Tali linee guida sono importantissime e devono essere prese in considerazione da tutti i soggetti che hanno impianti di videosorveglianza, lo stesso comitato ha rimarcato il concetto che l’utilizzo di sistemi di videosorveglianza ha la possibilità di condizionare in modo considerevole il comportamento degli individui, sia con impianti “tradizionali” ed in modo più marcato tramite strumenti cosiddetti “intelligenti”.
Se tali strumenti da un lato possono essere atti a garantire la sicurezza, dall’altro possono ledere diritti dei soggetti interessati tra cui i diritti sindacali (all’interno del luogo di lavoro ad esempio).
È fondamentale che i Titolari del trattamento che utilizzano impianti di videosorveglianza, ed i responsabili del trattamento (es. istituti di vigilanza), adottino processi di valutazione preliminare e misure tecniche procedurali ed organizzative adeguate in grado di garantire la liceità dei trattamenti.
Cosa prevedono, in sintesi, le Linee guida relativamente a:
Persone fisiche. Le linee guida non trovano applicazione nei casi in cui l’impianto di videosorveglianza sia utilizzato da persone fisiche nell’ambito della propria vita domestica ed in alcuni altri casi particolari. Attenzione per i soggetti privati possono essere violati altri precetti normativi previsti dal Codice penale (illecite interferenze nella vita privata ad esempio);
Base giuridica. In linea generale il Comitato individua la base giuridica nel legittimo interesse (art. 6 comma 1, lett. F GDPR), che deve sempre essere oggetto di bilanciamento con gli altri diritti dei soggetti interessati o nella sussistenza di un interesse pubblico (art. 6, comma 1 lett. e GDPR). La valutazione del bilanciamento di interessi deve essere effettiva e comprovabile;
Informative. Le informative devono essere conformi a quanto previsto dall’art.13 del Reg. UE 2016/679. È necessario predisporre e fornire idonea informativa agli interessati circa l’esistenza di un impianto di videosorveglianza, sia mediante un’informativa semplificata (“vignetta”) sia tramite un’informativa completa. In merito occorre tener conto che la struttura dell’informativa breve e di quella estesa sono molto diverse dalle versioni legate alla precedente normativa. Le informative devono essere redatte in ragione della specificità dei soggetti interessati; in merito, ad esempio, l’informativa per i visitatori e quella per i dipendenti contengono informazioni differenti;
Conservazione dei Dati. Il Comitato ha ribadito che i dati trattati dovranno essere conservati per il periodo strettamente necessario per le finalità – esplicite, determinate, legittime – perseguite e riportate nell’informativa. Ne consegue che è assolutamente necessario valutare tali tempistiche anche in ragione di altre norme che impattano sul trattamento (ad esempio legge 300/70 “statuto dei lavoratori” in caso di impianti in aree lavorative. In tal caso il periodo di conservazione di 24 ore è un termine ragionevole, oltre tale termine devono essere effettuate valutazioni adeguate);
Misure di Sicurezza. È assolutamente necessario che le misure di sicurezza tecniche, procedurali ed organizzative siano pensate, progettate, valutate e verificate secondo i principi di privacy “by design” e “by default”. È fondamentale la gestione degli accessi alle immagini della videosorveglianza, come le modalità di cancellazione ed estrazione, nonché il rapporto con fornitori di servizi che supportano il titolare nella gestione degli impianti;
Particolari situazioni. Devono essere valutati con particolare attenzione gli usi di impianti di videosorveglianza per il trattamento di dati particolari (ospedali, cliniche, minori, dati biometrici…). In situazioni particolari il livello di attenzione deve essere ulteriormente innalzato e, di conseguenza, la valutazione dei rischi connessi all’impianto ed ai trattamenti effettuati deve essere ancora più dettagliata.
Dopo la pubblicazione delle linee guida n. 3/2019 da parte dell’EDPB nessun titolare del trattamento può permettersi un impianto di videosorveglianza non in regola con il GDPR: per l’Italia, comunque, resta sempre valido il provvedimento del Garante dell’8 aprile 2010.
Il nuovo intervento del Comitato Europeo per la Protezione dei Dati suggerisce di riesaminare il trattamento dei dati personali effettuato attraverso il sistema di videosorveglianza alla luce dei nuovi indirizzi, prevedendo:
l’effettuazione di una valutazione del proprio impianto che prenda in considerazione l’interesse legittimo del titolare, gli interessi ed altri diritti dei soggetti interessati ivi compresi i diritti sindacali;
la verifica del funzionamento dell’impianto (es. Esistono accessi da remoto? Se sì perché? Chi sono gli autorizzati? A quali immagini, con quali procedure e per quali ragioni è previsto l’accesso? Con quali garanzie gli autorizzati possono accedere alle stesse?);
la verifica di quali misure di sicurezza siano state implementate e se le stesse sono davvero adottate;
la verifica di conformità dell’impianto ad eventuali accordi sindacali/autorizzazioni dell’Ispettorato del lavoro che ne autorizzano l’installazione (in caso di impianti in ambito lavorativo vedi l’art.4 della legge 300/70);
la redazione di informative complete e brevi (c.d. “vignette”) conformi alle nuove indicazioni e la loro concreta adozione;
l’aggiornamento/redazione dei contratti con i fornitori di servizi tecnologici che supportano il titolare nella gestione dell’impianto, contrattualizzando gli stessi anche per le funzioni di responsabile del trattamento;
la valutazione dell’eventuale necessità della figura del DPO per la propria realtà Aziendale;
l’aggiornamento del registro dei trattamenti e la connessa valutazione del rischio;
l’aggiornamento delle nomine dei soggetti autorizzati al trattamento, fornendo/aggiornando le istruzioni agli stessi.
Marco Trombadore – Consulente Privacy e DPO
