La videosorveglianza tra regole, principi e novità

Home » News & Press » La videosorveglianza tra regole, principi e novità

La videosorveglianza tra regole, principi e novità

0 Commenti

La videosorveglianza è un sistema di sicurezza che viene utilizzato da soggetti privati/pubblici per tutelare la sicurezza delle persone o del proprio patrimonio. Spesso viene utilizzata come strumento passivo di deterrenza, mentre in altre occasioni ricopre un ruolo attivo nella tutela di persone/beni. L’utilizzo della videosorveglianza però non è libero da regole. Infatti, può comportare diverse intrusioni nella privacy altrui ed esporre gli interessati a diversi rischi.

Videosorveglianza e GDPR

In base all’art. 4, par. 1 n. 7) del Regolamento UE 679/2016, nel momento in cui un soggetto, pubblico o privato, decide di avvalersi della videosorveglianza per conseguire una o più specifiche finalità, diventa Titolare del trattamento dei dati personali.
Quella del Titolare del trattamento è una figura centrale all’interno del GDPR sulla quale grava il principio di accountability (“responsabilizzazione”). In virtù di tale principio, «[…] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. […]» (art. 24, par. 1, GDPR).

Ciò significa che il Titolare del trattamento:

  • avrà la responsabilità di rispettare gli obblighi imposti dalla normativa vigente;
  • sarà anche tenuto ad adottare e a giustificare determinate scelte.

Pertanto, per fare le scelte migliori, è fondamentale individuare le principali regole che si applicano alla videosorveglianza.

Trattamento di dati personali: le fonti attualmente vigenti

Ad oggi, non esiste una norma di legge nazionale che disciplini l’utilizzo di sistemi di videosorveglianza. Tuttavia, vi è un provvedimento dell’Autorità Garante: il Provvedimento in materia di videosorveglianza del giorno 8 aprile 2010. Letto in un’ottica di compliance al GDPR, permette di svolgere un lecito e corretto trattamento di dati personali.

Tale provvedimento risulta necessario per bilanciare gli interessi delle parti coinvolte:

  • il diritto degli interessati a non essere oggetto di un trattamento illecito ed invasivo,
  • la necessità dei titolari del trattamento di tutelare persone e/o beni.

Naturalmente, è una fonte normativa in materia anche il GDPR, in quanto esso «[…] stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. […]» (art. 1, par. 1, GDPR).

Recentemente anche lo EDPB, in data 29 gennaio 2020, ha adottato delle linee guida in merito, intitolate “Guidelines 3/2019 on processing of personal data through video devices”, con lo scopo di aiutare l’applicazione del GDPR in relazione trattamento di dati personali eseguito tramite dispositivi video.
Queste possono essere considerate le maggiori fonti attualmente vigenti in materia di trattamento di dati personali tramite videosorveglianza.

Vi sono ulteriori provvedimenti di dettaglio relativi al contesto pubblico e privato. Ad esempio, il parere n. drep/ac/113990 del 7 marzo 2017 relativo ad un quesito sollevato il 23 dicembre 2016. In tale documento si chiarisce che se l’installazione di un sistema di videosorveglianza da parte di persone fisiche avviene per una finalità esclusivamente personale, senza trasmissione di informazioni a terzi o diffusione di dati, si è più liberi in termini di fornitura di informazioni agli interessati e di conservazione delle immagini, proprio a causa della finalità esclusivamente personale del trattamento.

LE PRINCIPALI REGOLE E PRINCIPI IN MATERIA DI VIDEOSORVEGLIANZA

In virtù delle fonti di cui sopra, attualmente l’adozione di un sistema di videosorveglianza può avvenire a condizione che si rispettino alcune regole e princìpi, in modo tale da garantire il rispetto dei diritti e delle libertà fondamentali degli interessati.

Trasparenza

Qualsiasi ricorso a sistemi di videosorveglianza deve essere effettuato per conseguire delle finalità che siano chiare, legittime e predeterminate.

In tal senso, è fondamentale informare adeguatamente gli interessati:

  • delle riprese effettuate;
  • delle finalità perseguite (che non devono essere troppo generiche: “per ragioni di sicurezza”; di chi? Di che cosa?);
  • della base giuridica del trattamento;
  • dell’eventuale Responsabile esterno al quale il trattamento è affidato o che può accedere alle informazioni.

Una caratteristica propria della videosorveglianza è il duplice piano di informazioni da rendere agli interessati. In altre parole, oltre all’informativa “estesa” da rendere ai sensi del GDPR (e che dovrà essere sempre disponibile e facilmente accessibile da parte degli interessati), il Titolare del trattamento deve informare gli interessati in merito al sistema di videosorveglianza prima che questi ultimi entrino nell’angolo di inquadratura delle telecamere. Questo “primo piano di informazione” era già presente anteriormente all’entrata in vigore del GDPR, e continua a valere tutt’ora.

Come può il Titolare del trattamento informare gli interessati prima che vengano ripresi?

La metodologia adottata è quella del cartello “Area videosorvegliata” oppure “Area sottoposta a videosorveglianza”. Tale segnaletica deve però essere:

  • Collocata prima del raggio di azione delle telecamere, altrimenti il trattamento di dati personali ha luogo senza che gli interessati siano stati preventivamente informati.
  • Posizionata in un luogo e ad un’altezza che consentano agli interessati di vederla facilmente: ciò significa che i cartelli posizionati negli angoli alti o bassi possono non risultare conformi, mentre può esserlo il cartello collocato alla cosiddetta “altezza occhio”.
  • Redatta in un formato che ne consenta una facile e rapida comprensione: considerata anche la necessità di non ideare un cartello di dimensioni eccessive, ma neppure troppo ridotte, si possono utilizzare dei simboli di uso comune.
  • Visibile in modo chiaro in ogni condizione di illuminazione ambientale, sì da informare gli interessati sempre e in modo adeguato.

Le Linee Guida dell’EDPB sopracitate suggeriscono un vero e proprio esempio di cartello che si può adottare e che permette di indicare tutte le informazioni da rendere agli interessati secondo questa modalità.
Inoltre, le medesime suggeriscono anche l’inserimento di un QR Code che renda immediatamente disponibile l’informativa “estesa” all’interessato.

Particolarmente rilevante è l’informazione in merito alle finalità che il Titolare del trattamento intende perseguire con la videosorveglianza. Infatti, come anche indicato dall’EDPB, finalità troppo vaghe come la “sicurezza” non possono essere considerate conformi alla normativa vigente. Questo perché non permettono agli interessati di comprendere appieno cosa intende conseguire il Titolare del trattamento. Si potrebbero fare invece delle considerazioni diverse ad esempio in relazione ad una finalità come la seguente “per finalità di sicurezza contro la commissione di furti, rapine e/o altri fatti illeciti o di reato”.

Liceità

La ripresa degli interessati, effettuata sia “live” sia con la conservazione delle immagini, deve obbligatoriamente fondarsi su una base giuridica.

Necessarietà e proporzionalità

Nel momento in cui il Titolare del trattamento deve scegliere una misura di sicurezza per la tutela del personale e/o dei propri beni, deve valutare attentamente la presenza di ulteriori misure che permettano di raggiungere lo stesso obiettivo in egual modo, eventualmente anche evitando in toto qualsiasi trattamento di dati personali.

Ad esempio, come suggerisce l’EDPB, nel caso in cui la finalità sia prevenire la commissione di furti, l’adozione di un sistema di videosorveglianza può essere un’ottima soluzione, ma non la migliore. Può darsi che, considerando diversi e ulteriori fattori, come le statistiche sui furti commessi in una determinata area geografica a danno di particolari attività economiche, la soluzione migliore sia l’implementazione di un sistema di illuminazione notturna dei locali, il quale, non solo potrebbe essere una soluzione più economica e con un effetto egualmente deterrente, ma permetterebbe anche di non effettuare alcun tipo di trattamento di dati personali.

Sicurezza

La sicurezza dei dati trattati tramite sistemi di sorveglianza richiede la valutazione di diversi fattori ed elementi.

Occorre infatti considerare:

  • i potenziali rischi di monitoraggio degli interessati,
  • chi può accedere alle immagini,
  • dove si possono visionare le riprese, come e per quanto tempo possono essere eventualmente conservati i video, etc.

Pertanto, il Titolare del trattamento è chiamato a scegliere le misure tecniche e organizzative più adeguate che possano garantire un livello di sicurezza adeguato al rischio (art. 32, par. 1, GDPR).

Esempio di una misura tecnica.
Il Titolare del trattamento deve individuare un locale chiuso per collocare il/i monitor della videosorveglianza. Così facendo limiterebbe l’accesso alle immagini a persone non autorizzate.

Esempio di una misura organizzativa.
Il Titolare del trattamento deve identificare ed autorizzare per iscritto tutte le persone fisiche coinvolte nel trattamento dei dati personali. Queste potranno avere compiti e privilegi diversi (visionare, copiare, cancellare le immagini).

IL RUOLO DELL’EDPB

Come più volte ricordato, lo European Data Protection Board (cd. EDPB, introdotto in sostituzione dell’ex WP29) il 29 gennaio 2020 ha adottato delle Linee Guida denominate “Guidelines 3/2019 on processing of personal data through video devices”, fornendo non poche indicazioni per l’applicazione più uniforme delle regole relative all’utilizzo di dispositivi video.

LE LINEE GUIDA DELL’EDPB

Tra i primi elementi chiarificatori forniti dall’EDPB troviamo che il GDPR non si applica:

  • all’utilizzo di telecamere che non comportino un trattamento di dati personali;
  • ai trattamenti «effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».

Per quest’ultima eccezione, la qualità di “personale o domestico” deve essere valutata considerando diversi fattori:

  • il potenziale impatto che le riprese possono avere sull’interessato,
  • la relazione tra il soggetto che effettua la ripresa e l’interessato,
  • la non diffusione delle immagini riprese.

Se, invece, il GDPR risulta applicabile, il Titolare del trattamento deve individuare la base giuridica che gli consenta di svolgere un trattamento di dati personali lecito.  Le basi giuridiche che risultano applicabili sono:

  • il legittimo interesse,
  • l’obbligo legale,
  • l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di poteri pubblici,
  • il consenso.

Attenzione: quest’ultima base giuridica dovrebbe essere scelta solamente in pochi casi eccezionali; infatti, la stessa natura di un sistema di videosorveglianza, il quale consente il monitoraggio di un numero indefinito di persone, rende molto difficile all’interessato la capacità di esprimere un consenso che sia libero, specifico, informato e inequivocabile.

Minori problemi sorgono invece in relazione al legittimo interesse: in questo caso, infatti, il titolare del trattamento potrà procedere al trattamento previa valutazione di prevalenza del proprio legittimo interesse rispetto a interessi, diritti e libertà fondamentali degli interessati, oltre che alle ragionevoli aspettative di questi ultimi derivanti dalla loro relazione con il Titolare del trattamento. Importante sarà comunque per il Titolare documentare il percorso di valutazione del proprio legittimo interesse e delle scelte effettuate, sì da poter adeguatamente giustificare l’adozione di questa base giuridica.

Trasmissione dati personali a terzi

Ulteriore aspetto problematico riguarda la trasmissione dei dati personali raccolti tramite la videosorveglianza a terzi: infatti, come specificato nelle Linee Guida dall’EDPB, ogni genere di trasmissione di informazioni personali è un trattamento a sé stante, rispetto al quale il Titolare del trattamento deve adottare una specifica base giuridica.

Sul tema, l’EDPB fornisce alcuni esempi: la trasmissione dei video alle Autorità competenti, previa loro richiesta, per lo svolgimento di un’indagine, trova la propria base giuridica nell’obbligo legale; invece, la diffusione delle immagini riprese trova la propria base giuridica nel consenso dell’interessato.
Ad ogni modo, è necessario che la trasmissione avvenga per una o più specifiche finalità che siano compatibili con le finalità di raccolta dei dati personali (art. 6, par. 4, GDPR).

Per concludere, occorre analizzare il rapporto intercorrente tra il Provvedimento dell’Autorità Garante dell’8 aprile 2010, il GDPR e le Linee Guida dell’EDPB.

Tra queste ultime due fonti non si pongono grossi problemi, in quanto le Linee Guida forniscono maggiori indicazioni per un’applicazione uniforme e coerente del GDPR in tutta l’Unione Europea in materia di videosorveglianza; ma non si può affermare la medesima cosa per il Provvedimento dell’Autorità Garante, in quanto fa riferimento ad una normativa, il D.Lgs. 196/2003, significativamente modificato dal D.Lgs. 101/2018.
L’art. 22, comma 4 del D.Lgs. 101/2018 prevede che «a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto».
Tuttavia, ad oggi, non vi è né una fonte normativa né un provvedimento dell’Autorità Garante che stabilisca quali provvedimenti continuino a trovare applicazione. Pertanto, occorre adottare un approccio interpretativo che mantenga sullo sfondo la conformità ai princìpi del GDPR.

Ciò è anche esplicitato dalle stesse Linee Guida, in quanto chiariscono che «gli Stati membri possono mantenere o introdurre una legislazione nazionale specifica per la videosorveglianza adattando l’applicazione delle prescrizioni del GDPR e determinando requisiti più precisi, specifici per il trattamento, purché siano conformi ai princìpi stabiliti dal GDPR».
Inoltre, l’art. 154-bis, comma 1, lettera a), D. Lgs. 196/2003, come novellato dal D. Lgs. 101/2018, attribuisce all’Autorità Garante il potere di «adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, anche per singoli settori e in applicazione dei principi di cui all’articolo 25 del Regolamento».
Ciò significa che i provvedimenti dell’Autorità Garante possono continuare a trovare applicazione purché nel rispetto di quanto stabilito dal GDPR.

IN CONCLUSIONE

La videosorveglianza risulta spesso uno strumento utile per la protezione delle persone/beni, ma non è esente da regole. Infatti, molte volte il trattamento di dati personali avviene senza aver condotto le valutazioni e le analisi richieste. Questo espone gli interessati a numerosi rischi.
All’interno del nuovo contesto sociale sempre più digitalizzato e tecnologico nel quale ci troviamo, è necessario aver ben chiaro la natura dello strumento che si sceglie di adottare, in modo tale da conoscere non solo a quali potenziali rischi ci si può esporre, ma anche come dover agire di conseguenza.

La protezione dei dati non è un’opzione, ma un diritto fondamentale.

Condividi questo post

Mostra messaggi correlati

01Set

AGM Solutions diventa partner OKTA

Siamo felici di comunicare che siamo diventati partner OKTA. Consapevoli di come la protezione delle identità digitali sia diventata... leggi di più

21Set

I settori più colpiti dal furto di dati

Possiamo dire che nessun settore è realmente immune da questo fenomeno; tuttavia, ce ne sono 4 che sembrano interessare... leggi di più

Certificazione UNI PdR 125:2022
11Gen

Abbiamo ottenuto la certificazione UNI/PdR 125:2022

Oggi siamo davvero orgogliosi di poter comunicare l’ottenimento della certificazione UNI PdR 125:2022 per la parità di genere. L’inclusività... leggi di più

22Apr

Raggiunto ESG Rating: A+: AGM Solutions celebra il suo impegno per la sostenibilità

AGM Solutions celebra il raggiungimento dell'ESG Rating: A+ e il suo Impegno verso la sostenibilità con eccellenza ambientale, sociale... leggi di più

15Gen

GDPR: il vantaggio della tecnologia

Nel corso degli anni, il concetto di "dato personale" ha assunto un concetto molto più ampio. Per questa... leggi di più

03Apr

I 10 lavori più richiesti del futuro

Siete pronti al cambiamento? Ammettiamolo, se da un lato siamo emozionati per i passi in avanti che sta compiendo la... leggi di più

Innovarion green
16Mag

Innovation Green

Per AGM Solutions, innovare significa creare un cambiamento positivo. La nostra forte propensione verso tutto ciò che può essere... leggi di più

25Set

I linguaggi di programmazione più richiesti

Con l'incessante avanzamento della tecnologia, gli sviluppatori sono diventati tra le figure professionali più ambite e richieste. Il mondo... leggi di più

20Dic

Cybersecurity e Intelligenza Artificiale: opportunità e minacce

L'intelligenza artificiale sta rivoluzionando il tema della sicurezza informatica, portando nuove opportunità nella lotta quotidiana alle crescenti minacce. leggi di più

22Apr

CONTACT TRACING

Lo scoppio della pandemia di COVID-19 ha sollevato numerosi problemi sulla gestione della privacy dei cittadini in tutto il... leggi di più

it_ITItaliano
en_GBEnglish (UK) it_ITItaliano