In questo articolo esaminiamo l’impatto del GDPR sulla videosorveglianza ed analizziamo i capisaldi che guidano l’applicazione concreta e corretta della normativa sulla protezione dei dati personali in materia di videosorveglianza. Il Regolamento Europeo sulla Privacy e la versione aggiornata del D.Lgs. 196/2003 hanno infatti avuto impatto sulla progettazione e gestione di impianti di videosorveglianza.
Nell'articolo
Videosorveglianza e privacy
La decisione di impiegare la videosorveglianza, sia per usi privati che pubblici, richiede un’attenta valutazione preventiva dei potenziali benefici in rapporto all’impatto sul diritto alla privacy, sulle libertà fondamentali e sulla dignità e riservatezza personali di coloro che possono trovarsi nella zona di copertura delle telecamere. Si tratta, cioè, di trovare il giusto equilibrio fra le esigenze di libertà, riservatezza e sicurezza degli individui, vincendo una certa resistenza e diffidenza sociale nei confronti dell’evoluzione tecnologica degli impianti TVCC, la cui “social sustainability” è strettamente connessa alla loro percezione sociale, alla sensibilizzazione pubblica circa la loro utilità e alla corretta gestione dei rischi connessi al loro impiego.
Videosorveglianza: cosa dice la legge
In Italia, non esiste una vera e propria legislazione specifica sulla videosorveglianza: il quadro normativo di riferimento va individuato nelle disposizioni vigenti in materia di privacy, compresi i provvedimenti e pareri ad hoc del nostro Garante. Le immagini che rendono possibile l’identificazione o la semplice riconoscibilità – anche indiretta – di persone fisiche, costituiscono a tutti gli effetti “dati personali” e, di conseguenza, ricadono sotto la disciplina del D.Lgs. 30 giugno 2003, n. 196 (c.d. “Codice Privacy“) e del Regolamento Generale Europeo per la Protezione dei Dati Personali, meglio noto con l’acronimo inglese GDPR (General Data Protection Regulation). Le attività di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione di immagini acquisite mediante l’uso di sistemi di videosorveglianza configurano un trattamento di dati personali, tutelato dall’art. 1 del GDPR.
Con la pubblicazione del D.Lgs. 196/2003, il Garante emanò un articolato Provvedimento integrativo il 29 aprile 2004, poi sostituito da quello dell’8 aprile 2010, che a tutt’oggi, stante la sua natura prescrittiva, regge l’intera architettura degli impianti di videosorveglianza a salvaguardia del diritto alla privacy.
Videosorveglianza e trattamento dei dati personali
Il citato Provvedimento del Garante del 2010 afferma che la raccolta, la registrazione, la conservazione e, in generale, l’utilizzo di immagini configura un trattamento di dati personali e, in virtù di ciò, vanno applicati i principi previsti dall’art. 5 del GDPR: il Data Controller dovrà agire per finalità determinate, esplicite e legittime, in modo lecito, corretto e trasparente nei confronti dell’interessato, limitando la conservazione delle informazioni raccolte al tempo strettamente necessario al conseguimento delle finalità del trattamento e adottando adeguate misure di protezione e sicurezza dei dati.
L’osservanza di tali principi normativi consente, peraltro, di dimostrare che il trattamento delle immagini avviene nel rispetto del principio di trasparenza e rendicontazione (o di “accountability”) previsto dall’art. 24 del GDPR: tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve attuare misure tecniche e organizzative adeguate, ed essere in grado di dimostrare di aver agito secondo conformità. Sotto una nuova veste, si ripropone quell’onere della “documentazione delle scelte” che il Garante Privacy, con grande lungimiranza, aveva già previsto nel Provvedimento generale in materia di videosorveglianza del 2004.
Quando è obbligatorio il cartelli di videosorveglianza?
Come è noto, nel contesto degli impianti di videosorveglianza le informazioni sono fornite a due livelli: nel primo viene premiata l’immediatezza, nell’altro la completezza.
Il primo livello è materializzato da un cartello sintetico. Questo deve essere installato prima che il soggetto ripreso, quindi l’interessato, entri nel campo di ripresa delle telecamere, almeno per quanto possibile.
Se è in funzione l’impianto di videosorveglianza, il cartello deve essere visibile anche di notte. Non ha sostanzialmente bisogno di aggiornamento per il semplice fatto che il riferimento al D.Lgs. 196/2003 è sempre valido, anche se il contenuto è stato aggiornato.
Il cartello deve indicare le finalità della ripresa (ad esempio: sicurezza di persone e beni) e il contatto per avere ulteriori informazioni.
Videosorveglianza e GDPR: le informazioni analitiche
Diversa è la situazione per le informazioni analitiche, che devono essere fornite successivamente. Quando ad esempio l’interessato si avvicina al punto di accoglienza di un edificio uso ufficio, dotato di impianto di videosorveglianza o al punto di accoglienza di un centro commerciale. In questo caso l’informativa deve essere sostanzialmente modificata perché il regolamento europeo prescrive, in forma analitica, quali devono essere le informazioni da presentare all’interessato.
Le informazioni analitiche possono essere stampate su un foglio formato A4 che sarà affisso alla parete, nell’immediata vicinanza di un punto di accoglienza o informazione. Alcune copie di questo testo saranno a disposizione degli addetti all’accoglienza, perché un interessato potrebbe richiedere una copia.
Privacy e videosorveglianza: il registro dei trattamenti
La compilazione del registro dei trattamenti (art. 30 del regolamento europeo) è una prescrizione del nuovo regolamento europeo, che deve essere obbligatoriamente soddisfatta da chiunque tratti dati personali. Unica eccezione consentita è riferita alle piccole e medie aziende, per le quali la compilazione di questo registro è solo una opportunità e non un obbligo.
Il progettista dell’impianto di videosorveglianza deve fare riferimento al responsabile del trattamento dei dati personali del committente. Questo al fine di mettere a sua disposizione tutte le informazioni che richiederà ai fini della compilazione del registro del trattamento.
L’Autorità Garante ha messo a disposizione sul suo sito una semplice del registro, destinata a piccole e medie imprese e agli altri soggetti per i quali esiste l’obbligo di compilazione. Questo tema è trattato nell’articolo 25 del Regolamento Europeo. Anche in questo caso il progettista dell’impianto di videosorveglianza deve fare riferimento al responsabile del trattamento di dati personali del committente. Quest’ultimo porrà gli appropriati quesiti, cui il progettista dovrà dare adeguata risposta.
Chi può accedere alle immagini di videosorveglianza?
Nessuna persona fisica può osservare le immagini riprese dalle telecamere od accedere ai dati registrati. Può solo la persona che è stata designata come soggetto autorizzato al trattamento di dati personali, acquisiti dall’impianto di video registrazione.
Questa figura è in tutto simile al precedente profilo di incaricato del trattamento. I moduli già disponibili per la designazione di questo soggetto sono quindi applicabili anche nel contesto del nuovo regolamento.
La lettera di designazione
La lettera di designazione deve essere consegnata a tutti coloro che osservano le immagini. Ad esempio gli addetti ai servizi di accoglienza di portineria ed anche ai tecnici che intervengono sull’impianto. La lettera deve anche dare indicazioni precise circa le modalità con cui sia possibile, in caso di necessità, estrarre le immagini video registrate. Gestire inoltre un’eventuale richiesta di accesso alle videoregistrazioni da parte di un interessato.
Privacy e valutazione di impatto per gli impianti di videosorveglianza
È questa una nuova prescrizione, prevista dal Regolamento europeo sulla privacy, all’art. 35. L’articolo impone al titolare di sviluppare una specifica analisi di rischio e valutazione di impatto, quando egli tratta dati che rientrino in particolari categorie critiche.
Tra queste categorie è stata già individuata con certezza la categoria degli impianti di videosorveglianza di dimensioni particolarmente grandi. Si tratta degli impianti installati in grandi centri commerciali, aeroporti, stazioni ferroviarie, grandi parcheggi, accesso e sorveglianza di vaste zone urbane. Non è tuttavia stabilito il numero minimo di telecamere per le quali è obbligatoria la valutazione di impatto per un impianto di videosorveglianza.
L’autorità Garante ha messo a disposizione sul proprio sito un applicativo che guida il titolare o il responsabile del trattamento.
Se il titolare dovrà sviluppare la valutazione di impatto, potrà rivolgersi al proprio responsabile del trattamento. Se lo ha designato, potrà rivolgersi anche al responsabile della protezione dei dati, per sviluppare il documento stesso. Anche in questo caso, l’autorità Garante mette a disposizione un applicativo che facilita la compilazione della valutazione di impatto.
Videosorveglianza e violazione della privacy
Il Regolamento Europeo, all’articolo 30, dà precise indicazioni sul modello di comportamento cui attenersi, in caso di violazione di dati personali. Questa situazione potrebbe verificarsi, nel contesto di un impianto di videosorveglianza, se, ad esempio, le immagini registrate venissero sottratte o accidentalmente cancellate in modo intempestivo.
Violazione colposa e dolosa
Sia in caso di violazione di origine colposa, sia di origine dolosa, il regolamento prevede l’attivazione di una procedura. La procedura permette di acquisire il massimo numero possibile di informazioni afferenti alla violazione. Sulla base di queste informazioni, occorre presentare una notifica all’autorità Garante competente.
Sono previste delle esenzioni a questo obbligo, a fronte, ad esempio, del fatto che un algoritmo criptografico ha protetto i dati sottratti ai quali non può accedere chi ne sia venuto in possesso.
Il responsabile della protezione di dati personali negli impianti di videosorveglianza
Siamo davanti a un nuovo profilo professionale, ben noto nel resto d’Europa da parecchi anni, ma assolutamente sconosciuto in Italia.
Un professionista, dotato di documentata esperienza in tema di protezione dei dati. Un professionista che si pone a disposizione del titolare e del responsabile per offrire assistenza nell’applicazione pratica delle disposizioni del nuovo regolamento generale e che svolge funzioni di verifica e controllo delle attività svolte.
La designazione
La designazione di questo soggetto non è obbligatoria per tutti i titolari; tuttavia questo soggetto deve essere obbligatoriamente designato ove i trattamenti svolti dal titolare possano presentare particolari criticità.
Quando l’impianto di videosorveglianza ha dimensioni tali da richiedere lo sviluppo di una valutazione di impatto, è probabile che il titolare debba al contempo designare un responsabile della protezione dei dati. Il Responsabile lo aiuterà non solo in fase di sviluppo della valutazione di impatto, ma anche di verifica e controllo del puntuale rispetto delle disposizioni in tema di protezione dei dati personali. Vedi il volume responsabile della protezione dei dati.
Consulta anche i seguenti articoli
Come progettare, realizzare e gestire un impianto di videosorveglianza
Videosorveglianza sul posto di lavoro e rispetto della privacy
Per saperne di più consulta il volume di EPC Editore
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore