Privacy: il Data Protection Officer deve avere competenze al ruolo svolto nella protezione dei dati personali, ma questo implica che debba anche ottenere una certificazione ISO.

La legge sulla privacy prevede la figura del Data Protection Officer, cioè di un soggetto esperto a cui sono affidati compiti di responsabilità nella gestione del trattamento di dati personali, tra cui quello di garantire che tutte le relative operazioni da compiere sui dati (acquisizione, archiviazione, utilizzo, ecc.) avvengano in sicurezza e nel rispetto delle disposizioni di legge vigenti. Per le imprese, la scelta di nominare un Data Protection Officer è quasi sempre facoltativa, salvo alcuni casi in cui, data la delicatezza dei dati e la complessità e la mole delle operazioni da svolgere, la nomina di tale figura è prevista come obbligatoria. La scelta sul soggetto chiamato a ricoprire tale ruolo può ricadere all’interno o all’esterno dell’organizzazione in cui opera. Ti starai chiedendo, a questo punto, cosa faccia e quali competenze debba possedere il Data Protection Officer, in modo da poterlo scegliere al meglio e, in particolare, se ai sensi delle norme sulla Privacy: per il Data Protection Officer serve una certificazione ISO? e, in caso di risposta affermativa, quale è la certificazione più adatta.

Le principali figure per il trattamento dei dati personali 

Il 25 maggio 2018 sono entrate in vigore nuove norme sulla protezione dei dati personali, previste dall’Unione Europea e recepite di recente dall’ordinamento italiano [1]. Tra gli adempimenti previsti a carico di imprese e Pubbliche Amministrazioni rientra la necessità di individuare con precisione i soggetti, i compiti e le relative responsabilità tra i soggetti che svolgono operazioni di trattamento dei dati personali come, ad esempio, la loro acquisizione, utilizzo, aggiornamento ed eliminazione.

Le principali figure previste sono:

• il titolare del trattamento, cioè il soggetto che si occupa di prendere tutte le decisioni sulle finalità e le modalità del trattamento dei dati personali. Può essere una persona fisica, una persona giuridica (ad esempio una società) o una Pubblica Amministrazione [2];
• il responsabile del trattamento, cioè il soggetto che si occupa delle operazioni di trattamento dei dati personali per conto del titolare. Si tratta di un soggetto a cui il titolare affida tutte o un gruppo di operazioni di trattamento sui dati personali [3];
• gli autorizzati al trattamento, cioè i soggetti che, in concreto, svolgono le operazioni sui dati personali (ad esempio i dipendenti del titolare o del responsabile) [4].
• il Data Protection Officer (o responsabile del trattamento dei dati personali), cioè il soggetto che si occupa di garantire il rispetto delle norme sulla privacy nell’organizzazione in cui opera.

Data Protection Officer: cosa fa e quando dev’essere nominato?

Il Data Protection Officer è una figura prevista dalla legge sulla privacy [5] che, all’interno di imprese e Pubbliche Amministrazioni, può ricoprire un ruolo particolarmente rilevante nel trattamento e nella protezione dei dati personali.

In particolare, il Data Protection Officer è tenuto a [6]:

• vigilare sul rispetto delle norme sulla privacy all’interno dell’organizzazione in cui opera;
• valutare e prevenire eventuali rischi nel trattamento dei dati personali;
• collaborare e supportare i soggetti che hanno ruoli di responsabilità e direzione del trattamento (il titolare e il responsabile del trattamento);
• informare e sensibilizzare tutti i soggetti dell’organizzazione in cui opera riguardo agli obblighi in materia di protezione dei dati;
• cooperare con il Garante per la Protezione dei Dati Personali, cioè fare da tramite tra l’impresa o amministrazione in cui opera e l’Autorità di vigilanza sul rispetto delle norme in materia di privacy.

La nomina del Data Protection Officer è una scelta consigliata per tutte le imprese, dato che consente di ridurre al minimo il rischio di violazioni delle norme sulla privacy o di incidenti che portino, ad esempio, alla diffusione incontrollata di dati riservati (cosiddetti “data breaches”). Per alcuni soggetti, invece, la nomina del Data Protection Officer è prevista come obbligatoria.

Si tratta, in particolare, dei seguenti soggetti:

1. amministrazioni, enti pubblici e autorità giudiziarie;
2. soggetti che, per la loro attività, svolgono un monitoraggio regolare e sistematico dei dati personali su larga scala (ad esempio istituti di credito, call center, società di selezione del personale ecc.)
3. soggetti che svolgono operazioni di trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici (ad esempio ospedali e laboratori d’analisi).

Data Protection Officer: le competenze e le capacità richieste

Le norme sulla privacy non prevedono una particolare qualifica per svolgere il ruolo di Data Protection Officer, ma richiedono che abbia conoscenze adeguate al suo ruolo. In linea di massima è ragionevole aspettarsi che il Data Protection Officer abbia:

• una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, anche tenendo conto del grado di protezione richiesta per i dati personali oggetto di trattamento sulla base della loro sensibilità, complessità e quantità. Ad esempio, se il trattamento è effettuato su grandi quantità di dati relativi alla salute, le competenze del Data Protection Officer dovranno essere maggiori rispetto a quelle richieste in caso di trattamenti solo su indirizzi email, nomi e cognomi;
• una conoscenza adeguata del settore di attività e dell’organizzazione in cui opera. Ad esempio, se si tratta di una Pubblica Amministrazione, il Data Protection Officer dovrà conoscere tutte le disposizioni che ne regolano l’organizzazione e i procedimenti amministrativi;
• una adeguata conoscenza informatica, con riferimento agli strumenti telematici attraverso cui le operazioni di trattamento sono svolte.

Si tratta quindi di competenze legate tanto al settore della protezione dei dati personali, quanto alla organizzazione dell’impresa o dell’Amministrazione in cui opera. Questo implica la necessità di una certificazione ISO? Vediamolo insieme

Per il DPO serve una certificazione ISO?

Le certificazioni ISO sono certificazioni che con un cui un soggetto terzo (l’organismo di certificazione) verifica e attesta il rispetto di regole, requisiti e standard raggruppati in un unico documento di riferimento adottato dalla Organizzazione internazionale per la normazione.

Tale documento è definito “norma” ed è denominato secondo un formato del tipo “ISO nnnn:yyyy – titolo”, dove:

• “nnnn” è il numero assegnato alla norma;
• “yyyy” è l’anno di pubblicazione;
• “titolo” è una breve descrizione della norma.

Nel caso del personale, la certificazione ISO assicura che determinati soggetti possiedano competenze, conoscenze e abilità adeguate ai compiti da svolgere. Per questo motivo, nel settore pubblico, spesso il possesso delle certificazioni ISO è richiesto come condizione per partecipare alla gara per l’affidamento di un servizio in relazione al quale debbano essere possedute determinate competenze, conoscenze e abilità,

Esiste una norma ISO obbligatoria per il Data Protection Officer?

Per il Data Protection Officer è stata pubblicata la norma ISO 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”. Si tratta della norma che individua i requisiti dei soggetti che operano nel trattamento e nella protezione dei dati.

Con particolare riferimento al Data Protection Officer, la norma definisce:

• i compiti principali che è chiamato a svolgere;
• le competenze, le abilità e le conoscenze richieste, tra cui:
  • la capacità di analisi, di organizzazione, di pianificazione e programmazione;
  • la capacità di individuare criticità, debolezze e vulnerabilità nell’organizzazione;
  • la capacità di garantire il rispetto delle norme sulla privacy;
  • la conoscenza dei principi in materia di protezione dei dati personali;
  • la conoscenza delle migliori pratiche, degli standard, delle norme legali e delle nuove tecnologie che possono rilevare nel trattamento dei dati personali;
  • le competenze gestionali/manageriali.

Nonostante misuri il possesso dei requisiti professionali per svolgere il ruolo di Data Protection Officer, la certificazione ISO 11697:2017 non è obbligatoria. Pertanto:

• l’impresa può nominare un Data Protection Officer, interno o esterno, sprovvisto della ISO 11697:2017;
• le amministrazioni non sono tenute a prevedere la ISO 11697:2017 come requisito di partecipazione per le procedure di affidamento del ruolo di Data Protection Officer.

Esistono altre certificazioni che pur non avendo ad oggetto le specifiche mansioni del Data Protection Officer potrebbero essere erroneamente ritenute compatibili con tale figura. Una di queste è la certificazione ISO 27001:2017 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti”. Si tratta di una norma che definisce i requisiti, le regole e gli standard per garantire la gestione della sicurezza nell’utilizzo dei sistemi informatici. Tale certificazione è stata ritenuta da alcune sentenze non adatta a misurare il possesso delle competenze, delle conoscenze e delle abilità richieste per svolgere le funzioni di Data Protection Officer [7].

In particolare, è stato ritenuto che la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non colga pienamente la specifica funzione dell’incarico di Data Protection Officer. Si tratta, infatti, di certificazione che mira ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma non attiene alla tutela e alla protezione dei dati personali.

Di GIUSEPPE BRUNO

Le regole sulla raccolta differenziata: cassonetti, buste della spazzatura e immondizia non sono coperti dalla privacy perché, una volta buttati, se ne perde la proprietà.

L’altro giorno hai visto uno dei condomini del tuo palazzo gironzolare intorno ai cassonetti della spazzatura, come se stesse cercando qualcosa o volesse nascondersi da qualcuno. È una persona strana, con cui hai avuto in passato diverse discussioni. È litigioso, sospettoso, curioso, ma soprattutto imprevedibile. D’un tratto ti sorge il dubbio che questi possa frugare nelle buste della spazzatura alla ricerca di tracce e informazioni sui vicini di casa, magari solo per curiosità o per attuare qualche ricatto. Alla fine il sospetto si è trasformato in certezza quando lo hai visto, con la coda dell’occhio, infilare le mani in uno dei bidoni dell’immondizia. Vorresti fotografarlo per denunciarlo alla polizia o all’amministratore, ma è notte e l’immagine, soprattutto da lontano, viene sfocata. Cosa puoi fare contro di lui? Sei infatti convinto che frugare nella spazzatura è violazione della privacy.

Nei sacchetti si trovano informazioni di tutti i tipi: dagli estratti conto bancari alle bollette delle utenze, dalle scatole vuote dei medicinali agli scontrini della spesa, dai semplici appunti ai fogli con documenti di lavoro, dalle tessere sconto dei negozi alle prescrizioni del medico curante. C’è chi, ingenuamente, non strappa la carta e la lascia alla mercé di chiunque e chi, invece, più sospettoso, la fa in mille pezzi in modo che non sia leggibile. Ma cosa si può fare se scopri qualcuno che apre un sacchetto dell’immondizia altrui? Se dovessi aver buttato un oggetto che non usi più, convinto che la sua unica destinazione sia il macero, mentre poi lo vedi in casa di un’altra persona, la potresti denunciare per furto? Se hai a cuore la tua riservatezza e non vuoi che nessuno si faccia i fatti tuoi, ti consiglio di leggere fino in fondo questo articolo. Qui ti spiegheremo infatti se frugare nella spazzatura è violazione della privacy e cosa puoi fare per difenderti se dovessi scoprire che uno dei tuoi vicini di casa sta facendo il detective con i tuoi rifiuti.

Garante della Privacy: non frugare nella spazzatura altrui

C’è un vecchio documento emesso dal Garante della Privacy, risalente a più di 10 anni fa, con cui l’Autorità ha dettato alcune linee guida sulla raccolta differenziata per tutelare la riservatezza dei cittadini. Questa guida ha creato un po’ di confusione negli utenti i quali hanno erroneamente ritenuto che, in tal modo, il Garante abbia voluto dire che frugare nella spazzatura è violazione della privacy. In realtà non è così. Il testo del documento conteneva raccomandazioni ai Comuni e non ai cittadini. Ad esempio – si legge in tale provvedimento – l’ente locale non può imporre l’utilizzo di sacchetti dei rifiuti trasparenti o con etichette adesive nominative per la raccolta “porta a porta”; in questo modo infatti chiunque potrebbe controllare il contenuto dell’immondizia e risalire alla sua provenienza. È invece lecito contrassegnare il sacchetto con un codice a barre, un microchip o con etichette intelligenti (Rfid).

Ed ancora l’Authority ha escluso la possibilità di controlli indiscriminati sulle buste della spazzatura per verificare il rispetto delle norme sulla differenziata; per tutelare la privacy dei cittadini le ispezioni possono arrivare solo se ci sono fondati dubbi di violazione della normativa e se il responsabile non è identificabile in nessun altro modo.

Insomma, il Garante non ha mai detto che frugare nella spazzatura è una violazione della privacy. E difatti non lo è. Cerchiamo di capirne la ragione.

Aprire le buste della spazzatura altrui è vietato?

A ben vedere, nel momento in cui una persona butta un oggetto nei cassonetti della spazzatura comunale si disfa non solo dell’oggetto in sé da un punto di vista materiale ma anche della relativa proprietà a cui, così facendo, rinuncia per sempre. In questo stesso istante perde anche ogni diritto sulla cosa che non può più tutelare davanti a un giudice o a un’autorità di pubblica sicurezza (la polizia o i carabinieri). Se butti un letto o un comodino non puoi poi lamentarti se qualcuno lo prende per sé e lo utilizza, non puoi chiedergli un corrispettivo, né puoi lamentarti che questi ha violato la tua privacy. Lo stesso discorso vale anche per la carta straccia.

Il passaggio cruciale di tutto il ragionamento è dunque il seguente: quando metti un oggetto qualsiasi in un bidone della differenziata o dell’indifferenziata non ne sei più titolare. La proprietà passa al Comune. Se così non fosse, del resto, l’ente locale non potrebbe fare della spazzatura ciò che vuole: il macero, il riciclaggio, la distruzione, ecc.

La conseguenza è abbastanza chiara: come abbiamo già scritto in passato, frugare nella spazzatura è reato, ma non ai danni del cittadino bensì del Comune, nuovo proprietario dei rifiuti abbandonati. Il reato è ovviamente quello di furto (e non quindi di violazione della privacy) la cui pena è della reclusione fino a tre anni e con la multa da 154 euro a 516 euro. In più c’è l’aggravante per aver rubato cose esposte (per consuetudine o necessità) alla pubblica fede (ossia in mezzo a una strada).

Che fare se qualcuno fruga nella spazzatura?

Se trovi qualcuno che fruga nella tua spazzatura puoi comunque agire, non in tutela della tua privacy ma degli interessi del Comune, sebbene così facendo, in modo indiretto, finisci per tutelare te stesso. Puoi infatti recarti dalla polizia municipale: le autorità, infatti, avendo notizia di un reato dovranno procedere, ma sempre a tutela dell’interesse della pubblica amministrazione.

Mia moglie è un dipendente pubblico nella scuola e sta presentando una domanda per inabilità assoluta e permanente a svolgere qualsiasi lavoro e/o a proficuo lavoro (L. 335/95). Ha tutti i requisiti necessari contributivi e “sanitari”. Se la domanda viene inviata e/o trasmessa telematicamente all’Inps ed alla scuola in contemporanea, essendoci un certificato medico e documentazione sanitaria personale “delicata” con dati sensibili, questi ultimi andranno direttamente all’Inps e non alla scuola? Mia moglie vorrebbe mantenere la privacy e non sarebbe piacevole che all’interno della scuola, dove continuerebbe a lavorare fino alla decisione della commissione medica, si divulgassero notizie sul suo stato di salute. Sarebbe una contraddizione anche con tutte le normative sulla privacy etc. 

La Corte di Cassazione (ordinanza n. 2367 del 31 gennaio 2018), a proposito delle visite fiscali, ha stabilito che il datore di lavoro deve venire a conoscenza esclusivamente della prognosi, con esclusione di qualsiasi altra indicazione, la quale lederebbe la normativa a tutela della privacy. Il medico fiscale non deve quindi fornire particolari informazioni al datore, come ad esempio visite specialistiche, in quanto violerebbe la privacy del lavoratore per ciò che concerne i dati supersensibili inerenti lo stato di salute, dovendosi limitare a confermare la prognosi. 

Questa pronuncia, sebbene riguardi la visita fiscale in caso di assenza del pubblico dipendente per malattia, riflette quello che è l’orientamento oramai consolidato in giurisprudenza circa il diritto alla riservatezza del dipendente affetto da patologie. Tale orientamento è fatto proprio anche dal Garante della Privacy, il quale ha ricordato che, nel caso di attestati rilasciati dalle strutture ospedaliere o comunque da enti pubblici, devono essere presenti solo informazioni generiche. Questo significa che non vi devono essere dati di carattere personale circa: lo stato di salute del paziente; il nome della struttura sanitaria; la tipologia di esame diagnostico effettuato; la tipologia di visita effettuata, etc. 

Il datore di lavoro (sia esso un soggetto pubblico o privato), non può svolgere indagini tese a verificare se la certificazione di malattia del dipendente, attestata dal medico, sia vera o falsa; né può effettuare accertamenti sanitari sull’idoneità e infermità per malattia o infortunio dei propri dipendenti. Dal canto suo, il medico è obbligato a non divulgare a terzi le condizioni di salute dei propri pazienti. 

Alla luce di ciò, si ritiene a parere dello scrivente che il lettore possa stare tranquillo circa la tutela della riservatezza di sua moglie, in quanto le informazioni trasmesse verranno valutate esclusivamente dalla commissione medica di verifica, nel pieno rispetto del diritto alla riservatezza, trattandosi di dati supersensibili. Tra l’altro, per attivare il procedimento per la richiesta di inabilità occorre inoltrare solamente il certificato, a firma del proprio medico curante, attestante lo stato di inabilità assoluta e permanente a svolgere qualsiasi attività lavorativa. L’ente, verificata la sussistenza dei requisiti (anche contributivi), dispone l’accertamento sanitario presso la commissione medica di verifica, la quale certamente, a questo punto, vorrà visionare l’intera documentazione medica in possesso del lettore. 

Articolo tratto dalla consulenza resa dall’avv. Mariano Acquaviva

Si può riprendere un luogo privato? È possibile filmare un luogo pubblico? Quando si viola la privacy e quando si commette reato?

Nell’era del digitale siamo costantemente sotto l’occhio delle telecamere: dai sistemi di videosorveglianza agli smartphone, non c’è dispositivo oramai che non sia in grado di catturare immagini o filmati. Questo comporta delle conseguenze ben precise: da un lato, è più facile monitorare le attività sospette e garantire l’ordine pubblico; dall’altro, però, la privacy dei comuni cittadini è messa a serio repentaglio. Non bisogna dimenticare, infatti, che l’occhio delle telecamere, se posizionato in luoghi pubblici o aperti al pubblico, cattura tutto ciò che avviene dinanzi a sé, anche le condotte e gli atteggiamenti normali di chi nemmeno sa di essere ripreso. È un po’ come se tutti noi vivessimo sotto l’occhio del grande fratello. Ora, se nessun dubbio vi è sulla legittimità di installare un sistema di videosorveglianza all’interno della propria abitazione o di altra proprietà privata (ognuno in casa sua è libero di fare ciò che vuole), è anche vero che vi sono alcuni luoghi, tipo quelli pubblici o aperti al pubblico, nei quali è necessario garantire la giusta riservatezza ai passanti. È abbastanza ovvio che non puoi piazzare telecamere a destra e a manca al di fuori della tua abitazione, puntandole sulla strada o in direzione di altri luoghi di pubblico passaggio. Allo stesso modo, non potrai installare una telecamera in un ambiente privato senza il consenso del titolare o di chi può disporre del luogo stesso: in questo caso, il rischio è addirittura di incorrere in reato. Se quanto ti ho narrato sinora ha suscitato il tuo interesse, oppure se sei in procinto di dover installare un sistema di videosorveglianza a difesa della tua proprietà ma non sai quali zone puoi riprendere e quali no, allora ti consiglio di proseguire nella lettura del presente articolo: ti spiegherò se è legale filmare la strada.

È legale filmare un luogo privato?

Prima di vedere se è legale filmare la strada, ovverosia un luogo pubblico, vediamo se è legale filmare un luogo privato, cioè un ambiente non accessibile a tutti, come una casa, un ufficio o altra proprietà privata. Senza dubbio, come già accennato nelle righe precedenti, ognuno è liberissimo di installare telecamere ove lo ritenga più opportuno.

Il discorso cambia drasticamente quando si parla di luoghi privati di altri, cioè di abitazioni o luoghi di privata dimora appartenenti a soggetti diversi da colui che piazza le telecamere. In questo caso, la condotta consistente nel filmare un luogo privato costituisce reato: Il codice penale punisce con la reclusione da sei mesi a quattro anni chi, mediante l’uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita che si svolge nei luoghi di privata dimora. Alla stessa pena soggiace chi rivela o diffonde, mediante qualsiasi mezzo di informazione al pubblico, le notizie o le immagini ottenute nei modi indicati [1].

La norma è chiaramente posta a tutela della privacy ed intende proteggere solamente la vita privata all’interno delle abitazioni, cioè tra le mura di casa. Quindi, chi riprende di nascosto una persona che si trova nella propria abitazione, convinta di essere lontana da sguardi indiscreti, commette reato.

È legale filmare in condominio?

Facciamo un passo avanti nella strada che ci porterà a capire se è legale filmare la strada. Abbiamo detto che puoi tranquillamente installare videocamere in casa tua, ma non nelle proprietà private degli altri. Analizziamo ora una situazione borderline: è legale filmare in condominio? Il problema si pone per quelle aree comuni che appartengono a tutti i condomini e, nello specifico, al pianerottolo antistante la porta del proprio appartamento.

Una telecamera posta davanti l’ingresso della propria abitazione, capace però di riprendere anche gli altri condomini che passano per l’ammezzato, è legale o viola la privacy? Sgombriamo subito il campo dall’ipotesi di reato: secondo la Corte di Cassazione, il pianerottolo (così come le altre aree comuni condominiali) non costituisce luogo di privata dimora, unico tutelato dalla norma penale sulle interferenze illecite [2]. Pertanto, colui che installa una telecamera capace di riprendere anche una parte della zona condominiale non commette reato.

Questo non significa, però, che l’inquilino possa fare tutto ciò che voglia: se installare una telecamera davanti alla propria porta di casa in modo tale da riprendere anche parti comuni dell’edificio o, addirittura, la proprietà privata di altri (ad esempio, l’appartamento del vicino), non costituisce reato, ciò non toglie che possa violare la privacy, con rischio di incorrere in sanzioni pecuniarie.

Pertanto, se vuoi installare una telecamera davanti casa tua, dovrai seguire queste semplici regole:

• l’unico scopo deve essere quello di tutelare la propria abitazione. Pertanto, laddove questa finalità non vi sia (si pensi a una telecamera puntata in una sezione dell’edificio dove non vi sono né porte, né finestre) non è possibile montare la telecamera;
• la telecamera deve riprendere solo gli spazi di tua proprietà, senza sconfinare in quelli comuni dell’edificio o di proprietà esclusiva di altri condomini. Ad esempio, il raggio della telecamera sulla finestra antistante del condomino non può interessare anche il cortile comune, né può finire su una parte del pianerottolo che consenta al proprietario dell’appartamento di sapere quando il dirimpettaio entra o esce di casa.

Telecamere in condominio: occorre consenso?

Il singolo condomino non deve chiedere l’autorizzazione all’assemblea per installare una telecamera davanti alla sua abitazione, mentre è necessaria la delibera se è il condominio a votare per un sistema di videosorveglianza che coinvolga l’intero fabbricato. Inoltre, quando l’installazione dell’impianto video non è effettuata dal condominio ma dal singolo proprietario allo scopo di sorvegliare il proprio appartamento, se le immagini non vengono comunicate a terzi né diffuse, la questione non rientra tra quelle regolate dal codice sulla privacy e, pertanto, non c’è bisogno di apporre il cartello con l’avviso della segnalazione delle telecamere.

È legale filmare un luogo pubblico?

Chiedersi se è legale filmare la strada vuol dire domandarsi se è legale filmare un luogo pubblico: la strada, infatti, non è altro che una pubblica via, cioè un posto ove chiunque, in qualsiasi momento, può accedervi. Ciò segna anche la differenza tra luogo pubblico e luogo aperto al pubblico: il primo, come detto, è liberamente accessibile a chiunque (pensa ad una piazza, ad esempio); il secondo, invece, lo è solamente a determinate condizioni: è il caso del cinema, il cui ingresso è subordinato al pagamento del prezzo del biglietto, del museo, della discoteca, ecc.

Dunque: è legale filmare la strada? Sicuramente non costituisce reato, nel senso che l’ipotesi delittuosa analizzata nel primo paragrafo riguarda solamente l’intromissione indebita (cioè, non autorizzata) nei luoghi di privata dimora. Tuttavia, sebbene non costituisca reato, filmare la strada non è legale. La legge vieta la diffusione di immagini che non sia autorizzata dal diretto interessato [3]; pertanto, se si effettua un filmato di persone sconosciute, anche se si trovano in luogo pubblico, non potrà essere pubblicato o distribuito senza l’espressa liberatoria della persona ripresa, a meno che il volto o i tratti identificativi di questa non siano alterati in modo da renderla irriconoscibile. Da tanto si evince che il filmato realizzato per uso esclusivamente personale è perfettamente legale, senza che occorra alcun permesso.

Ricapitolando, anche quando le persone, presenziando ad un evento pubblico (politico, sportivo, ecc.), rinunciano in parte al loro diritto alla privacy, per filmarle e diffondere il video sarebbe comunque necessario il loro consenso scritto. Questo ostacolo, tuttavia, può essere facilmente superato facendo solo rapide panoramiche sulla folla, senza soffermarsi sui primi piani (altrimenti occorrerebbe la liberatoria della persona singolarmente inquadrata); oppure, editando l’immagine e rendendo non riconoscibili le persone.

È legale filmare una strada per motivi di ordine pubblico?

Leggendo l’ultimo paragrafo, ove ti ho detto che non è legale filmare una strada, sicuramente avrai pensato a tutte le telecamere installate dalle forze dell’ordine per la tutela dell’ordine pubblico. Sono illegali anche quelle? No: per questi particolari impianti, destinati a monitorare i luoghi pubblici per fini di sicurezza, valgono delle regole particolari.

Gli strumenti di videosorveglianza possono essere installati in luoghi pubblici (e, quindi, anche per strada) solamente quando vi siano comprovati e giustificati motivi di pubblica sicurezza. Questa valutazione è rimessa interamente all’amministrazione pubblica che vorrà avvalersene. Un soggetto pubblico può effettuare attività di videosorveglianza solo ed esclusivamente per svolgere funzioni istituzionali. Anche quando un’amministrazione è titolare di compiti in materia di pubblica sicurezza o prevenzione dei reati, per installare telecamere deve comunque ricorrere un’esigenza effettiva e proporzionata di prevenzione o repressione di pericoli concreti. Qualora si decidesse di procedere in tal senso, il provvedimento di autorizzazione dovrebbe stabilire limiti e modalità della videosorveglianza, quale apparecchiatura installare, da chi acquistarla e come adoperarla. L’ente dovrebbe individuare anche gli incaricati a visionare i filmati.

La normativa riguardante i sistemi di videosorveglianza [4] dice che le immagini riprese avvalendosi di impianti di videosorveglianza rientrano nella categoria dei dati personali; chi fa uso di questi sistemi deve, pertanto, attenersi al Codice in Materia dei Dati Personali, nel quale sono riportate le eventuali sanzioni a carico dei trasgressori.

Il principio generale in materia stabilisce che chiunque installi un sistema di videosorveglianza deve provvedere a segnalarne la presenza, facendo in modo che qualunque soggetto si avvicini all’area interessata dalle riprese sia avvisato della presenza di telecamere già prima di entrare nel loro raggio di azione.

Le riprese effettuate per fini di sicurezza e tutela dell’ordine pubblico, con particolare riferimento alla prevenzione di reati o atti di vandalismo e alla sicurezza sul lavoro, costituiscono un’eccezione, e non necessitano dell’obbligo di segnalazione. Normalmente, per installare un sistema di videosorveglianza, non è necessario l’assenso da parte del Garante della privacy; fanno però eccezione tutti i casi in cui sussiste il rischio di ledere i diritti e le libertà fondamentali o la dignità degli individui ripresi.