Videosorveglianza pubblica: tutte le norme da rispettare

È noto che la videosorveglianza, per sua stessa natura, sia caratterizzata principalmente dalla forte invasività dei sistemi impiegati in tale ambito: anche per questa ragione, il Garante italiano per la protezione dei dati personali, attraverso l’aggiornamento dell’apposita sezione sul sito^[1], ha ribadito quali siano le regole per l’installazione e la gestione delle telecamere, tanto in ambito pubblico quanto privato.

Attenzione riposta anche a livello internazionale, tanto che il Garante francese (CNIL) – con indicazione del giugno 2020^[2] – aveva già avuto modo di sottolineare come lo spazio pubblico^[3] in cui di norma vengono installate le telecamere (nel caso di specie, intelligenti o termiche) sia un luogo in cui si esercitano numerose libertà individuali, dal diritto alla vita privata e alla protezione dei dati personali, alla libertà di muoversi, al diritto di espressione, di riunione, di manifestare, alla libertà di coscienza e di esercizio dei culti.

In tal senso per la CNIL «la conservazione dell’anonimato nello spazio pubblico è una dimensione essenziale per l’esercizio di tali libertà e la captazione dell’immagine delle persone in tali spazi è incontestabilmente portatrice di rischi per i diritti e le libertà fondamentali di queste ultime».

Tale presa di posizione, a ben vedere, oltre che logica e comprensibile è stata da ultimo ribadita a più livelli, seppur da angolazioni differenti, ex multis dall’European Data Protection Board – EDPB (con le Linee Guida 3/2019), dalla Commissione Europea (con il White Paper sull’AI) e dal Comitato della Convenzione 108 (con le Linee guida sul riconoscimento facciale)^[4].

Certo è, dunque, che la protezione dei diritti del singolo vada bilanciata con altri interessi altrettanto degni di tutela.

Videosorveglianza in ambito pubblico, le norme sulla data protection

In tale alveo trova certa collocazione l’utilizzo dei sistemi di videosorveglianza in ambito pubblico, ove peraltro il rispetto delle norme – così come il focus sulla sfera dei diritti degli interessati – è – se si vuole – ancora più stringente.

Prima di concentrarci, dunque, sull’inquadramento delle regole applicabili alla videosorveglianza pubblica sotto il profilo della data protection, è giusto il caso di ricordare che, con riferimento al regime giuridico degli impianti di videosorveglianza installati da Enti locali “L’art.38, comma 3, del decreto legge 16 luglio 2020, n.76, convertito in legge 11 settembre 2020, n.120, prevede una modifica semplificativa all’attuale regolamentazione degli impianti di videosorveglianza installati dagli Enti locali, finalizzata ad equipararne il regime di installazione a quello – più favorevole – previsto per le amministrazioni statali. La disposizione prevede che l’installazione e l’esercizio di sistemi di videosorveglianza di cui all’articolo 5, comma 2, lettera a), del decreto-legge 20 febbraio 2017, n.14, convertito, con modificazioni, dalla legge 18 aprile 2017, n.48, da parte degli Enti locali, è considerata attività libera e non soggetta ad autorizzazione generale di cui agli articoli 99 e 104 del decreto legislativo 1° agosto 2003, n.259; la norma assume peculiare interesse in considerazione dell’utility spiegata dai sistemi tecnologici, anche se installati dagli Enti locali, per il controllo del territorio e la prevenzione e repressione di illeciti”^[5].

Con specifico riferimento ai Comuni, poi, immancabile è il riferimento agli articoli 7 del D.lgs. 51/2018 (sul trattamento di categorie particolari di dati personali), 6 c. 7 del D.L. 11/2009^[6] (sule Misure urgenti in materia di sicurezza pubblica e di contrasto alla violenza sessuale, nonché in tema di atti persecutori”) e 54^[7] del D.lgs. 267/2000 (Testo Unico Enti Locali).

Ciò premesso, principio cardine da cui muovere è quello dell’assoluta residualità degli strumenti di videosorveglianza^[8] che, oltre a poter essere chiamati in causa solo qualora non sia possibile fare ricorso ad altri mezzi meno invasivi, devono necessariamente rispondere a requisiti di liceità, necessità, proporzionalità e trasparenza.

E così, dunque, le riprese dovranno avvenire nel rispetto di quanto prescritto dalle disposizioni di legge in materia di installazione di apparecchi audiovisivi, nonché – ovviamente – dalle norme sulla protezione dei dati personali (liceità), e gli impianti dovranno essere attivati solo in assenza di misure meno invasive, e comunque solo per quanto strettamente necessario e non eccedente (necessità, proporzionalità e non eccedenza) le finalità giustificatrici dell’utilizzo del sistema, che a loro volta dovranno essere determinate, esplicite e legittime (finalità).

Principio di minimizzazione, privacy by design e by default

A ciò si aggiunga anche il rispetto del principio di minimizzazione ex articolo 5 GDPR che porta con sé il rimando al più ampio dovere di responsabilizzazione (accountability) del Titolare della Pubblica Amministrazione nella valutazione concreta della liceità del trattamento da intraprendersi.

In ambito pubblico e con specifico riferimento alla necessità, è bene precisare che la rilevazione dei dati non potrà essere estesa ad ambiti, aree o attività che non presentino rischi concreti o non caratterizzate da esigenze di dissuasione e deterrenza. Allo stesso modo, laddove la finalità venga individuata nella protezione del bene o dei beni a fronte di atti di vandalismo, il posizionamento di sistemi di videosorveglianza potrà essere considerato lecito solo laddove sia stata valutata l’inefficacia di misure alternative e meno impattanti, quali ad esempio controlli da parte del personale di sicurezza, sistemi di allarme, misure di sicurezza apposte agli ingressi o autorizzazioni all’accesso fisico degli edifici.

Gli anzidetti principi devono, quindi, essere rispettati tanto in fase di pre-installazione (by design e by default, a voler richiamare il GDPR), quanto successivamente, nella fase vera e propria di trattamento dei dati, di talché il metro di giudizio non potrà certamente fondarsi sulla semplicità (o ancora peggio sull’economicità) della soluzione da adottarsi, ma piuttosto sul corretto bilanciamento degli interessi in gioco e sul rispetto dei requisiti di legge.

Trattandosi, nel caso di specie, di soggetti pubblici, l’altro principio da non sottostimare è certamente quello di finalità, poiché in tal senso saranno legittimi solamente quegli scopi connessi e pertinenti all’attività del Titolare PA.

E così, ad esempio, è giusto il caso di ricordare che le finalità di sicurezza pubblica, prevenzione, accertamento o repressione dei reati competono esclusivamente agli organi giudiziari o di polizia giudiziaria, alle forze armate o di polizia. In tal caso, si badi bene, il centro di interesse per quanto attiene alla regolamentazione si sposterà dal GDPR alla Direttiva UE 2016/680 – che in Italia è stata recepita con il D.lgs. 51/2018 – che, nel distinguersi dalla prima normativa citata, comporta anche determinati obblighi di trasparenza ed accesso, oltre che peculiari doveri di informazione (e informativa^[9]).

Il provvedimento dell’Autorità Garante per la Privacy

Ça va sans dire che, in ogni caso, potranno essere individuate e perseguite solamente finalità determinate, compatibili con gli scopi e comunicate in maniera chiara agli interessati^[10], mediante l’utilizzo di informative a più livelli (cartellonistica e in forma cartacea), come previsto dalle norme.

A tal proposito, punto di riferimento costante sul territorio nazionale in tema di videosorveglianza a tutt’oggi è il provvedimento della nostra Autorità Garante per la Privacy dell’8 aprile 2010, pensato per assicurare il bilanciamento tra diritti dei cittadini e sicurezza e prevenzione dei reati, evitando un’espansione incontrollata degli strumenti di sorveglianza.

Meritorio lo sforzo del provvedimento di concentrarsi su determinati settori^[11] di applicazione, più nello specifico e per quanto qui interessa sui soggetti pubblici, stabilendo che questi potranno trattare dati personali nel rispetto del principio di proporzionalità, per scopi determinati, espliciti e legittimi e solamente per lo svolgimento delle funzioni istituzionali dell’Ente.

Tra gli ambiti pubblici interessati dal provvedimento troviamo espressamente citati:

• la sicurezza urbana: qui è richiesto ai sindaci di sovrintendere alla vigilanza e all’adozione di atti in materia di ordine e sicurezza pubblica, anche adottando provvedimenti contingibili ed urgenti.
• il deposito dei rifiuti: in questo caso gli strumenti di videosorveglianza sono ammessi solo qualora non siano rinvenibili sistemi di controllo alternativi.
• la rilevazione di violazioni del Codice della strada: qui la videosorveglianza è ritenuta lecita qualora la raccolta dei dati sia pertinente e non eccedente le finalità istituzionali, e sempre nel rispetto della messa a disposizione della documentazione su richiesta dell’interessato.
• gli enti pubblici e territoriali: in tal caso non viene ammesso il tracciamento degli spostamenti o la ricostruzione del percorso effettuato in aree che esulano la competenza territoriale dell’ente.

Merita un breve cenno anche l’ambito dei trasporti pubblici, per il quale il Provvedimento del 2010 ha previsto che la videosorveglianza sui mezzi così come presso le fermate sia da ritenersi lecita in situazioni di particolare rischio, purché nel rispetto dei principi di necessità, proporzionalità e finalità. In questi casi l’angolo di visuale dovrà essere circoscritto all’area di permanenza, dovendosi inquadrare la sola pensilina e gli arredi urbani funzionali^[12], non potendo essere effettuate riprese particolareggiate o in grado di rilevare caratteristiche troppo dettagliate degli interessati del caso.

Le Faq del Garante della Privacy

Circa le tematiche appena approfondite è opportuno sottolineare come di recente il Garante, sulla scorta della pubblicazione delle Linee Guida 3/209 dell’EDPB, abbia deciso di intervenire con le FAQ del dicembre 2020 allo scopo di colmare alcuni “vuoti” creatisi nell’interregno tra il provvedimento del 2010 e l’entrata a pieno regime del GDPR.

E così, è stato chiarito che:

• circa i tempi di conservazione delle immagini registrate, spetta al titolare individuare i tempi di data retention, salvo specifiche norme di legge (es. i 7 giorni previsti dall’art. 6, co. 8, del D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana);
• circa il prolungamento di tali tempistiche, questo è possibile in alcuni casi, ad esempio dietro richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad un’attività investigativa in corso;
• circa la valutazione d’impatto (DPIA), questa è da prevedersi se è previsto l’uso di nuove tecnologie e il trattamento può presentare un rischio elevato per le persone fisiche; in caso di sistemi integrati che collegano telecamere tra soggetti diversi; in caso di sistemi intelligenti capaci di analizzare immagini ed elaborarle per rilevare automaticamente comportamenti o eventi anomali, segnalarli ed eventualmente registrarli; in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico o nei casi previsti dal garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018);
• circa le discariche di sostanze pericolose ed “eco piazzole”, è ammesso il controllo per monitorare le modalità del loro uso, la tipologia dei rifiuti scaricati e l’orario di deposito, solo se non si può fare ricorso a strumenti e sistemi di controllo alternativi e nel rispetto del principio di minimizzazione;
• circa i sistemi elettronici di rilevamento delle infrazioni inerenti violazioni del codice della strada, questi andranno segnalati mediante cartello/informativa e potranno considerarsi leciti solo laddove i dati raccolti siano pertinenti e non eccedenti (con delimitazione della dislocazione e dell’angolo visuale delle riprese). La ripresa del veicolo non dovrà comprendere (o dovrà mascherare) i soggetti non coinvolti nell’accertamento (es. pedoni); le fotografie ed i video dell’infrazione non dovranno essere inviati al domicilio dell’interessato, il quale potrà chiedere copia o esercitare il diritto di accesso ai propri dati (dovranno essere opportunamente oscurati o resi comunque non riconoscibili i passeggeri presenti a bordo del veicolo);
• circa la protezione dei dati personali, il Garante ha escluso la videosorveglianza dall’ambito di applicazione della normativa privacy quando non vi sia modo di identificare le persone, direttamente o indirettamente, come nel caso delle riprese ad alta quota (effettuate, ad esempio, mediante l’uso di droni); nel caso di fotocamere false o spente; nei casi di videocamere integrate in un’automobile per fornire assistenza al parcheggio (se la videocamera è costruita o regolata in modo tale da non raccogliere alcuna informazione relativa a una persona fisica, ad esempio targhe o informazioni che potrebbero identificare i passanti).

L’obbligo di informativa agli interessati

Infine, per quanto attiene agli ambiti più operativo-pratici, certamente anche in capo ai soggetti pubblici sussiste l’obbligo di informativa agli interessati, al pari di quello relativo alla formazione ed istruzione del personale.

Relativamente al primo aspetto e con riferimento al provvedimento del 2010, la tematica veniva affrontata nell’ottica di “sottolineare come gli interessati debbano sempre essere informati sul fatto di stare per accedere ad una zona videosorvegliata – anche in caso di eventi o spettacoli pubblici -, mediante cartellonistica di immediata comprensione, chiaramente visibile – anche in orario notturno – , collocata prima del raggio di azione delle telecamere e nelle immediate vicinanze del sistema, riportante una informativa minima che rimandi, però, ad una estesa, facilmente accessibile e contenente tutte le specifiche del caso”^[13].

Sul punto si è nuovamente espresso il Garante con le FAQ citate, nelle quali è stata data indicazione che l’informativa vada collocata prima di entrare nella zona sorvegliata, senza l’esigenza specifica di individuare l’ubicazione precisa della telecamera, purché non si ingenerino dubbi su quali siano le zone soggette a sorveglianza.

Ancora una volta viene prevista un’informativa a più livelli, costituita da una prima semplificata che rimandi poi ad un testo completo e più esteso.

Risulta pertanto evidente che – con maggior rilievo in ambito pubblico – il focus debba incentrarsi su elementi pratici, quali la comprensibilità delle informazioni rilasciate (soprattutto in luoghi ove di norma venga usato più di un idioma oppure frequentati da grandi quantità di stranieri) e il posizionamento degli apparecchi, di modo che il rispetto della norma teorica venga poi di fatto assicurato dalla concreta visibilità “per raggio d’azione” dello strumento.

Conclusioni

Quanto, infine, agli aspetti formativi e di autorizzazione al trattamento, sarà necessaria la programmazione di sessioni di studio e aggiornamento della normativa privacy, così come la previsione di apposite istruzioni agli operatori (accluse alla nomina), unitamente alla redazione di Protocolli d’intesa tra Comuni e Procure^[14] e Regolamenti sulla videosorveglianza che prevedano, necessariamente regole pratiche e indicazioni specifiche per gli autorizzati.

1. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9497843. ↑
2. https://www.cnil.fr/fr/cameras-dites-intelligentes-et-cameras-thermiques-les-points-de-vigilance-de-la-cnil-et-les-regles. ↑
3. Per luogo pubblico si intende quel luogo di diritto o di fatto continuativamente libero a tutti o comunque ad un numero indeterminato di persone. ↑
4. Nello specifico Comitato ha ritenuto che la base giuridica del trattamento da parte di autorità pubbliche non dovrebbe essere il consenso, a causa dello squilibrio di poteri tra interessati e pubblica autorità. In ogni caso, i sistemi di intelligenza artificiale “ad alto rischio” (quali la face recognition) dovranno essere necessariamente trasparenti, tracciabili, conformi alle norme europee e dovranno garantire il controllo umano, specie in settori delicati come quelli della salute, della sicurezza e dei trasporti.L’uso “occulto” di tecnologie di riconoscimento facciale dal vivo potrebbe essere possibile solo ove effettuato parte delle forze dell’ordine e solo se proporzionato e strettamente necessario ad evitare imminenti e sostanziali rischi per la sicurezza pubblica. ↑
5. Cfr. FAQ Ministero dell’Interno, 2020. ↑
6. “Per la tutela della sicurezza urbana, i comuni possono utilizzare sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico”. ↑
7. Il sindaco, quale ufficiale del Governo, sovrintende:a) all’emanazione degli atti che gli sono attribuiti dalla legge e dai regolamenti in materia di ordine e sicurezza pubblica;b) allo svolgimento delle funzioni affidategli dalla legge in materia di pubblica sicurezza e di polizia giudiziaria;c) alla vigilanza su tutto quanto possa interessare la sicurezza e l’ordine pubblico, informandone preventivamente il prefetto. ↑
8. Cfr. A. Capoluongo, Videosorveglianza: the Game Changer. Data protection, norme e applicazioni, ed. Themis, 2021. ↑
9. Ad esempio, a differenza di quanto previsto dagli articoli 13 e 14 del GDPR, nel D.Lgs. 51 non è fatta menzione dell’indicazione della base giuridica, della fonte dei dati, delle categorie di dati e della presenza di trattamenti automatizzati. ↑
10. Ad eccezione di casistiche specifiche quali, ad esempio, attività di acquisizione di dati disposte da organi giudiziari o di polizia giudiziaria. ↑
11. Mezzi di trasporto pubblici, ospedali, scuole, rapporti di lavoro, sistemi integrati di videosorveglianza, web cam o camere on line. ↑
12. Quali ad esempio la tabella riportante gli orari del mezzo. ↑
13. A. Capoluongo, Videosorveglianza: the Game Changer. Data protection, norme e applicazioni, ed. Themis, 2021, pag. 50. ↑
14. In questi casi, lato privacy, a fronte della condivisione degli strumenti di videosorveglianza è necessaria la previsione di accordi di contitolarità per il trattamento dei dati personali, con le specifiche che ne conseguono. ↑