Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB) il 29 gennaio 2020 ha adottato la versione definitiva delle linee guida sui trattamenti di videosorveglianza – Guidelines 3/2019 on processing of personal data through video devices – che chiariscono in quali termini il Regolamento 2016/679 UE (GDPR) si applichi al trattamento dei dati personali mediante dispositivi video e anche di raccolta di immagini fotografiche. Tali linee guida si affiancano al Provvedimento del Garante dell’8 aprile 2010 – ancora in vigore nelle parti compatibili con il Regolamento 2016/679 UE (GDPR).
L’utilizzo di impianti di videosorveglianza sta diventando sempre più diffuso con impatti enormi su privacy e trattamento dei dati personali. Per questi motivi adottare presidi formali, digitali e organizzativi in grado di contrastare l’utilizzo improprio degli impianti di videosorveglianza che esulino dagli scopi legati a esigenze organizzativo-produttive, a motivi legati alla sicurezza sul lavoro o alla tutela del patrimonio aziendale se parliamo di luoghi di lavoro o di sicurezza in termini generali.
Lo scopo delle Linee guida europee adottate il 29 gennaio scorso è quello di fornire puntuali indicazioni sulla corretta applicazione del GDPR quando il trattamento dei dati avviene attraverso l’acquisizione degli stessi tramite apparati video o fotografici.
Cosa dicono le linee guida dell’EDPB
Le linee guida precisano, in primo luogo, che «la videosorveglianza non è di default una necessità quando esistono altri mezzi per raggiungere la medesima finalità». Prima di installare un sistema di videosorveglianza è quindi sempre necessario valutare se sia possibile adottare misure di sicurezza alternative (recinzioni, nuove serrature o nuovi portoni di ingresso, migliori illuminazioni, pattugliamento del personale di sicurezza).
In secondo luogo, nell’ambito del generale principio di minimizzazione è necessario valutare se la misura è adeguata e necessaria rispetto alla finalità (es.: un sistema di videosorveglianza per la protezione del patrimonio aziendale è sufficiente che sia attivo solo al di fuori dell’orario di lavoro?)
I punti più interessanti delle nuove linee guida sono in sintesi:
- una chiara delimitazione degli ambiti di applicazione del GDPR, con l’esplicita esclusione dei seguenti casi: telecamere finte, registrazioni effettuate da un’altitudine elevata, videocamere integrate in un autoveicolo per l’assistenza al parcheggio se non raccoglie informazioni relative a una persona fisica e attività puramente personale o domestica
- un’analisi dettagliata del legittimo interesse come base giuridica della videosorveglianza: la liceità del trattamento deriva dal un corretto bilanciamento tra gli interessi del titolare e quelli degli interessati, dalla necessaria minimizzazione dei dati e dall’impraticabilità di altri sistemi di controllo (meno invasivi) idonei a raggiungere il medesimo scopo
- l’autonomia normativa della divulgazione a terzi delle immagini: la comunicazione individuale, la pubblicazione online o la messa a disposizione di un filmato a un terzo, comprese le forze dell’ordine, è un processo indipendente, che richiede una giustificazione separata per il soggetto controllore.
- necessità di consenso espresso e informato per il trattamento di categorie particolari di dati, come i dati biometrici
- limiti di durata della conservazione dei dati
- l’obbligo di trasparenza e informazione: è necessario apporre un cartello di avvertimento con informazioni di primo livello, in combinazione con un’icona per fornire, in modo facilmente visibile, comprensibile e chiaramente leggibile, una visione sommaria del trattamento in concorso con altri strumenti informativi (presidi di secondo livello) da somministrare agli interessati sia in formato digitare sia in formato cartacei. L’avviso va posizionato in un’area che precede la zona monitorata e all’altezza degli occhi degli interessati.
Facsimile segnaletica proposta dal Comitato Europeo Protezione Dati
In quali casi non si applica il GDPR
Il GDPR non trova applicazione:
- in caso di telecamere finte in quanto non acquisiscono dati personali;
- registrazioni fatte da altitudini elevate se i dati non sono collegati a una persona specifica;
- videocamere integrate in un’auto per l’assistenza al parcheggio degli autoveicoli se non raccolgono informazioni relative a una persona fisica;
- attività personale o domestica quando è relativa solo alle attività che si svolgono nell’ambito della vita privata o familiare delle persone.
Regole per il trattamento lecito dei dati e principi generali
Le linee guida stabiliscono le regole da rispettare quando la videosorveglianza viene utilizzata con scopi di monitoraggio:
- gli scopi di monitoraggio devono essere documentati in forma scritta e specificati per ogni videocamera in uso
- i soggetti che saranno ripresi dovranno essere preventivamente informati delle finalità e sulle modalità di trattamento (ex Art. 13 GDPR)
- i dati personali acquisiti devono essere trattati in modo lecito, equo e trasparente nei confronti degli interessati
Naturalmente resta inalterata la necessità di un accordo sindacale o dell’istanza alla Direzione Territoriale per il Lavoro (DTL) quando gli impianti di videosorveglianza vengono installati sui luoghi di lavoro.
Inoltre, non devono essere trascurati i seguenti principi generali affinché il monitoraggio sia conforme alla legge.
La videosorveglianza solo come ultima soluzione
Prima di ricorrere a un sistema di videosorveglianza occorre verificare che sia idoneo, adeguato e necessario a perseguire gli obiettivi prestabiliti. Nel caso in cui esistano sistemi alternativi e ugualmente efficaci è opportuno valutarli e adottarli. Nel caso in cui si decida per l’installazione di un impianto di videosorveglianza occorre valutare dove e quando sono strettamente necessarie.
Liceità della videosorveglianza
La videosorveglianza è lecita quando persegue un interesse legittimo legale, economico non materiale, che sia reale e attuale, a meno che gli interessi, i diritti e le libertà degli interessati dal trattamento non siano prevalenti (es.: interesse legittimo è l’esigenza di tutelare la proprietà privata da eventuali furti).
Conservazione e cancellazione dei dati
Le linee guida chiariscono che è possibile utilizzare soluzioni con scatola nera (black box) con eliminazione, quindi, delle registrazioni con sistemi di sovrascrittura dopo un determinato periodo di tempo di tempo oppure il monitoraggio in tempo reale senza alcuna registrazione dipendentemente dalle finalità perseguite (es.: se la finalità fosse quella di raccogliere delle prove, la soluzioni con scatola nera è quella praticabile; se, invece, fosse stato designato del personale pronto ad intervenire in caso di intrusioni, il monitoraggio in tempo reale è più che sufficiente. Il Titolare del trattamento infine, prima di attivare un impianto di videosorveglianza, è tenuto a valutare anche tutte le misure tecniche e organizzative finalizzate a garantire che i sistemi siano sicuri.
I dati devono essere conservati per il tempo strettamente necessario alle finalità da perseguire. Come regola indicativa generale i dati devono essere cancellati in modo automatico dopo 24 o 48 ore. Se vengono conservati per periodi più lunghi o sono casi specifici (es.: banche) oppure occorre fornire adeguata motivazione al riguardo oppure chiedere una speciale deroga all’Autorità garante per la protezione dei dati.
Bilanciamento degli interessi e aspettative degli interessati
Gli interessi legittimi di chi decide di utilizzare il sistema di videosorveglianza non possono travalicare gli interessi e le libertà fondamentali dei soggetti ripresi (interessati). Occorre ogni volta effettuare un adeguato bilanciamento dei valori in campo (balancing test). Il bilanciamento deve essere effettuato volta per volta tenendo conto di alcuni fattori importanti come le dimensioni dell’area da sorvegliare, il numero dei soggetti sotto sorveglianza il patrimonio, ecc.
Occorre inoltre considerare le aspettative (ragionevoli) degli interessati. Un dipendente infatti non si aspetta di essere sorvegliato dal suo datore di lavoro, così come non si aspettano di essere ripresi i soggetti che si trovano in aree private, mentre sono sottoposti a esami medici o mentre entrano da un medico specialista. In questi casi, le Linee guida affermano che «gli interessi o i diritti e le libertà dell’interessato prevalgono spesso sugli interessi legittimi del responsabile del trattamento.» quindi, non è sufficiente avvisare con un cartello della presenza delle telecamere per essere esonerati da ogni responsabilità nei confronti degli interessati.
Interesse pubblico ed esercizio di pubblici poteri
I dati personali possono essere trattati mediante la videosorveglianza se necessario per l’espletamento di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Gli Stati membri possono mantenere o introdurre ex novo una legislazione specifica sulla videosorveglianza per adattarsi alle regole del GDPR, stabilendo con maggiore precisione i requisiti specifici per il trattamento, purché essi siano conformi ai principi stabiliti del GDPR.
Consenso dell’interessato
Fatti salvi casi di controllo sistematico quando è necessario attivare la videosorveglianza è obbligatorio acquisire il consenso informato, libero e specifico da parte di ogni interessato. Un caso particolare – già citato – riguarda la sorveglianza sui luoghi di lavoro per la quale è necessario un accordo sindacale o l’autorizzazione delle Direzioni Territoriali del Lavoro.
Divulgazione filmati a terzi
La comunicazione individuale, la pubblicazione anche online o la messa a disposizione in qualsiasi modo di un filmato a un terzo, comprese la pubblica autorità o le forze dell’ordine, è un processo indipendente, che richiede una giustificazione separata da parte del titolare del trattamento dei dati, che nel caso della trasmissione alla pubblica autorità o forze dell’ordine trova motivazione nell’obbligo giuridico di collaborazione con le stesse. In questi casi il trattamento dei dati non seguirà le regole del GDPR, ma normative specifiche.
Categorie particolari di dati
I sistemi di videosorveglianza raccolgono enormi quantità di dati da cui si possono ricavare (anche indirettamente) categorie particolari di dati (es.: riprese di persone che stanno partecipando a una manifestazione politica; videocamera che monitora lo stato di salute di una persona; videocamera che sorveglia un centro di riabilitazione) in questi casi il titolare del trattamento deve giustificare in modo molto preciso e fondato le ragioni che lo costringono a utilizzare proprio lo strumento della ripresa video.
Come precisano le linee guida «il trattamento di categorie speciali di dati richiede una maggiore e costante vigilanza su determinati obblighi; ad esempio, un elevato livello di sicurezza e una valutazione d’impatto sulla protezione dei dati, se necessario.»
I dati biometrici
Una categoria di dati che comporta parecchi rischi per gli interessati è quella dei biometrici.
I titolari/responsabili del trattamento devono valutarne l’impatto sui soggetti e sui loro diritti e prendere in considerazione sistemi meno invasivi per raggiungere le loro finalità. Il GDPR definisce il trattamento di particolari categorie di dati, tra cui figurano i dati biometrici come quello che mira a identificare in modo univoco una persona fisica attraverso dati relativi alle caratteristiche fisiche, fisiologiche o comportamentali «risultanti da un’elaborazione tecnica specifica.» In tutti i casi in cui è necessario acquisire i dati biometrici di una persona è necessario preventivamente ottenerne il consenso informato, libero e specifico. Tali dati inoltre, una volta acquisisti, devono essere utilizzati immediatamente per il raggiungimento dello scopo e poi cancellati, senza possibilità di memorizzarli o archiviarli.
Diritti dell’interessato
Il GDPR prevede diritti specifici per i soggetti ripresi da sistemi di videosorveglianza:
- diritto della conferma dell’esistenza o meno dei suoi dati personali
- diritto di accesso e informazioni sui propri dati se sono memorizzati o trattati in modo continuativo al momento della richiesta. Il Titolare/Responsabile può chiedere un compenso o rigettare le richieste di accesso o altre informazioni se manifestamente infondate o eccessive
- diritto della cancellazione dei dati se questi vengono monitorati oltre il tempo previsto o quando il trattamento è illecito. Devono essere altresì cancellati in caso di ritiro del consenso e in altri casi particolari.
- diritto di obiezione se la videosorveglianza avviene sulla base di un interesse legittimo o pubblico. Tale può essere respinta se l’interesse da tutelare è prevalente.
Trasparenza e informazione
Il soggetto che intende ricorrere ai sistemi di videosorveglianza è tenuto a rispettare precisi obblighi informativi e di trasparenza nel rispetto degli interessati:
- obbligo di apporre «un cartello di avvertimento con le relative informazioni … fornite in combinazione con un’icona per dare, in modo facilmente visibile, comprensibile e chiaramente leggibile, una visione d’insieme significativa del trattamento previsto» posizionato all’altezza degli occhi prima di entrare nella zona di ripresa video, informando i soggetti delle finalità perseguite e indicando eventuali informazioni che potrebbero sorprendere il soggetto
- obbligo di fornire informazioni di dettaglio di secondo livello da mettere a disposizione degli interessati in un’altra area, coma cassa o sportello informazioni.
Infine, è bene ricordare che i titolari sono tenuti ad effettuare la valutazione d’impatto sulla protezione dei dati (DPIA) quando un tipo di trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche e il bilanciamento degli interessi per verificare se gli interessi dei soggetti interessati fossero prevalenti rispetto a quelli del titolare del trattamento dei dati.