Videosorveglianza
La videosorveglianza è diventata un sistema ad alte prestazioni grazie alla crescente applicazione di analisi video intelligenti. Queste tecniche possono essere più intrusive (tecnologie biometriche complesse) o meno intrusive (semplici algoritmi di conteggio).
Restare anonimi e preservare la propria privacy è, in linea generale, sempre più difficile. Le questioni relative alla protezione dei dati sollevate nelle diverse situazioni possono essere diverse, così come l’analisi giuridica riferita all’utilizzo dell’una o dell’altra di queste tecnologie.
Dunque, Il comitato europeo per la protezione dei dati ha ribadito le regole per l’installazione e la gestione delle telecamere, sia in ambito pubblico che privato attraverso delle linee guida.
L’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili: ad esempio, le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, o in materia di controllo a distanza dei lavoratori.
Il titolare del trattamento prima di installare un sistema di videosorveglianza deve sempre valutare criticamente se questa misura sia in primo luogo idonea a raggiungere l’obiettivo desiderato e in secondo luogo adeguata e necessaria per i suoi scopi, dovendo optare per misure di videosorveglianza unicamente se la finalità del trattamento non può ragionevolmente essere raggiunta con altri mezzi meno intrusivi per i diritti e le libertà fondamentali dell’interessato (come per esempio la recinzione della proprietà, il pattugliamento regolare del personale di sicurezza, l’impiego di custodi etc.).
Conseguentemente, il titolare del trattamento invece di installare un sistema di videosorveglianza potrebbe adottare misure di sicurezza alternative.
Occorre effettuare accorgimenti procedurali che consentono all’ente ecc. di perseguire in maniera efficace le finalità del trattamento, evitando di condizionare in modo ingiustificato la libertà degli interessati.
Con riferimento al regime pubblico degli impianti di videosorveglianza installati da Enti Locali, l’art.38 co.3 Decreto Legge 76/2020 prevede che l’installazione e l’esercizio di sistemi di videosorveglianza di cui all’art.5, co.2 lett. a) del Decreto-legge 20 febbraio 2017, n.14, da parte degli Enti Locali, è considerata attività libera e non soggetta ad autorizzazione generale di cui agli artt. 99 e 104 del decreto legislativo 259/2003.
Riguardo ai Comuni occorre fare riferimento in particolare all’art. 7 D.lgs. 51/2018; art. 6 co.7 del D.L. 11/2009; art. 54 D.lgs. 267/2000 (Testo Unico Enti Locali). In virtù di tale normativa, il regolamento di videosorveglianza deve essere approvato con deliberazione del consiglio comunale
Il nuovo principio di accountability (responsabilizzazione) chiarisce che il bilanciamento tra interesse del titolare del trattamento e i diritti dell’interessato dovranno essere valutati dallo stesso titolare.
Non occorre più chiedere preventivamente all’Autorità cosa fare.
Serve dimostrare in caso di controllo di aver fatto tutto quanto necessario per essere in regola con la tutela del trattamento dei dati personali.
Il principio di finalità stabilisce che chi installa le telecamere può perseguire solo fini di sua pertinenza, cioè può utilizzare le telecamere solo per il controllo della sua attività, ma non può mai utilizzare le telecamere per finalità esclusivamente di sicurezza pubblica, che sono, invece, di competenza delle autorità giudiziarie ed amministrative.
In caso di installazione di sistemi di videosorveglianza per finalità di prevenzione, indagine, accertamento e perseguimento di atti delittuosi, si deve fare riferimento al D.lgs 101/2018) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e all’art 2 del D.lgs 51/2018 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
Principi di pertinenza e non eccedenza
Con riferimento ai principi di pertinenza e non eccedenza dei dati trattati rispetto agli scopi perseguiti, le telecamere saranno installate in modo tale da limitare l’angolo visuale delle riprese.
È comunque vietato divulgare o diffondere immagini, dati e notizie di cui si è venuti a conoscenza nell’utilizzo degli impianti, nonché procedere a qualsiasi ingrandimento delle immagini al di fuori dei casi regolati dal presente regolamento.
Principio di minimizzazione
Tale principio di minimizzazione (art. 5 par.1, lett. a del Regolamento) prevede che il titolare deve prestare attenzione “alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento” e i dati trattati devono in ogni caso essere pertinenti e non eccedenti rispetto alle finalità perseguite.
Di minimizzazione si tratta anche quando il titolare deve stabilire i tempi di conservazione dei dati, argomento che tratteremo nel paragrafo successivo.
TEMPI DI CONSERVAZIONE
I tempi di conservazione delle immagini registrate sono generalmente individuati dai titolari del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. Il Garante ha sottolineato che nella maggior parte dei casi (per esempio per atti vandalici) devono essere cancellati dopo qualche giorno e che il tempo di conservazione se è più lungo deve essere sorretto da un’analisi approfondita riferita alla legittimità dello scopo e alla necessità di conservazione.
Solitamente è possibile individuare eventuali danni entro uno o due giorni. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.
I DIRITTI DEGLI INTERESSATI
Diritto all’informativa (trasparenza)
Quando sono impiegati sistemi di videosorveglianza, il titolare del trattamento , oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza , deve fornire agli interessati anche delle informazioni di secondo livello che devono contenere tutti gli elementi obbligatori a norma dell’art.13 del Regolamento ed essere facilmente accessibili per l’interessato.
A titolo esemplificativo si pensi ad una pagina informativa completa, messa a disposizione in uno snodo centrale (sportello informazioni, reception, cassa etc) o affissa in un luogo di facile accesso.
Il diritto di accesso
L’interessato, dietro presentazione di apposita istanza, può in ogni caso ricevere copia dei dati personali oggetto del trattamento. I titolari devono consentire agli stessi di consultarli personalmente o da remoto.
I Comuni in genere disciplinano il diritto di accesso documentale nel proprio regolamento evidenziando una serie di condizioni necessarie a bilanciare i contrapposti interessi.
L’accesso da parte dell’interessato sarà limitato alle sole immagini che lo riguardano direttamente, tuttavia l'ente può negare l'accesso alle immagini per questioni di indagine ma deve comunque garantire all'interessato la notizia della presenza di dati/video che lo riguardano; al fine di evitare l’accesso ad immagini riguardanti altri soggetti, dovrà pertanto essere utilizzata, da parte del Titolare del trattamento, una schermatura del video ovvero altro accorgimento tecnico in grado di oscurare i riferimenti a dati identificativi delle altre persone fisiche eventualmente presenti.
Il diritto alla cancellazione, trasformazione in forma anonima o blocco.
L’interessato ha diritto di ottenere la cancellazione (qualora sussista uno dei motivi di cui all’art. 17 GDPR), la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati.
LA VALUTAZIONE D’IMPATTO
La Data Protection Impact Assessment DPIA, altrimenti detta valutazione d’impatto, è un istituto, obbligatorio solo per trattamenti complessi e soggetti a rischi particolari , come ad esempio la videosorveglianza. Spetta al titolare del trattamento valutare se sussistano i presupposti per effettuare una valutazione di impatto sulla protezione dei dati prima di iniziare il trattamento. Dunque, occorre stabilire se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite ex art. 35 del Regolamento.
Naturalmente in tale processo gioca un ruolo fondamentale il DPO che deve assistere il titolare del trattamento fornendogli tutte le informazioni necessarie a gestire una valutazione puntuale e precisa.
Le informazioni minime che dovrebbero essere presenti in una valutazione d’impatto sono:
- La descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso l’interesse legittimo perseguito dal titolare;
- La valutazione dei rischi;
- Le misure previste per affrontare i rischi, incluse le garanzie.
- Le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento.
La valutazione di impatto ovvero la DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del GDPR, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni.
In altri termini, la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali.
CASI IN CUI SI ESCLUDE L’APPLICAZIONE DELLA NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Tale normativa non viene applicata al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente,
ESEMPI OVE NON SI APPLICA IL REGOLAMENTO
Esempio: Il GDPR non è applicabile alle fotocamere false, vale a dire qualsiasi fotocamera che non funziona come una fotocamera e quindi non elabora alcun dato personale (fermo restando che, nel contesto lavorativo, trovano comunque applicazione le garanzie previste dall’art. 4 della legge 300/1970).
Tuttavia, in alcuni Stati membri potrebbero essere applicabili altre normative.
Esempio: Le registrazioni ad alta quota rientrano nell’ambito di applicazione del GDPR solo se, in queste circostanze, i dati trattati possono essere correlati a una determinata persona.
Esempio: Una videocamera è integrata in un’automobile per fornire assistenza al parcheggio (se la videocamera è costruita o regolata in modo tale da non raccogliere alcuna informazione relativa ad una persona fisica, ad esempio targhe o informazioni che potrebbero identificare i passanti).
Se la videocamera è costruita o regolata in modo tale da non raccogliere alcuna informazione relativa a una persona fisica (ad esempio targhe o informazioni che potrebbero identificare i passanti), il GDPR non è applicabile.
REGISTRAZIONI VIDEO PER USO PERSONALE
Esempio: Per documentare le proprie vacanze, un turista registra video sia con il suo cellulare sia con una videocamera.
Mostra il filmato ad amici e familiari, ma non lo rende accessibile ad un numero indefinito di persone.
Questo caso rientrerebbe nella deroga relativa alle attività a carattere domestico.
Esempio: Un ciclista in mountain bike vuole registrare il suo percorso in discesa con una telecamera sportiva.
Attraversa una zona isolata e prevede di utilizzare le registrazioni solo per intrattenimento personale e nel suo domicilio.
Questo caso rientrerebbe nella deroga relativa alle attività a carattere domestico anche se vi fosse in una certa misura un trattamento di dati personali.
Esempio: Qualcuno sorveglia e registra il proprio giardino. La proprietà è recintata e soltanto il titolare del trattamento e la sua famiglia entrano regolarmente in giardino.
Questo caso rientrerebbe nella deroga relativa alle attività a carattere domestico, a condizione che la videosorveglianza non si estenda, neppure parzialmente, ad uno spazio pubblico o ad una proprietà confinante.
