Normative europee

GDPR e Linee Guida 3/2019 dell’EDPB sul trattamento di dati personali attraverso videosorveglianza

Quali sono i punti di contatto fra il Regolamento Europeo e le Linee Guida dell’EDPB in merito alla videosorveglianza sui luoghi di lavoro

03 Ott 2020

Alberto Stefani

data protection officer, consulente cybersecurity

Il Comitato Europeo per la Protezione dei Dati è un organo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione Europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati all’interno dell’Unione. L’European Data Protection Board (EDPB) è il Comitato che non si limita a pubblicare linee guida sull’interpretazione dei concetti fondamentali del GDPR, ma è chiamato anche a pronunciarsi mediante decisioni vincolanti sulle controversie relative al trattamento transfrontaliero, garantendo in tal modo un’applicazione uniforme delle norme dell’UE per evitare che uno stesso caso possa essere trattato in modo diverso nelle diverse giurisdizioni. Gli strumenti chiave con cui il Comitato adempie alle sue funzioni sono sostanzialmente: linee guida, raccomandazioni, migliori prassi, pareri, decisioni vincolanti. Compresa dalla premessa l’importanza che ricopre tale Organismo approfondiamo le Linee Guida 3/2019 adottate, previa consultazione pubblica, il 29 gennaio 2020 in merito al trattamento dei dati personali attraverso dispositivi di videosorveglianza.

Il documento fornisce un ampio approfondimento in merito all’utilizzo dei dati personali attraverso gli apparati di videosorveglianza che stanno diventando sempre più uno strumento deterrente per reati contro la proprietà, in difesa del territorio ma, alla luce delle nuove tecnologie disponibili, strumenti di monitoraggio invasivo su vasta scala di dati biometrici.

Ecco dunque la necessità di diffondere alla platea di tutti gli interessati coinvolti nel monitoraggio adeguate informazioni come impone il GDPR e un’analisi precisa e puntuale di tutti i passaggi necessari a rendere l’utilizzo delle immagini rispettoso del Regolamento UE 679/2016.

Di seguito approfondiremo alcuni punti fondamentali del GDPR e delle Linee Guida ma con la giusta digressione necessaria al trattamento di un particolare dato personale: le immagini.

Attività a carattere personale o domestico, cosa dice il Regolamento

È bene ricordare che in base all’art.2 par.2 lettera c) il Regolamento non si applica ai trattamenti “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” precisando, così come espresso nelle Linee Guida che la cosiddetta esenzione domestica, nel contesto della videosorveglianza deve essere interpretata in modo restrittivo. Quindi, come considerato dalla Corte di Giustizia Europea, il cosiddetto “nucleo familiare esenzione” deve essere interpretato come relativo solo alle attività che si svolgono nell’ambito della vita privata o familiare delle persone, il che evidentemente non è il caso del trattamento di dati personali che consiste nella pubblicazione su internet di immagini tali da essere rese accessibili a un numero indefinito di persone.

Inoltre, se un sistema di videosorveglianza, nella misura in cui comporta la registrazione e la conservazione costante di dati personali e copre, anche parzialmente, uno spazio pubblico ed è quindi diretto verso l’esterno dell’ambiente privato della persona che tratta i dati, non può essere considerato come un’attività puramente “personale o domestica” ai sensi dell’art. 3, n. 2, secondo trattino, della direttiva 95/46.

Poniamo quindi la massima attenzione su quelli che possono essere definiti i confini operativi delle riprese di immagini.

I rischi della videosorveglianza

Le linee guida dell’EDPB, innanzitutto, riconoscono l’importanza di regolamentare la videosorveglianza al fine di mitigarne usi non leciti, specie in considerazione dell’enorme numero di dati personali che con essa si trattano, dei nuovi sviluppi tecnologici (come le smart cameras e i software di analisi video) e dei possibili esiti pregiudizievoli e discriminatori che la videosorveglianza può implicare. Rischi riconosciuti sia dall’art. 35 par.3 lettera c del GDPR, che impone una valutazione d’impatto per il monitoraggio sistematico su larga scala di una zona accessibile al pubblico, sia dall’art. 37 par.1 lettera b del GDPR, che impone la designazione di un responsabile della protezione dei dati nel caso di monitoraggio regolare e sistematico degli interessati su larga scala.

La base giuridica

Sostanzialmente tutte le basi giuridiche contemplate nel GDPR, ai sensi dell’articolo 6 par.1, possono essere utilizzate per garantire di effettuare un trattamento di dati rispettoso del Regolamento. Anche in riferimento alla base giuridica è bene specificare che esistono delle differenze che è bene richiamare. Le disposizioni più probabili da utilizzare sono

• Articolo 6, paragrafo 1, lettera f) (interesse legittimo),

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

• Articolo 6, paragrafo 1, lettera e) (necessità di svolgere un compito di interesse pubblico o nell’esercizio di pubblici poteri).

In casi piuttosto eccezionali, l’articolo 6, par.1, lettera a) afferma che il consenso potrebbe essere utilizzato come base giuridica dal responsabile del trattamento.

Il legittimo interesse

Difficile indicare un modus operandi generale poiché ogni situazione dovrà essere analizzata nello specifico per valutare il giusto compromesso di responsabilizzazione del titolare del trattamento e la minimizzazione dei dati coinvolti nel trattamento.

La videosorveglianza è legale se è necessaria per soddisfare lo scopo di un interesse legittimo perseguito da un responsabile del trattamento o da un terzo, a meno che tali interessi non siano superati dagli interessi dell’interessato o dai diritti e dalle libertà fondamentali (articolo 6, par. 1, lettera f))

In una situazione reale e pericolosa, lo scopo di proteggere la proprietà da furti con scasso, furti o atti vandalici può costituire un interesse legittimo per la videosorveglianza. Al fine di comprendere pienamente l’argomento si consiglia un’attenta lettura del considerando 47 del GDPR.

Il consenso fra datore di lavoro e personale dipendente

Il consenso è una base giuridica da utilizzare con molta attenzione soprattutto nei rapporti tra datore di lavoro e personale dipendente. A tal proposito è bene ricordare tutta la disciplina della videosorveglianza in ambienti di lavoro che prevede, in Italia, un accordo sindacale piuttosto che un’istanza all’Ispettorato Nazionale del Lavoro con la presentazione di una relazione tecnico illustrativa che espliciti i motivi fondanti e le finalità che il titolare desidera perseguire con l’installazione degli apparati.

A tal proposito, nelle Linee Guida 3/2019 dell’EDPB, all’articolo 46 si afferma che se il responsabile del trattamento desidera fare affidamento sul consenso, è suo dovere assicurarsi che ogni soggetto interessato che entra nell’area sottoposta a videosorveglianza abbia dato il proprio consenso. Tale consenso deve soddisfare le condizioni di cui all’articolo 7. L’ingresso in un’area monitorata contrassegnata (ad esempio, le persone sono invitate a passare attraverso un corridoio o un cancello specifico per entrare in un’area monitorata) non costituisce una dichiarazione o una chiara azione positiva necessaria per il consenso. Al fine di approfondire l’argomento si possono leggere le “Linee guida sul consenso ai sensi del regolamento 2016/679” (WP 259) divulgate dal Gruppo di Lavoro articolo 29 (art. 29 WP).

Le finalità del trattamento

Avendo citato poco prima le finalità per cui si decide di installare le videocamere è bene citare l’articolo 15 delle Linee Guida che ricorda di specificare le finalità del trattamento nel dettaglio (articolo 5, paragrafo 1, lettera b)) prima di effettuare qualsiasi tipo di ripresa.

La videosorveglianza può servire a molti scopi, ad esempio sostenere la protezione della proprietà e di altri beni, sostenere la protezione della vita e dell’integrità fisica degli individui, raccogliere prove per le cause civili. Questi scopi di monitoraggio devono essere documentati per iscritto (articolo 5, par. 2) e devono essere specificati per ogni telecamera di sorveglianza in uso.

Le telecamere che vengono utilizzate per lo stesso scopo da un unico controllore possono essere documentate insieme. Inoltre, gli interessati devono essere informati delle finalità del trattamento ai sensi dell’articolo 13 (cfr. punto 7, Trasparenza e obblighi di informazione). La videosorveglianza basata sul mero scopo di “sicurezza” o “per la vostra sicurezza” non è sufficientemente specifica (articolo 5, paragrafo 1, lettera b)). È inoltre contrario al principio secondo cui i dati personali devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato (cfr. articolo 5, paragrafo 1, lettera a)).

Norme sulla divulgazione delle immagini

Per divulgazione si intende la trasmissione (ad es. comunicazione individuale), la diffusione (ad es. pubblicazione online) o la messa a disposizione in altro modo. I terzi sono definiti all’articolo 4, par.10.

In caso di divulgazione a paesi terzi o organizzazioni internazionali, si applicano anche le disposizioni speciali dell’articolo 44 e seguenti che esplicitano le regole a cui attenersi per il trasferimento dei dati personali.

Naturalmente un discorso a parte va intrapreso per la divulgazione di filmati alle forze di polizia nello svolgimento delle attività di indagine. A tal proposito ricordiamo che per quanto riguarda il trattamento che ne consegue deve essere eseguito nel rispetto della Direttiva (Ue) 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

Trasparenza e obblighi di cancellazione

Nel caso della videosorveglianza è bene adottare un sistema incrementale di informazioni di primo e secondo livello da portare a conoscenza degli interessati. Si parte dai cartelli che avvisano della presenza di apparati di ripresa che per completezza devono contenere le informazioni fondamentali come i contatti del titolare del trattamento, i diritti riconosciuti, le finalità e le informazioni su dove sia possibile reperire l’informativa completa anche attraverso strumenti tecnologici che l’EDPB promuove in modo particolare come la geo-localizzazione delle telecamere e l’inserimento di informazioni nelle applicazioni di mappatura o nei siti web, in modo che gli individui possano facilmente, da un lato, identificare e specificare le fonti video relative all’esercizio dei loro diritti e, dall’altro, ottenere informazioni più dettagliate sulle operazioni di elaborazione.

Conservazione e cancellazione dei dati

Le Linee Guida nell’articolo 120 affermano che i dati personali non possono essere conservati più a lungo di quanto necessario per le finalità per le quali sono trattati (articolo 5, par. 1, lettere c) ed e) del GDPR). In alcuni Stati membri possono esistere disposizioni specifiche per i periodi di conservazione in materia di videosorveglianza ai sensi dell’articolo 6, par. 2. Infatti il “nostro” Garante ha deliberato negli scorsi anni più volte in materia andando a porre il limite di 24 ore per la detenzione delle registrazioni delle immagini, estendibile fino a sette giorni in casi di particolare esigenza che vanno approfonditamente motivati. Per periodi superiori di conservazione è d’obbligo la richiesta del parere preventivo al Garante.

Misure tecniche e organizzative

Come stabilito dall’articolo 32, par.1 del GDPR, il trattamento dei dati personali durante la videosorveglianza non solo deve essere legalmente consentito, ma i responsabili del trattamento e gli incaricati del trattamento devono anche proteggerli adeguatamente. Le misure organizzative e tecniche attuate devono essere proporzionate ai rischi per i diritti e le libertà delle persone fisiche, derivanti da distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata o accesso ai dati di videosorveglianza. Ai sensi degli articoli 24 e 25 del GDPR, i responsabili del trattamento devono attuare misure tecniche e organizzative anche al fine di salvaguardare tutti i princìpi di protezione dei dati durante il trattamento e stabilire i mezzi per l’esercizio dei diritti degli interessati, come definiti negli articoli 15-22 del GDPR.

I responsabili del trattamento dei dati dovrebbero adottare un quadro interno e politiche che garantiscano tale attuazione sia al momento della determinazione dei mezzi per il trattamento sia al momento del trattamento stesso, compresa l’esecuzione di valutazioni d’impatto sulla protezione dei dati quando necessario.

Videosorveglianza e valutazione d’impatto

Ai sensi dell’articolo 35, par. 1 del GDPR, i responsabili del trattamento sono tenuti a effettuare valutazioni d’impatto sulla protezione dei dati (DPIA) quando un tipo di trattamento dei dati può comportare un rischio elevato per i diritti e le libertà delle persone fisiche. L’articolo 35, par. 3, lettera c), del GDPR stabilisce che i responsabili del trattamento sono tenuti a effettuare valutazioni d’impatto sulla protezione dei dati se il trattamento costituisce un monitoraggio sistematico di un’area accessibile al pubblico su vasta scala. Inoltre, ai sensi dell’articolo 35, par. 3, lettera b) è richiesta una valutazione d’impatto sulla protezione dei dati anche quando il responsabile del trattamento intende trattare categorie speciali di dati su larga scala.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA
S
Alberto Stefani
data protection officer, consulente cybersecurity
Argomenti trattati

Approfondimenti

D
data protection
G
GDPR

Articolo 1 di 5