La videosorveglianza tra regole, principi e novità

Le responsabilità dei Titolari del trattamento dati

La videosorveglianza tra regole, principi e novità

La videosorveglianza è un sistema di sicurezza che viene utilizzato da soggetti privati/pubblici per tutelare la sicurezza delle persone o del proprio patrimonio. Spesso viene utilizzata come strumento passivo di deterrenza, mentre in altre occasioni ricopre un ruolo attivo nella tutela di persone/beni. L’utilizzo della videosorveglianza però non è libero da regole. Infatti, può comportare diverse intrusioni nella privacy altrui ed esporre gli interessati a diversi rischi.

Videosorveglianza e GDPR

In base all’art. 4, par. 1 n. 7) del Regolamento UE 679/2016, nel momento in cui un soggetto, pubblico o privato, decide di avvalersi della videosorveglianza per conseguire una o più specifiche finalità, diventa Titolare del trattamento dei dati personali.
Quella del Titolare del trattamento è una figura centrale all’interno del GDPR sulla quale grava il principio di accountability (“responsabilizzazione”). In virtù di tale principio, «[…] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. […]» (art. 24, par. 1, GDPR).

Ciò significa che il Titolare del trattamento:

  • avrà la responsabilità di rispettare gli obblighi imposti dalla normativa vigente;
  • sarà anche tenuto ad adottare e a giustificare determinate scelte.

 

Pertanto, per fare le scelte migliori, è fondamentale individuare le principali regole che si applicano alla videosorveglianza.

Trattamento di dati personali: le fonti attualmente vigenti

Ad oggi, non esiste una norma di legge nazionale che disciplini l’utilizzo di sistemi di videosorveglianza. Tuttavia, vi è un provvedimento dell’Autorità Garante: il Provvedimento in materia di videosorveglianza del giorno 8 aprile 2010. Letto in un’ottica di compliance al GDPR, permette di svolgere un lecito e corretto trattamento di dati personali.

Tale provvedimento risulta necessario per bilanciare gli interessi delle parti coinvolte:

  • il diritto degli interessati a non essere oggetto di un trattamento illecito ed invasivo,
  • la necessità dei titolari del trattamento di tutelare persone e/o beni.

 

Naturalmente, è una fonte normativa in materia anche il GDPR, in quanto esso «[…] stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. […]» (art. 1, par. 1, GDPR).

Recentemente anche lo EDPB, in data 29 gennaio 2020, ha adottato delle linee guida in merito, intitolate “Guidelines 3/2019 on processing of personal data through video devices”, con lo scopo di aiutare l’applicazione del GDPR in relazione trattamento di dati personali eseguito tramite dispositivi video.
Queste possono essere considerate le maggiori fonti attualmente vigenti in materia di trattamento di dati personali tramite videosorveglianza.

Vi sono ulteriori provvedimenti di dettaglio relativi al contesto pubblico e privato. Ad esempio, il parere n. drep/ac/113990 del 7 marzo 2017 relativo ad un quesito sollevato il 23 dicembre 2016. In tale documento si chiarisce che se l’installazione di un sistema di videosorveglianza da parte di persone fisiche avviene per una finalità esclusivamente personale, senza trasmissione di informazioni a terzi o diffusione di dati, si è più liberi in termini di fornitura di informazioni agli interessati e di conservazione delle immagini, proprio a causa della finalità esclusivamente personale del trattamento.

LE PRINCIPALI REGOLE E PRINCIPI IN MATERIA DI VIDEOSORVEGLIANZA

In virtù delle fonti di cui sopra, attualmente l’adozione di un sistema di videosorveglianza può avvenire a condizione che si rispettino alcune regole e princìpi, in modo tale da garantire il rispetto dei diritti e delle libertà fondamentali degli interessati.

Trasparenza

Qualsiasi ricorso a sistemi di videosorveglianza deve essere effettuato per conseguire delle finalità che siano chiare, legittime e predeterminate.

In tal senso, è fondamentale informare adeguatamente gli interessati:

  • delle riprese effettuate;
  • delle finalità perseguite (che non devono essere troppo generiche: “per ragioni di sicurezza”; di chi? Di che cosa?);
  • della base giuridica del trattamento;
  • dell’eventuale Responsabile esterno al quale il trattamento è affidato o che può accedere alle informazioni.

 

Una caratteristica propria della videosorveglianza è il duplice piano di informazioni da rendere agli interessati. In altre parole, oltre all’informativa “estesa” da rendere ai sensi del GDPR (e che dovrà essere sempre disponibile e facilmente accessibile da parte degli interessati), il Titolare del trattamento deve informare gli interessati in merito al sistema di videosorveglianza prima che questi ultimi entrino nell’angolo di inquadratura delle telecamere. Questo “primo piano di informazione” era già presente anteriormente all’entrata in vigore del GDPR, e continua a valere tutt’ora.

Come può il Titolare del trattamento informare gli interessati prima che vengano ripresi?

La metodologia adottata è quella del cartello “Area videosorvegliata” oppure “Area sottoposta a videosorveglianza”. Tale segnaletica deve però essere:

  • Collocata prima del raggio di azione delle telecamere, altrimenti il trattamento di dati personali ha luogo senza che gli interessati siano stati preventivamente informati.
  • Posizionata in un luogo e ad un’altezza che consentano agli interessati di vederla facilmente: ciò significa che i cartelli posizionati negli angoli alti o bassi possono non risultare conformi, mentre può esserlo il cartello collocato alla cosiddetta “altezza occhio”.
  • Redatta in un formato che ne consenta una facile e rapida comprensione: considerata anche la necessità di non ideare un cartello di dimensioni eccessive, ma neppure troppo ridotte, si possono utilizzare dei simboli di uso comune.
  • Visibile in modo chiaro in ogni condizione di illuminazione ambientale, sì da informare gli interessati sempre e in modo adeguato.

Le Linee Guida dell’EDPB sopracitate suggeriscono un vero e proprio esempio di cartello che si può adottare e che permette di indicare tutte le informazioni da rendere agli interessati secondo questa modalità.
Inoltre, le medesime suggeriscono anche l’inserimento di un QR Code che renda immediatamente disponibile l’informativa “estesa” all’interessato.

Particolarmente rilevante è l’informazione in merito alle finalità che il Titolare del trattamento intende perseguire con la videosorveglianza. Infatti, come anche indicato dall’EDPB, finalità troppo vaghe come la “sicurezza” non possono essere considerate conformi alla normativa vigente. Questo perché non permettono agli interessati di comprendere appieno cosa intende conseguire il Titolare del trattamento. Si potrebbero fare invece delle considerazioni diverse ad esempio in relazione ad una finalità come la seguente “per finalità di sicurezza contro la commissione di furti, rapine e/o altri fatti illeciti o di reato”.

Liceità

La ripresa degli interessati, effettuata sia “live” sia con la conservazione delle immagini, deve obbligatoriamente fondarsi su una base giuridica.

Necessarietà e proporzionalità

Nel momento in cui il Titolare del trattamento deve scegliere una misura di sicurezza per la tutela del personale e/o dei propri beni, deve valutare attentamente la presenza di ulteriori misure che permettano di raggiungere lo stesso obiettivo in egual modo, eventualmente anche evitando in toto qualsiasi trattamento di dati personali.

Ad esempio, come suggerisce l’EDPB, nel caso in cui la finalità sia prevenire la commissione di furti, l’adozione di un sistema di videosorveglianza può essere un’ottima soluzione, ma non la migliore. Può darsi che, considerando diversi e ulteriori fattori, come le statistiche sui furti commessi in una determinata area geografica a danno di particolari attività economiche, la soluzione migliore sia l’implementazione di un sistema di illuminazione notturna dei locali, il quale, non solo potrebbe essere una soluzione più economica e con un effetto egualmente deterrente, ma permetterebbe anche di non effettuare alcun tipo di trattamento di dati personali.

Sicurezza

La sicurezza dei dati trattati tramite sistemi di sorveglianza richiede la valutazione di diversi fattori ed elementi.

Occorre infatti considerare:

  • i potenziali rischi di monitoraggio degli interessati,
  • chi può accedere alle immagini,
  • dove si possono visionare le riprese, come e per quanto tempo possono essere eventualmente conservati i video, etc.

 

Pertanto, il Titolare del trattamento è chiamato a scegliere le misure tecniche e organizzative più adeguate che possano garantire un livello di sicurezza adeguato al rischio (art. 32, par. 1, GDPR).

Esempio di una misura tecnica.
Il Titolare del trattamento deve individuare un locale chiuso per collocare il/i monitor della videosorveglianza. Così facendo limiterebbe l’accesso alle immagini a persone non autorizzate.

Esempio di una misura organizzativa.
Il Titolare del trattamento deve identificare ed autorizzare per iscritto tutte le persone fisiche coinvolte nel trattamento dei dati personali. Queste potranno avere compiti e privilegi diversi (visionare, copiare, cancellare le immagini).

IL RUOLO DELL’EDPB

Come più volte ricordato, lo European Data Protection Board (cd. EDPB, introdotto in sostituzione dell’ex WP29) il 29 gennaio 2020 ha adottato delle Linee Guida denominate “Guidelines 3/2019 on processing of personal data through video devices”, fornendo non poche indicazioni per l’applicazione più uniforme delle regole relative all’utilizzo di dispositivi video.

LE LINEE GUIDA DELL’EDPB

Tra i primi elementi chiarificatori forniti dall’EDPB troviamo che il GDPR non si applica:

  • all’utilizzo di telecamere che non comportino un trattamento di dati personali;
  • ai trattamenti «effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».

 

Per quest’ultima eccezione, la qualità di “personale o domestico” deve essere valutata considerando diversi fattori:

  • il potenziale impatto che le riprese possono avere sull’interessato,
  • la relazione tra il soggetto che effettua la ripresa e l’interessato,
  • la non diffusione delle immagini riprese.

 

Se, invece, il GDPR risulta applicabile, il Titolare del trattamento deve individuare la base giuridica che gli consenta di svolgere un trattamento di dati personali lecito.  Le basi giuridiche che risultano applicabili sono:

  • il legittimo interesse,
  • l’obbligo legale,
  • l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di poteri pubblici,
  • il consenso.

 

Attenzione: quest’ultima base giuridica dovrebbe essere scelta solamente in pochi casi eccezionali; infatti, la stessa natura di un sistema di videosorveglianza, il quale consente il monitoraggio di un numero indefinito di persone, rende molto difficile all’interessato la capacità di esprimere un consenso che sia libero, specifico, informato e inequivocabile.

Minori problemi sorgono invece in relazione al legittimo interesse: in questo caso, infatti, il titolare del trattamento potrà procedere al trattamento previa valutazione di prevalenza del proprio legittimo interesse rispetto a interessi, diritti e libertà fondamentali degli interessati, oltre che alle ragionevoli aspettative di questi ultimi derivanti dalla loro relazione con il Titolare del trattamento. Importante sarà comunque per il Titolare documentare il percorso di valutazione del proprio legittimo interesse e delle scelte effettuate, sì da poter adeguatamente giustificare l’adozione di questa base giuridica.

Trasmissione dati personali a terzi

Ulteriore aspetto problematico riguarda la trasmissione dei dati personali raccolti tramite la videosorveglianza a terzi: infatti, come specificato nelle Linee Guida dall’EDPB, ogni genere di trasmissione di informazioni personali è un trattamento a sé stante, rispetto al quale il Titolare del trattamento deve adottare una specifica base giuridica.

Sul tema, l’EDPB fornisce alcuni esempi: la trasmissione dei video alle Autorità competenti, previa loro richiesta, per lo svolgimento di un’indagine, trova la propria base giuridica nell’obbligo legale; invece, la diffusione delle immagini riprese trova la propria base giuridica nel consenso dell’interessato.
Ad ogni modo, è necessario che la trasmissione avvenga per una o più specifiche finalità che siano compatibili con le finalità di raccolta dei dati personali (art. 6, par. 4, GDPR).

Per concludere, occorre analizzare il rapporto intercorrente tra il Provvedimento dell’Autorità Garante dell’8 aprile 2010, il GDPR e le Linee Guida dell’EDPB.

 

Tra queste ultime due fonti non si pongono grossi problemi, in quanto le Linee Guida forniscono maggiori indicazioni per un’applicazione uniforme e coerente del GDPR in tutta l’Unione Europea in materia di videosorveglianza; ma non si può affermare la medesima cosa per il Provvedimento dell’Autorità Garante, in quanto fa riferimento ad una normativa, il D.Lgs. 196/2003, significativamente modificato dal D.Lgs. 101/2018.
L’art. 22, comma 4 del D.Lgs. 101/2018 prevede che «a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto».
Tuttavia, ad oggi, non vi è né una fonte normativa né un provvedimento dell’Autorità Garante che stabilisca quali provvedimenti continuino a trovare applicazione. Pertanto, occorre adottare un approccio interpretativo che mantenga sullo sfondo la conformità ai princìpi del GDPR.

Ciò è anche esplicitato dalle stesse Linee Guida, in quanto chiariscono che «gli Stati membri possono mantenere o introdurre una legislazione nazionale specifica per la videosorveglianza adattando l’applicazione delle prescrizioni del GDPR e determinando requisiti più precisi, specifici per il trattamento, purché siano conformi ai princìpi stabiliti dal GDPR».
Inoltre, l’art. 154-bis, comma 1, lettera a), D. Lgs. 196/2003, come novellato dal D. Lgs. 101/2018, attribuisce all’Autorità Garante il potere di «adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, anche per singoli settori e in applicazione dei principi di cui all’articolo 25 del Regolamento».
Ciò significa che i provvedimenti dell’Autorità Garante possono continuare a trovare applicazione purché nel rispetto di quanto stabilito dal GDPR.

IN CONCLUSIONE

La videosorveglianza risulta spesso uno strumento utile per la protezione delle persone/beni, ma non è esente da regole. Infatti, molte volte il trattamento di dati personali avviene senza aver condotto le valutazioni e le analisi richieste. Questo espone gli interessati a numerosi rischi.
All’interno del nuovo contesto sociale sempre più digitalizzato e tecnologico nel quale ci troviamo, è necessario aver ben chiaro la natura dello strumento che si sceglie di adottare, in modo tale da conoscere non solo a quali potenziali rischi ci si può esporre, ma anche come dover agire di conseguenza.

La protezione dei dati non è un’opzione, ma un diritto fondamentale.