Videosorveglianza e protezione dei dati personali: le nuove FAQ
Pubblicate il 5 dicembre le nuove FAQ in materia di videosorveglianza con indicazioni valide per l'ambito pubblico e privato riguardanti il nuovo cartello informativo, i termini di conservazione delle immagini, i principi di minimizzazione e di responsabilizzazione, la non applicabilità della normativa privacy se non è è possibile identificare le persone.
La sempre maggiore diffusione dell’impiego della videosorveglianza e di soluzioni sempre più performanti ci porta costantemente a cogliere i vantaggi ed il valore della tecnologia nei diversi ambiti applicativi, con l’obiettivo di tutelare e garantire sempre più la sicurezza di reti e sistemi, delle infrastrutture e la tutela di diritti e libertà dei soggetti coinvolti.
Dopo il Reg. UE 2016/679 (GDPR) e dopo le linee guida dell’EDPB (Comitato Europeo per la Protezione dei Dati) anche la nostra Autorità Garante per la protezione dei dati personali, valutati i reclami, le segnalazioni e le richieste pervenute da più parti e, soprattutto, vista la necessità di esaminare le prescrizioni ormai superate del provvedimento del 2010, non poteva non intervenire per chiarire alcuni aspetti di fondamentale importanza che riguardano la videosorveglianza e la protezione dei dati.
Il 05 dicembre scorso sono state così pubblicate da parte dell’Autorità Garante le FAQ in materia di videosorveglianza con indicazioni di carattere generale valide tanto per l’ambito pubblico quanto privato. Linee guida e GDPR sono i riferimenti normativi (oltre ad eventuali norme di settore se applicabili) e che hanno ispirato i chiarimenti delle FAQ.
Il nuovo cartello informativo
Diversi i passaggi, ad esempio, che richiamano le linee guida divenute definitive a gennaio di quest’anno (linee guida EDPB n. 3/2018) e tra questi, è molto importante il chiarimento in merito al "nuovo cartello informativo".
In merito all’informativa sintetica è stato proposto infatti un nuovo cartello ora scaricabile nella versione aggiornata.
All’interno del cartello devono essere indicati:
• riferimenti del Titolare del trattamento
• i contatti del DPO (se applicabile),
• i tempi di conservazione, le finalità perseguite
• i riferimenti per l’esercizio dei diritti degli interessati
• dev’essere indicato poi un rinvio a un testo esteso (informativa completa) contenente tutti gli elementi di cui all'art. 13 GDPR indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o presso i locali)
• nessun utilizzo del codice QR è riportato invece nel modello proposto dall’Autorità Garante.
Il Garante chiarisce, riprendendo la necessità in merito alla corretta collocazione dei cartelli, che “l’interessato deve poter capire quale zona sia coperta da una telecamera, in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.
La conservazione delle immagini
Altro tema è quello della conservazione delle immagini.
L’elemento, in questo caso dell’autovalutazione e della scelta lasciata al Titolare del trattamento, è posto al centro dell’indicazione data. Non sono state indicate prescrizioni ma sono stati ripresi i principi normativi e sulla base di questi riportati possibili esempi.
“Le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (art. 5, paragrafo 1, lett. c) ed e), del Regolamento). In base al principio di responsabilizzazione (art. 5, paragrafo 2, del Regolamento), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
Il Garante chiarisce inoltre che, nella maggior parte dei casi (fuori dai casi tipici in cui norme specifiche dettano tempi di conservazione determinati, si pensi alla sicurezza pubblica), gli scopi quali la sicurezza e la protezione del patrimonio comportano che solitamente sia possibile individuare eventuali danni entro uno o due giorni.
“Tenendo conto dei principi di minimizzazione dei dati e limitazione della conservazione, i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.”
Nel caso sia possibile il verificarsi di atti vandalici o altri eventi facilmente accertabili in minor tempo, ecco allora che viene richiamato il termine di 24 ore ritenendolo sufficiente, fatta salva la giustificata scelta di conservazione per più ore in caso chiusura nei fine settimana o in periodi festivi più lunghi.
Sarà il Titolare a dover dunque argomentare - e correttamente gestire anche documentalmente - la scelta fatta in merito ai tempi di conservazione che dovranno rispondere ai requisiti richiamati, potendo l’Autorità ovviamente controllare e verificare ex post la correttezza e la congruità delle valutazioni fatte.
Il principio di responsabilizzazione e non solo
In più passaggi è stato richiamato il fondamentale principio di minimizzazione così come gli ulteriori principi di pertinenza e non eccedenza mettendo in evidenza il principio di responsabilizzazione (accountability) e, dunque, il ruolo del Titolare al quale spetta ogni necessaria valutazione (dove necessario svolgendo anche una valutazione di impatto), tenendo conto delle finalità e del contesto per poter garantire un trattamento lecito e tutelare i soggetti coinvolti.
Sulla valutazione di impatto, il Garante ha riportato esempi come la sorveglianza su larga scala o il caso di sistemi integrati o intelligenti (capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli).
Nelle FAQ sono inoltre riportati chiarimenti inerenti gli ambiti più discussi - si pensi ai condomini, agli istituti scolastici o ai trattamenti in ambito pubblico (es. per il controllo delle discariche o per le infrazioni inerenti le violazioni del codice della strada) - così come si richiama la necessità di far riferimento quanto ai luoghi di lavoro, alla disciplina dettata dallo Statuto dei lavoratori potendosi invece escludere l’applicazione della normativa nei casi di videosorveglianza casalinga.
Da ultimo, l’Autorità Garante precisa, a conferma di un orientamento in più occasioni richiamato, come nei casi di sistemi e soluzioni che non consentano di identificare le persone direttamente o indirettamente, non si applica la normativa privacy alla videosorveglianza, poiché non si raccolgono dati personali e alcun impatto è possibile quanto ai diritti e alle libertà dei soggetti coinvolti. Dunque, ancora una volta, l’attenzione ricade sulle scelte che devono essere fatte anche per quanto riguarda i sistemi e le soluzioni possibili per perseguire le finalità consentite.
A cura dell'avv. Maria Cupolo | In caso di riproduzione citare la fonte