In data 25 maggio 2016 è entrato in vigore il nuovo Regolamento europeo sulla protezione dei dati personali: il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation).
L’Europa ha concesso due anni agli Stati membri per allinearsi ai suoi dettati. L’Italia, seppure con un certo ritardo, si è adeguata alle indicazioni del Regolamento, che lasciavano un certo margine di discrezionalità, ai vari paesi, in fase di recepimento.
È stato così pubblicato il D.Lgs. 101/2018, che ha modificato in maniera sostanziale il precedente D.Lgs. 196/2003, senza però abrogarlo, come alcuni esperti avevano suggerito. La versione aggiornata del D.Lgs. 196/2003, con il recepimento di tutte le modifiche apportate dal D.Lgs. 101/2018, è disponibile sul sito del Garante.
In questo articolo vediamo come il Regolamento Europeo sulla Privacy e la versione aggiornata del D.Lgs. 196/2003 hanno avuto impatto sulla progettazione e gestione di impianti di videosorveglianza.
Videosorveglianza e privacy
Una prima modifica, affatto formale, riguarda il fatto che l’informativa non si chiama più così, ma si chiama “informazioni”.
Come è noto, nel contesto degli impianti di videosorveglianza le informazioni sono fornite a due livelli: nel primo viene premiata l’immediatezza, nell’altro la completezza.
Videosorveglianza e GDPR: il cartello
Il primo livello è materializzato da un cartello sintetico. Questo deve essere installato prima che il soggetto ripreso, quindi l’interessato, entri nel campo di ripresa delle telecamere, almeno per quanto possibile.
Se è in funzione l’impianto di videosorveglianza, il cartello deve essere visibile anche di notte. Non ha sostanzialmente bisogno di aggiornamento per il semplice fatto che il riferimento al D.Lgs. 196/2003 è sempre valido, anche se il contenuto è stato aggiornato.
Videosorveglianza e GDPR: le informazioni analitiche
Diversa è la situazione per le informazioni analitiche, che devono essere fornite successivamente. Quando ad esempio l’interessato si avvicina al punto di accoglienza di un edificio uso ufficio, dotato di impianto di videosorveglianza o al punto di accoglienza di un centro commerciale. In questo caso l’informativa deve essere sostanzialmente modificata perché il regolamento europeo prescrive, in forma analitica, quali devono essere le informazioni da presentare all’interessato.
Il cartello deve indicare le finalità della ripresa (ad esempio: sicurezza di persone e beni) e il contatto per avere ulteriori informazioni.
Le informazioni analitiche possono essere stampate su un foglio formato A4 che sarà affisso alla parete, nell’immediata vicinanza di un punto di accoglienza o informazione. Alcune copie di questo testo saranno a disposizione degli addetti all’accoglienza, perché un interessato potrebbe richiedere una copia.
Privacy e videosorveglianza: il registro dei trattamenti
La compilazione del registro dei trattamenti (art. 30 del regolamento europeo) è una prescrizione del nuovo regolamento europeo, che deve essere obbligatoriamente soddisfatta da chiunque tratti dati personali. Unica eccezione consentita è riferita alle piccole e medie aziende, per le quali la compilazione di questo registro è solo una opportunità e non un obbligo.
Il progettista dell’impianto di videosorveglianza deve fare riferimento al responsabile del trattamento dei dati personali del committente. Questo al fine di uesto al mettere a sua disposizione tutte le informazioni che richiederà ai fini della compilazione del registro del trattamento.
L’Autorità Garante ha messo a disposizione sul suo sito una semplice del registro, destinata a piccole e medie imprese e agli altri soggetti per i quali esiste l’obbligo di compilazione.
Videosorveglianza e art. 25 GDPR
Questo tema è trattato nell’articolo 25 del Regolamento Europeo. Anche in questo caso il progettista dell’impianto di videosorveglianza deve fare riferimento al responsabile del trattamento di dati personali del committente. Quest’ultimo porrà gli appropriati quesiti, cui il progettista dovrà dare adeguata risposta.
Per maggiori informazioni sull’argomento è possibile consultare il volume dedicato alla protezione dei dai personali, edito da EPC Editore.
Videosorveglianza e Privacy: designazione degli autorizzati al trattamento già incaricati
Nessuna persona fisica può osservare le immagini riprese dalle telecamere od accedere ai dati registrati. Può solo la persona che è stata designata come soggetto autorizzato al trattamento di dati personali, acquisiti dall’impianto di video registrazione.
Questa figura è in tutto simile al precedente profilo di incaricato del trattamento. I moduli già disponibili per la designazione di questo soggetto sono quindi applicabili anche nel contesto del nuovo regolamento.
La lettera di designazione
La lettera di designazione deve essere consegnata a tutti coloro che osservano le immagini. Ad esempio gli addetti ai servizi di accoglienza di portineria ed anche ai tecnici che intervengono sull’impianto. La lettera deve anche dare indicazioni precise circa le modalità con cui sia possibile, in caso di necessità, estrarre le immagini video registrate. Gestire inoltre un’eventuale richiesta di accesso alle videoregistrazioni da parte di un interessato.
Privacy e valutazione di impatto per gli impianti di videosorveglianza
È questa una nuova prescrizione, prevista dal Regolamento europeo sulla privacy, all’art. 35. L’articolo impone al titolare di sviluppare una specifica analisi di rischio e valutazione di impatto, quando egli tratta dati che rientrino in particolari categorie critiche.
Tra queste categorie è stata già individuata con certezza la categoria degli impianti di videosorveglianza di dimensioni particolarmente grandi. Si tratta degli impianti installati in grandi centri commerciali, aeroporti, stazioni ferroviarie, grandi parcheggi, accesso e sorveglianza di vaste zone urbane. Non è tuttavia stabilito il numero minimo di telecamere per le quali è obbligatoria la valutazione di impatto per un impianto di videosorveglianza.
L’autorità Garante ha messo a disposizione sul proprio sito un applicativo che guida il titolare o il responsabile del trattamento.
Se il titolare dovrà sviluppare la valutazione di impatto, potrà rivolgersi al proprio responsabile del trattamento. Se lo ha designato, potrà rivolgersi anche al responsabile della protezione dei dati, per sviluppare il documento stesso. Anche in questo caso, l’autorità Garante mette a disposizione un applicativo che facilita la compilazione della valutazione di impatto.
Videosorveglianza e violazione della privacy
Il Regolamento Europeo, all’articolo 30, dà precise indicazioni sul modello di comportamento cui attenersi, in caso di violazione di dati personali. Questa situazione potrebbe verificarsi, nel contesto di un impianto di videosorveglianza, se, ad esempio, le immagini registrate venissero sottratte o accidentalmente cancellate in modo intempestivo.
Violazione colposa e dolosa
Sia in caso di violazione di origine colposa, sia di origine dolosa, il regolamento prevede l’attivazione di una procedura. La procedura permette di acquisire il massimo numero possibile di informazioni afferenti alla violazione. Sulla base di queste informazioni, occorre presentare una notifica all’autorità Garante competente.
Sono previste delle esenzioni a questo obbligo, a fronte, ad esempio, del fatto che un algoritmo criptografico ha protetto i dati sottratti ai quali non può accedere chi ne sia venuto in possesso.
Per approfondire è utile consultare il volume EPC.
Il responsabile della protezione di dati personali negli impianti di videosorveglianza
Siamo davanti a un nuovo profilo professionale, ben noto nel resto d’Europa da parecchi anni, ma assolutamente sconosciuto in Italia.
Un professionista, dotato di documentata esperienza in tema di protezione dei dati. Un professionista che si pone a disposizione del titolare e del responsabile per offrire assistenza nell’applicazione pratica delle disposizioni del nuovo regolamento generale e che svolge funzioni di verifica e controllo delle attività svolte.
La designazione
La designazione di questo soggetto non è obbligatoria per tutti i titolari; tuttavia questo soggetto deve essere obbligatoriamente designato ove i trattamenti svolti dal titolare possano presentare particolari criticità.
Quando l’impianto di videosorveglianza ha dimensioni tali da richiedere lo sviluppo di una valutazione di impatto, è probabile che il titolare debba al contempo designare un responsabile della protezione dei dati. Il Responsabile lo aiuterà non solo in fase di sviluppo della valutazione di impatto, ma anche di verifica e controllo del puntuale rispetto delle disposizioni in tema di protezione dei dati personali. Vedi il volume responsabile della protezione dei dati.
Per un approfondimento sul tema, consulta il volume:
Gli impianti di videosorveglianza
di Adalberto Biasiotti
Epc Editore
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore