle visioni delle immagini tenuto dal Provveditore;
• allegato n.7: Modello “richiesta di esercizio dei diritti dell’interessato in riferimento alle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia”
• allegato n.8: Modello “richiesta blocco delle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia”;
• allegato n.9: Modello “richiesta visione/estrazione copia delle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia da parte dell’Autorità’ giudiziaria o delle Forze dell’ordine”;
• allegato n.10: Modello “verbale di consegna registrazioni di immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia”.
ACCERTAMENTO DELL’ESISTENZA DI IMMAGINI
Prima di dar corso a qualsiasi richiesta, il Provveditore, o un suo delegato, accerterà l’effettiva esistenza delle immagini, avvalendosi degli operatori autorizzati. All’esito – attraverso i competenti uffici - darà formale e immediata comunicazione al richiedente dell’esito positivo o negativo dell’accertamento. In caso di accertamento negativo, dovrà precisarne i motivi (per es. l’interessato non risulta ripreso; le immagini sono state cancellate entro i tempi di legge indicati nell’informativa, ecc…).
Tutti gli accessi - comprese le richieste a cui si è dato riscontro negativo - devono essere registrati mediante l’annotazione in apposito registro, alimentato e conservato dal Provveditore, nel quale dovranno essere almeno riportati:
• la data e l’ora dell’accesso, oltre alla durata dell’accesso (nelle more di un miglioramento del sistema che consenta in automatico la registrazione dei file di log degli accessi);
• gli estremi dei soggetti autorizzati all’accesso;
• le motivazione dell’accesso;
• gli estremi delle immagini estratte e visionate;
• gli eventuali estremi relativi alla consegna delle immagini;
• estremi dell’autorizzazione (come da modelli di richiesta firmati).
Il Registro degli accessi è tenuto dal Servizio IV – Patrimonio, acquisti e servizi logistici della Camera che ne cura la compilazione, la verifica e l’archiviazione. In alternativa possono essere individuate diverse modalità tenuto conto della concreta operatività dei servizi (per es. archivio indicizzato di email).
• L’accesso visivo alle immagini è consentito nel rispetto dei seguenti ruoli:
✓ Titolare del trattamento: Può autorizzare l’accesso. Tramite gli uffici competenti, presiede alla verifica ed alla tenuta (compilazione e la conservazione) del Registro degli Accessi;
✓ Sostituto designato dal Titolare (Segretario generale o Provveditore): Autorizza l’accesso e, ove ne ricorrano le condizioni, vi presenzia; Il Provveditore, o un suo sostituto, provvede, inoltre, alla verifica ed alla tenuta (compilazione e la conservazione) del Registro degli Accessi. Se autorizzato, accede alle immagini in quanto necessario alle operazioni di trattamento;
✓ Soggetto autorizzato al trattamento con specifico profilo di autorizzazione: Accede al sistema e provvede alle operazioni di trattamento delle immagini (ricerca, salvataggio, copia, ecc.) attenendosi alle disposizioni ricevute e alle disposizioni indicate nel presente disciplinare.
• In alcuni specifici casi possono accedere visivamente alle immagini registrate i seguenti terzi autorizzati all’accesso:
✓ Autorità Giudiziaria o delle Forze dell’Ordine: Per indagini in corso, tutela di un diritto in giudizio, attività di prevenzione e repressione di illeciti. La richiesta si fonda su ordine, provvedimento o richiesta formale. L’Autorità giudiziaria e le Forze dell’Ordine possono ottenere copia delle immagini;
✓ Interessato (soggetto ripreso): Di regola ne è escluso. Può essere eccezionalmente autorizzato in modo formale dal Titolare, o dal sostituto designato, in caso di:
1. comprovata e documentata necessità, o di pericolo concreto e imminente;
2. esercizio dei diritti degli interessati, previa comunicazione dell’Autorità giudiziaria o delle Forze dell’Ordine.
• L’accesso visivo alle immagini su richiesta o ordine di una Autorità o delle FFOO, è disposto dal Titolare del trattamento o dal suo Sostituto Designato (Segretario Generale o Provveditore). L’autorità dovrà essere immediatamente avvisata sui tempi di conservazione.
Se formalmente richiesto, potrà essere realizzata una copia delle immagini al fine di consentire l’accesso oltre detto termine. Il Titolare, o suo Sostituto designato, tenuto conto delle esigenze istruttorie e di motivi dell’accesso, fisserà il giorno, l’ora ed il luogo in cui il richiedente potrà visionare le immagini e la comunicherà all’operatore in turno, tramite il responsabile esterno. Qualora l’Autorità non richieda la consegna della copia del registrato, essa dovrà essere distrutta ad accesso ultimato. L’accesso visivo sarà riportato nel “registro degli accessi”.
• Per regola generale, agli interessati (soggetti ripresi) non è consentito accedere, nemmeno visivamente alle registrazioni. Pertanto, l’accesso visivo deve considerarsi eccezionale e motivato da circostanze gravi, oggettive e supportate da idonea evidenza.
L’interessato può chiedere al Titolare di essere autorizzato all’accesso visivo alle immagini ex art. 15 del GDPR. La richiesta dovrà essere presentata secondo quanto previsto dalla procedura “Esercizio dei diritti ex artt. 15 e ss. del GDPR da parte dell’interessato (soggetto ripreso)” al punto più sotto e dovrà indicare i motivi che rendono indispensabile l’accesso, allegandone adeguata documentazione se disponibile o necessaria in relazione ai motivi della richiesta.
La ricerca delle immagini è riservata agli autorizzati, che applicano la procedura “Realizzazione e consegna di copie” al punto più sotto indicata. Nel caso di accertamento positivo, il Titolare (o il Sostituto Designato) potrà disporre la conservazione temporanea di copia delle immagini e fisserà il giorno - non oltre 15 giorni dalla rilevazione - l’ora ed il luogo in cui il richiedente potrà visionare le immagini che lo riguardano direttamente, inviando all’interessato tempestiva comunicazione.
Le copie realizzate temporaneamente per consentire all’interessato l’accesso ex art. 15 del GDPR vanno conservate fino alla data di accesso visivo. Una volta esercitato il diritto di accesso, in mancanza di una diversa disposizione da parte di una Autorità (per es. ordine di acquisizione), le immagini dovranno essere cancellate o i supporti distrutti.
• Qualora l’interessato, in veste di soggetto ripreso, ritenga di avvalersi di immagini per tutelare o esercitare un proprio diritto in giudizio, potrà richiedere la conservazione temporanea di eventuali registrazioni che lo riguardano.5 A tal fine, dovrà rivolgersi alle Autorità competenti, le quali ordineranno l’acquisizione delle registrazioni e/o la conservazione per un periodo superiore a quello di legge.
L’interessato dovrà presentare al Titolare, anche per il tramite del responsabile designato, formale richiesta scritta e motivata. La richiesta dovrà essere corredata da una copia di denuncia-querela, o, comunque, dall’impegno a presentarla quanto prima.
Le operazioni di ricerca delle immagini sono riservate ai soggetti autorizzati al trattamento. All’interessato non devono essere rilasciate copie delle immagini registrate.
Le immagini verranno conservate per un periodo massimo di 30 gg. per consentirne la visione/estrazione di copia delle immagini da parte dell’Autorità Giudiziaria o delle Forze dell’Ordine. Decorso tale periodo verranno avviate alla distruzione.
ESERCIZIO DEI DIRITTI EX ARTT. 15 E SS. DEL GDPR DA PARTE DELL’INTERESSATO (SOGGETTO RIPRESO)
L’interessato, in quanto soggetto ripreso, può fare istanza:
1. al Titolare del trattamento, rivolgendosi alla Segreteria Generale della Camera di Commercio di Foggia; il Titolare può avvalersi dell’ausilio dei soggetti appositamente designati e/o autorizzati.
L’eventuale esercizio dei diritti è condizionato dal preventivo accertamento dell’esistenza o meno di registrazioni che lo riguardano direttamente. A tal fine, il richiedente deve essere informato sui tempi di conservazione delle
5 vedere allegato n.8 “Richiesta blocco delle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia”
immagini. Qualora la richiesta fosse soltanto verbale, il richiedente deve essere gentilmente invitato a compilare il modulo messo a disposizione dal Titolare o dal Responsabile designato.6
Per facilitare il reperimento delle immagini di possibile interesse, l’istanza deve indicare:
• a quale impianto di videosorveglianza si fa riferimento.
• il giorno e l’ora in cui l’istante potrebbe essere stato oggetto di ripresa,
• indicazioni sull’abbigliamento indossato, accessori ed altri elementi
• presenza di altre persone
• attività svolta durante le riprese.
• ogni altro elemento utile a meglio circostanziare le immagini oggetto di richiesta.
Nel caso tali indicazioni manchino, o siano insufficienti a permettere il reperimento delle immagini, deve essere data immediata comunicazione al richiedente degli elementi mancanti, in modo che egli possa integrare la richiesta.
Non possono essere accettate istanze presentate da persone diverse dal soggetto ripreso. A tal fine, il richiedente dovrà esibire un documento di identità valido i cui estremi dovranno essere registrati dall’autorizzato, se possibile facendo copia del documento stesso, da allegare alla richiesta. In caso di istanza pervenuta a mezzo fax e posta (tradizionale o cartacea), si darà corso alla richiesta solo se corredata da copia di un documento di identità valido.
REALIZZAZIONE E CONSEGNA DI COPIE
• Possono accedere alle registrazioni e alle copie delle immagini, in quanto necessario alle operazioni di trattamento, solo i seguenti soggetti:
✓ Titolare del trattamento: Autorizza la conservazione delle registrazioni ed il rilascio delle copie. Accede al contenuto delle copie in quanto necessario all’individuazione delle immagini richieste ed al controllo dello stato dei supporti;
✓ Sostituto designato dal Titolare: Autorizza la conservazione delle registrazioni ed il rilascio delle copie. Accede al contenuto delle copie in quanto necessario all’individuazione delle immagini richieste ed al controllo dello stato dei supporti. Custodisce i supporti, ne cura la consegna e ogni altro adempimento necessario;
✓ Soggetto autorizzato al trattamento con specifico profilo di autorizzazione: Trasmette le richieste al Segretario Generale o al Provveditore. Ricerca le immagini e ne realizza le copie. Accede al contenuto delle copie in quanto necessario all’individuazione delle immagini richieste ed al controllo dello stato dei supporti. Custodisce i supporti e ne cura la consegna.
• L’acquisizione di copia delle registrazioni è riservata esclusivamente ai seguenti soggetti:
✓ all’Autorità Giudiziaria o alle Forze dell’Ordine, dietro loro ordine (per es. provvedimento giudiziario, verbale, ecc…) o previa loro formale richiesta, scritta e motivata. A tal fine, ricorrendone i presupposti di legge (per es. indagini in corso, tutela in giudizio di un diritto, attività di prevenzione del crimine o di un pericolo imminente, ecc…) l’Autorità può ordinare un prolungamento dei tempi di conservazione delle immagini.
✓ Al Titolare e al Sostituto Designato (Segretario Generale o Provveditore), previa formale richiesta scritta da parte dell’Autorità Giudiziaria o delle Forze dell’Ordine, e nei casi eccezionali di necessità e urgenza, da comprovare formalmente (a titolo esemplificativo la necessità di conservare copia delle immagini in occasione di eventi lesivi del patrimonio dell’Ente in prossimità dei termini di scadenza della conservazione). Nel caso di un loro impedimento, i supporti contenenti le registrazioni potranno essere consegnati a persone di loro fiducia, preventivamente individuate e autorizzate per iscritto. I nominativi dovranno essere trasmessi agli operatori autorizzati unitamente alla richiesta delle copie.
6 vedere allegato n.7 “Richiesta di esercizio dei diritti dell’interessato in riferimento alle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia
Non è prevista la realizzazione, né la consegna di copie a soggetti diversi da quelli individuati al punto precedente.
• L’Autorità richiedente deve avanzare apposita istanza scritta al Titolare utilizzando i modelli appositamente predisposti e allegati in bozza al presente disciplinare. Al fine di certificarne la provenienza, l’istanza deve essere redatta su:
✓ carta intestata dell’autorità richiedente;
✓ oppure, su modulo del richiedente, contenete gli estremi identificativi dell’Autorità;
✓ oppure, su modulo fornito dal Titolare.
In ogni caso, essa deve riportare la data di presentazione, la firma (o sigla) e gli estremi identificativi del pubblico ufficiale richiedente.
Nel caso in cui il richiedente sia il Titolare, o il Sostituto Designato, dovrà essere consegnata all’operatore autorizzato apposita comunicazione scritta, da cui risulti quale operazione di accesso egli deve compiere:
1. ricerca delle immagini;
2. visione del registrato;
3. estrapolazione / scarico delle immagini dal sistema di registrazione;
4. realizzazione di eventuali copie di sicurezza;
5. consegna delle copie a soggetti identificati ed autorizzati.
Oltre agli elementi utili per facilitare il reperimento delle immagini di possibile interesse (per es. impianto di videosorveglianza di riferimento, data e ora in cui sono state effettuate le riprese di possibile interesse), l’istanza deve indicare le motivazioni per cui viene chiesta copia delle registrazioni (per es. indagini nell’ambito di un procedimento in corso avanti l’autorità giudiziaria).
Nel caso tali indicazioni manchino, o siano insufficienti a permettere il reperimento delle immagini, di ciò dovrà essere data immediata comunicazione al richiedente, invitandolo alle necessarie integrazioni.
E’ possibile, in casi di urgenza, redigere un unico documento, un verbale, contenente i motivi della richiesta, gli estremi delle immagini visualizzate, ed eventualmente consegnate; il verbale è controfirmato dalle richiedenti autorità o FFOO e dal Provveditore, o da un suo sostituto.
• In caso di istanza su modulo dell’Autorità, essa deve essere presentata con modalità tali da garantire la certezza del mittente (fax, PEC, racc. AR, ecc…). Qualora sia presentata oralmente da un pubblico ufficiale, quest’ultimo deve essere gentilmente invitato a presentare richiesta scritta, avvalendosi della modulistica a disposizione.
In casi di comprovata necessità e urgenza si potrà redigere un unico documento finale, un verbale, contenente i motivi della richiesta, gli estremi delle immagini visualizzate, ed eventualmente consegnate; il verbale è controfirmato dalle richiedenti autorità o FFOO e dal Provveditore, o da un suo sostituto.
All’atto della presentazione dell’istanza, il richiedente deve essere informato circa i tempi di conservazione delle immagini. Nel caso le immagini di possibile interesse non risultino conservate o siano state già cancellate ne dovrà essere data immediata comunicazione al richiedente.
• Il Titolare o il Responsabile designato (Segretario Generale o Provveditore) – sulla base degli elementi contenuti nella richiesta - accerterà l’effettiva esistenza delle immagini, attivando tramite comunicazione formale gli operatori autorizzati con il necessario profilo di autorizzazione.
Gli operatori procederanno alla ricerca delle immagini, comunicandone l’esito al Sostituto Designato (qualora egli non sia presente all’accesso).
Il Sostituto Designato dà comunicazione al richiedente (Autorità o Forze dell’Ordine) dell’esito positivo o negativo dell’accertamento. In caso di:
a) accertamento negativo, dovranno essere precisati i motivi (per es. l’interessato non risulta ripreso; le immagini sono state cancellate entro i tempi di legge indicati nell’informativa, ecc…).
b) accertamento positivo, dovranno essere comunicati al richiedente il giorno, l’ora ed il luogo in cui potranno essere prelevate le copie richieste.
Se durante la ricerca dovessero essere rilevate immagini di fatti che integrano ipotesi di reato o altri eventi rilevanti ai fini dell'intervento delle forze dell'ordine o di qualsiasi altra situazione anomala afferente visitatori, dipendenti od al patrimonio, l'autorizzato informerà immediatamente il Sostituto designato, attendendo istruzioni.
• Su formale indicazione del Titolare o del Sostituto designato, essi riverseranno sul supporto esterno le immagini da conservare. Il supporto dovrà essere etichettato e conservato, secondo quanto previsto al punto “Gestione delle immagini”.
I supporti contenenti immagini registrate non devono mai essere asportati dai locali dell’ente in cui sono collocati. La consegna di eventuali copie richieste da una Autorità avviene presso i locali individuati dal Titolare o dal sostituto designato.
Il Titolare o il suo sostituto Designato stabilisce se la consegna materiale avverrà a cura degli operatori addetti alla sicurezza oppure a mezzo di proprio personale autorizzato. In questo secondo caso, il Titolare o il suo Delegato, dovrà comunicare a quale dei propri dipendenti saranno consegnati i supporti, comunicandone ruolo dell’Ente e nominativo agli operatori. La persona autorizzata dovrà provare la propria identità esibendo un documento valido, da annotare nel registro accessi e nel verbale di consegna se già predisposto.
Al momento della consegna materiale al soggetto legittimato, dovrà essere redatto un apposito verbale, in cui dovranno essere indicati:
✓ riferimento alle immagini duplicate, come da etichettatura del supporto (per es. riprese in data XYZ, riferite a presunto illecito avvenuto in XYZ)
✓ data e ora della consegna del supporto
✓ tipo del supporto (CD, DVD, chiavetta USB, hard disk, ecc…)
✓ identificativo e firma (o sigla) della persona o dell’ufficio che ha curato la consegna
✓ identificativo e firma (o sigla) del ricevente (Ufficio del Titolare, pubblico ufficiale che ha curato il ritiro dei supporti.
Gli esiti della consegna verranno annotati nell’apposito registro tenuto dal Provveditore.
Le copie realizzate su ordine dell’Autorità vanno conservate fino al momento del loro prelievo da parte del pubblico ufficiale incaricato dalla richiedente. Si applica la procedura di conservazione Di cui al punto “Gestione delle immagini”.
Qualora le immagini non fossero acquisite dall’autorità oltre il termine indicato dall’autorità stessa per il ritiro (o non fosse stata indicata alcuna scadenza), gli operatori autorizzati ne daranno notizia al Titolare o ai sostituti designati, che contatteranno l’Autorità richiedente prima di disporne la eventuale cancellazione o distruzione dei supporti.
AGGIORNAMENTO E REVISIONE DEL DISCIPLINARE
Il disciplinare, che sostituisce ogni altro documento precedente che disciplinava la gestione dell’impianto di videosorveglianza, deve essere periodicamente revisionato, tutte le volte che si renda necessario, in base alle modifiche apportate all’attività di trattamento.
In via meramente esemplificativa, si indicano di seguito le principali ipotesi in cui è opportuno considerare una revisione del documento:
1) Cambiamento sulle attività di trattamento, in termini di:
• contesto;
• finalità del trattamento;
• tipologia di dati personali trattati;
• destinatari (ad eccezione di quelli che rientrano nella definizione di «terzo» ai sensi dell’art. 4, num. 10, del GDPR);
• modalità di raccolta dei dati personali;
• trasferimento di dati all’estero.
2) Modifica ai rischi con impatto sui diritti degli interessati derivanti da:
• presenza di nuove minacce;
• variazione dei sistemi informativi a supporto del trattamento;
• nuove ipotesi di danno per gli interessati;
• variazione delle misure di sicurezza tecniche ed organizzative applicate ai trattamenti.
3) Modifica delle modalità attraverso cui gli interessati possono esercitare i loro diritti
Come indicato nel “Sistema di gestione dei dati personali” - Modello organizzativo privacy, regolamentazione dei ruoli e sistema di responsabilità – l’adozione del disciplinare spetta alla Giunta camerale.
Le successive modifiche/aggiornamenti del disciplinare competono alla Giunta se comportano modifiche nelle determinazioni su finalità e mezzi del trattamento dei dati, possono essere approvate con provvedimento del Segretario generale negli altri casi.
Vengono di seguito descritti gli allegati al presente Disciplinare che devono intendersi come parte integrante dello stesso:
• n.1: Planimetrie videocamere “Cittadella dell’Economia di Capitanata” come da progetto originario; 7
• n.2: Cartello videosorveglianza – Modello di informativa semplificata ex art. 13 del GDPR;
• n.3: Informativa estesa ai sensi degli artt. 13 e 14 del GDPR in materia di trattamento dei dati personali nell’ambito delle attività di videosorveglianza. Tale informativa è desumibile dalla scansione del QR presente nel cartello affisso presso i locali sottoposti a videosorveglianza ed è disponibile, altresì, presso la reception e sul sito istituzionale dell’Ente;
• n.4: Indice criminalità citta di Foggia;
• n.5: Progetto esecutivo – capitolato speciale d’appalto – impianti multimediali della “Cittadella dell’Economia di Capitanata”, descrizione dell’impianto e delle sue componenti;
• n.6: Modello registro cartaceo degli accessi al sistema e delle visioni delle immagini tenuto dal Provveditore;
• n.7: Modello “richiesta di esercizio dei diritti dell’interessato in riferimento alle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia”
• n.8: Modello “richiesta blocco delle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia”;
• n.9: Modello “richiesta visione/estrazione copia delle immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia da parte dell’Autorità’ giudiziaria o delle Forze dell’ordine”;
• n.10: Modello “verbale di consegna registrazioni di immagini dell’impianto di videosorveglianza della Camera di Commercio di Foggia”.
7 Possono essere state eseguite piccole modifiche rispetto al progetto originario sulla base delle esigenze organizzative dell’Ente.