Lo scorso 5 dicembre 2020 l’Autorità Garante per la protezione dei dati personali ha pubblicato le Faq in materia di trattamento dei dati personali acquisiti medianti gli impianti di videosorveglianza da parte di soggetti pubblici e privati; le Faq ricalcano, di fatto, l’impostazione adottata dal Comitato europeo per la protezione dei dati (EDPB) nelle Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video.
Il trattamento delle immagini relative alle persone fisiche acquisite medianti i sistemi di videosorveglianza costituisce una forma di trattamento di dati personali ed è pertanto soggetto alla normativa privacy vigente e, in particolar modo, al Regolamento UE 2016/679 (c.d. GDPR).
Come chiarito dall’Autorità Garante per la protezione dei dati personali, si sottraggono alla normativa privacy tutti quei casi in cui la videosorveglianza non consente di identificare, direttamente o indirettamente, le persone fisiche come nell’ipotesi di riprese effettuate ad alta quota mediante l’utilizzo di droni o nei casi di videocamere integrate in un’automobile per fornire assistenza al parcheggio.
Indice degli argomenti
Trattamento di dati acquisiti mediante sistemi di videosorveglianza, le regole generali
Preliminarmente, l’Autorità Garante per la protezione dei dati ricorda che i trattamenti di dati personali, conseguenti all’impiego di sistemi di videosorveglianza, sono soggetti ai principi generali del GDPR e richiama, in particolar modo, il principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa, alla dislocazione dell’impianto e alla gestione delle varie fasi del trattamento, nonché il principio di pertinenza e non eccedenza del trattamento rispetto alle finalità perseguite.
Ruolo centrale è attribuito al principio di responsabilizzazione (c.d. “principio di accountability”) ex art. 24 del GDPR. Precisato, infatti, che l’installazione di un sistema di videosorveglianza non è soggetta ad alcuna previa richiesta di autorizzazione all’Autorità Garante per la protezione dei dati personali, le FAQ, proprio in applicazione del principio di accountability, riconducono in capo al Titolare del trattamento (azienda, amministrazione, professionista, condominio e così via), che intenda avvalersi di un tale sistema, il compito di:
- valutare preventivamente la liceità e la proporzionalità del trattamento, tenendo conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche;
- svolgere la valutazione di impatto sulla protezione dei dati prima di iniziare il trattamento, laddove ne ricorrano i presupposti.
Con riferimento a quest’ultimo profilo, l’art. 35 del GDPR richiede che il Titolare del trattamento debba eseguire la valutazione di impatto quando una determinata tipologia di trattamenti presenti un rischio elevato per i diritti e le libertà delle persone fisiche.
Esistono, poi, specifiche ipotesi in cui il Titolare del trattamento è obbligatoriamente tenuto allo svolgimento della valutazione di impatto, come nel caso in cui il trattamento consista nella sorveglianza sistematica di una zona accessibile al pubblico su larga scala.
L’esito della valutazione di impatto è fondamentale ai fini della scelta delle misure di sicurezza che il Titolare andrà a implementare a tutela dei dati personali; peraltro, nel caso in cui in virtù della valutazione dovesse risultare che il trattamento comporti un rischio elevato, nonostante le misure di sicurezza pianificate dal Titolare del trattamento, sarà necessario consultare l’Autorità Garante per la protezione dei dati personali prima di procedere al trattamento.
L’obbligo di informazione ex art.13 GDPR
In un’ottica di trasparenza del trattamento, il Titolare del trattamento, sia pubblico che privato, è tenuto ad informare i soggetti interessati, ovvero i soggetti i cui dati personali costituiscono oggetto di trattamento, del fatto che stiano accedendo a un’area videosorvegliata.
Il rispetto di tale obbligo si realizza, in prima battuta, mediante affissione di un cartello di avvertimento (c.d. informativa breve o semplificata) tramite cui viene fornita una prima parte delle informazioni relative al trattamento. L’informativa semplificata dovrebbe riportare l’indicazione della finalità del trattamento, dell’identità del Titolare del trattamento e dei diritti del soggetto interessato e comunque ogni ulteriore informazione, come i recapiti dell’eventuale Responsabile per la protezione dei dati personali o il periodo di conservazione dei dati, ritenuta rilevante dal Titolare del trattamento anche in considerazione delle specifiche e concrete circostanze relative al trattamento.
Le informazioni contenute nel cartello di avvertimento possono essere fornite, fra l’altro, in combinazione con specifiche icone che contribuiscono a dare la panoramica generale del trattamento nel modo più chiaro e immediato possibile.
Il cartello di avvertimento deve essere posizionato prima di accedere all’area videosorvegliata, in modo tale che i soggetti interessati abbiano chiare quali siano le zone soggette a videosorveglianza e possano modulare il proprio comportamento di conseguenza; non è invece necessario rivelare l’ubicazione esatta dalla videocamera.
Di seguito è riportato il modello di cartello di avvertimento proposto dall’EDPB e richiamato nelle FAQ:
Video surveillance!
LA REGISTRAZIONE È EFFETTUATA DA …………………..
CONTATTI DEL RESPONSABILE DELLA PROTEZIONE DEI DATI (se applicabile): ………………………………………
FINALITÀ DELLA VIDEOSORVEGLIANZA …………………………………
È POSSIBILE ACCEDERE AI PROPRI DATI ED ESERCITARE GLI ALTRI DIRITTI RICONOSCIUTI DALLA LEGGE RIVOLGENDOSI A ………………………….
L’informativa completa sul trattamento dei dati è disponibile:
-
presso i locali del titolare (reception, casse, ecc.)
-
sul sito internet (URL)…
-
altro …………………………
L’informativa semplificata deve rinviare alla versione estesa dell’informativa, contenente tutti gli elementi di cui all’art. 13 del GDPR e deve riportare ogni indicazione relativa al come e al dove reperire l’informativa estesa stessa. Il Titolare del trattamento è tenuto a garantire che l’informativa estesa sia facilmente accessibile da parte del soggetto interessato e la stessa potrà essere resa in formato cartaceo, ad esempio mediante affissione del testo dell’informativa in specifiche aree dei locali videosorvegliati (si pensi alla reception di un plesso aziendale o alla cassa di un negozio) oppure in formato digitale. Con riguardo a quest’ultima soluzione, è possibile, ad esempio, inserire all’interno del cartello un codice QR, un indirizzo web o altra fonte digitale tramite cui accedere all’informativa estesa.
Il periodo di data retention
Salvo casi specifici in cui la legge individua direttamente il periodo di conservazione delle immagini registrate mediante il sistema di videosorveglianza, la regola generale è quella di rimettere alla valutazione del Titolare del trattamento il periodo di data retention, tenendo conto del contesto e delle finalità del trattamento, oltre che del rischio per i diritti e le libertà delle persone fisiche.
Tale valutazione va condotta, in ogni caso, nel rispetto del rispetto del principio di limitazione della conservazione ex art. 5 let. e) del GDPR, in base al quale i dati vanno “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Decorso il periodo di conservazione, i dati personali devono essere cancellati, utilizzando, preferibilmente, meccanismi automatici.
Tipicamente, i sistemi di videosorveglianza sono installati per ragioni di sicurezza e protezione del patrimonio; di conseguenza, le FAQ chiariscono che il periodo di conservazione delle immagini dovrebbe consistere, in linea di principio, in uno o due giorni al massimo dalla loro raccolta; tale termine appare, infatti, sufficiente affinché il Titolare possa rilevare eventuali danni. Un periodo di conservazione più lungo, come quello di 72 ore o più, richiederebbe una più argomentata e specifica analisi in merito alla legittimità dello scopo e alla necessità della conservazione.
L’Autorità Garante per la protezione dei dati personali prende ad esempio il caso in cui un esercizio commerciale subisca atti vandalici; in un’ipotesi di questo tipo è sufficiente un periodo di 24 ore per appurare la verificazione degli atti stessi, salvo un periodo di conservazione più lungo sia necessario per gestire le chiusure nei week-end o nei periodi festivi o, in caso di rilevamento di un danno, per agire nei confronti dell’autore del reato.
È comunque sempre possibile il prolungamento del termine di conservazione fissato dalla legge o dal Titolare del trattamento nel caso in cui ciò sia necessario per adempiere a specifiche richieste dell’autorità giudiziaria o della polizia giudiziaria con riferimento a un’attività investigativa in corso.
La videosorveglianza negli istituti scolastici e nei luoghi di lavoro
È consentito installare sistemi di videosorveglianza presso gli istituti pubblici o privati nei casi in cui ciò sia strettamente indispensabile al fine di tutelare gli edifici e i beni da atti vandalici e comunque garantendo il diritto alla riservatezza degli studenti. Pertanto, laddove il sistema sia installato all’interno degli edifici, le telecamere potranno essere attivate solo al di fuori dell’orario di svolgimento delle attività scolastiche o extrascolastiche e quindi solo negli orari di chiusura degli istituti; laddove il sistema sia installato all’esterno degli edifici, invece, l’angolo visuale delle telecamere deve essere opportunamente delimitato.
In ogni caso la presenza del sistema di videosorveglianza deve essere opportunamente segnalata dai cartelli di avvertimento e deve essere fornita, altresì, informativa estesa ai soggetti interessati; l’informativa estesa potrebbe essere anche inserita sul sito web dell’istituzione scolastica.
Con riferimento ai luoghi di lavoro, la normativa privacy va letta congiuntamente alle previsioni dello Statuto dei Lavoratori (Legge 300/1970) e, in particolar modo, all’art. 4 della legge anzidetta che consente l’utilizzo di impianti audiovisivi, all’interno e all’esterno dei locali, esclusivamente per esigenze organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale.
L’installazione degli impianti di videosorveglianza nei luoghi di lavoro non può essere autorizzata in virtù del mero consenso dei lavoratori ma è subordinata al previo accordo con le RSA o le RSU o, in alternativa, alla previa autorizzazione amministrativa rilasciata dall’Ispettorato del lavoro.
Resta fermo l’obbligo di informare i soggetti interessati mediante cartello di avvertimento e informativa privacy estesa.
Impianti di videosorveglianza privata e condominiale
È consentita l’installazione di sistemi di videosorveglianza da parte di soggetti privati per monitorare la proprietà privata; tuttavia, onde evitare la configurazione del reato di interferenze illecite nella vita privata ex art. 615 bis c.p., non devono essere riprese aree comuni, come cortili, pianerottoli, scale o le aree di pertinenza di soggetti terzi.
È altresì consentito l’uso di smart cam, per finalità di controllo e sicurezza, all’interno della propria abitazione ma tale utilizzo deve avvenire nel rispetto della dignità della persona, evitando, ad esempio, di collocare i dispositivi in specifici ambienti come il bagno. Eventuali dipendenti o collaboratori che accedano all’abitazione, come colf o babysitter, dovranno essere informati in merito al trattamento dei loro dati personali.
Nell’ambito dei condomini, l’installazione dei sistemi di videosorveglianza è subordinata al consenso della maggioranza dei condomini presenti all’assemblea condominiale, regolarmente riunitasi. Resta fermo l’obbligo di informazione nei confronti dei soggetti interessati mediante apposito cartello di avvertimento e informativa estesa.
Impianti di videosorveglianza urbana e stradale
Laddove non siano possibili forme di controllo alternativo, i Comuni potranno installare sistemi di videosorveglianza per controllare discariche di sostanze pericolose ed “eco piazzole” al fine di monitorare le modalità del loro uso, la tipologia dei rifiuti scaricati e l’orario di deposito; trova applicazione, in ogni caso, l’obbligo di affissione dei cartelli di avvertimento nelle aree soggette alla videosorveglianza, nonché l’obbligo di fornire l’informativa estesa ai soggetti interessati.
L’utilizzo di sistemi elettronici che rilevano eventuali violazioni del codice della strada è subordinato all’impiego di appositi cartelli che ne segnalino la presenza; l’impiego di tali sistemi deve essere finalizzato a fotografare o riprendere le informazioni volte a identificare il veicolo coinvolto nell’accertamento amministrativo e non anche i soggetti a bordo dello stesso.
@RIPRODUZIONE RISERVATA
