Verso una disciplina integrata UE in tema di privacy e videosorveglianza

“Può darsi che i posteri mi ringrazieranno per aver reso noto che gli Antichi non sapevano tutto”
Pierre de Fermat

Il Comitato Europeo per la Protezione dei Dati, lo EDPB (European Data Protection Board), con le sue nuove Linee Guida n° 3/2019 dello scorso luglio, tenta di mettere ordine nella variegata situazione del trattamento dei dati nel settore della videosorveglianza.

Lo European Board è un organo indipendente (composto da membri delle Autorità nazionali per la protezione dei dati e dal Garante europeo), incaricato di contribuire con orientamenti generali, ma coerenti, alle norme sulla protezione dei dati in tutto il territorio dell’Unione, promuovendo fattivamente la compartecipazione tra le varie Autorità Garanti di controllo europee.

Su questo magazine sono intervenuto più volte sull’argomento; ora, scendendo nei particolari, tale Guideline si pone come obiettivo primario quello di garantire una conforme applicazione del nuovo Regolamento europeo GDPR UE 2016/679, nel settore del trattamento dei dati personali per mezzo di strumenti elettronici (video), omogenea e armonizzata in tutti gli Stati Membri dell’Unione.

Giuridicamente definite come dati personali, le immagini video sono idonee a identificare singoli soggetti, finanche indirettamente (parere n. 8/2001 wp 48 , parere 4/2007 wp 136).

Va da sé, quindi, come le operazioni di acquisizione e registrazione effettuate mediante l’utilizzo di apparecchiature informatiche (sistemi DVR/NVR), connotano un esplicito trattamento di dati personali che deve essere, quindi, congruo alle disposizioni pertinenti alla sfera privacy.

Ebbene, queste nuove disposizioni europee analizzano il possibile impatto che l’utilizzo di tali dispositivi potrebbe ingenerare sul comportamento degli interessati, ma soprattutto sulle conseguenze che un simile e invasivo trattamento potrebbe avere sui diritti inviolabili degli stessi.

Pur tuttavia, in Italia, nonostante l’adozione di queste nuove prescrizioni, trova ancora piena applicazione il Provvedimento Generale del Garante sulla videosorveglianza del 8 aprile 2010.

D’altronde, anche la legislazione sui luoghi di lavoro è molto severa sul tema, sull’uso indiscriminato delle tecnologie elettroniche (audio/video), in violazione del diritto dei lavoratori a non essere ripresi durante lo svolgimento delle proprie prestazioni, in maniera illegittima e/o senza garanzie (controllo a distanza delle prestazioni lavorative).

Più in generale, sappiamo come semplici sistemi di videosorveglianza possono trasformarsi in potenti sistemi intelligenti di controllo, perché correlando tra loro i dati raccolti, mediante algoritmi dedicati, generano il rischio di trattamenti secondari, ma illeciti, alle finalità originarie.

Quanto detto, dunque, è il preambolo che ha spinto il board ad elaborare questo documento guida, in modo tale che l’utilizzo di questi sistemi avvenga sempre nel pieno rispetto dei principi applicabili al trattamento di dati personali (art. 5 GDPR), soprattutto quando non vi siano altre attività, meno invasive, per raggiungere lo scopo prefissato (sicurezza).

Le prescrizioni contenute nel documento licenziato, pur fornendo interessanti spunti utili a dissipare le numerose perplessità, da sempre note, non si discostano poi molto dai documenti emessi sul tema dalla nostra Autorità Garante.

Infatti, questa guida non rappresenta già un aggiornamento al Provvedimento 2010 sulla videosorveglianza – ancora valido in tutta la sua articolazione – ma va piuttosto considerata come un‘integrazione allo stesso.

Quindi, oltre alle solite raccomandazioni sulle attività di trattamento dati con mezzi video, il Comitato pone l’attenzione sull’associazione delle immagini alle persone, correlandole poi ai loro comportamenti (profilazione), per mezzo di sistemi di identificazione biometrica basati sul rilevamento facciale, supportati dalla cd. intelligenza artificiale.

Nel punto 1 delle linee si analizza la fattispecie, su come gli algoritmi che sovrintendono al funzionamento di tali sistemi logici siano tutt’altro che affidabili e infallibili; invero, danno risultati diversi in base all’età e all’etnia della persona ripresa, e dunque tali situazioni potrebbero accentuare pericolose discriminazioni, portando a risultati deleteri.

Del resto, l’uso della videosorveglianza dovrebbe essere limitato alle sole situazioni in cui altre soluzioni tecnologiche non siano applicabili, piuttosto che preferita in quanto considerata la più vantaggiosa.

Il punto 2 affronta il novero delle esclusioni dall’ambito di applicazione del GDPR, descrivendo i casi in cui il trattamento è considerato household exemption (esclusione domestica), ovverosia, in tutte quelle situazioni dove le riprese riguardano un uso familiare e non soggette a diffusione; viceversa, tale non è la diffusione tramite il web delle immagini riprese, o la videoregistrazione sistematica degli avvenimenti nello spazio pubblico, o ancor peggio del domicilio altrui (di profilo penale ex art 615 bis).

Sul punto 3 il Comitato analizza le basi giuridiche del trattamento, dove la videosorveglianza può essere ritenuta lecita per diversi motivi, tra i quali il legittimo interesse del titolare a effettuarla per la tutela del proprio patrimonio, o per la salvaguardia e l’incolumità dei propri dipendenti sui luoghi di lavoro, l’esercizio di una pubblica funzione o concessionario di pubblico servizio, la tutela da parte delle istituzioni di un interesse pubblico: una legittimità che presuppone un corretto bilanciamento degli interessi, presupposto ad una situazione di effettiva necessità, tenendo conto dei danni, o delle conseguenze, che potrebbero derivare al titolare del trattamento qualora non proceda in maniera conforme.

Mentre la consegna a terzi dei dati video raccolti dalle telecamere, funzione delineata nell’art. 4 § 2 del GDPR, viene affrontata nel punto 4 del documento guida, dove si rammenta l’importanza, nella fase di valutazione, di distinguere correttamente il soggetto terzo alla quale verranno consegnati i dati, se in ambito UE o fuori perimetro GDPR (artt. 4546), mentre in relazione alla diffusione Internet, la liceità della condotta va sempre individuata nel dettato dell’art. 6 del Regolamento.

Altra faccenda decisamente spinosa quella relativa alla consegna delle registrazioni all’Autorità giudiziaria, che pone il titolare stesso nella delicata posizione di soggetto terzo rispetto al diritto tutelato; nella fattispecie il Comitato non può che ribadire un principio fondamentale: l’obbligo di collaborare per legge con le FF.OO e la Magistratura, quindi è sempre legittima la cessione dei filmati secondo il Codice di procedura penale che regola l’attività investigativa della polizia giudiziaria (artt. 189, 234, 354 CPP), mentre la base giuridica del trattamento è contenuta nell’art. 6, lett. C; è il caso di ricordare, come le successive fasi di trattamento da parte della Polizia giudiziaria, esulino dall’ambito di applicazione del GDPR, perché ricadenti nella Direttiva UE 2016/680.

Nel punto 5 viene affrontato l’ambito, illustrandone numerosi esempi, rispetto al quale il trattamento dati nella videosorveglianza impatti negativamente le cd categorie speciali di dati, attraverso l’uso di dati biometrici (caratteristiche fisiche, fisiologiche o comportamentali), che rientrano nella categoria tutelata nell’art. 9 del Regolamento, e che comporta, ovviamente, l’adeguatezza delle misure di sicurezza adottate al rischio.

Al punto 6 si ratifica come i diritti degli interessati garantiti negli artt. 1522 del Regolamento trovino sempre applicazione nel settore della videosorveglianza, fornendo ulteriori e utili spunti, quali ad esempio, quella di indicare nell’informativa i documenti e le informazioni necessarie da fornire al titolare nel momento in cui l’interessato effettuata la richiesta di accesso, in modo da consentire una rapida richiesta, prima che il dato sia lecitamente eliminato (tempi di conservazione).

Il punto 7 clona, in buona sostanza, quanto già previsto nel nostro Provvedimento del 2010; infatti, è prevista un’informativa cd di primo livello attraverso cartelli contenenti informazioni ulteriori rispetto a quelle attualmente previste nella nostra informativa breve, quali: l’indicazione della base giuridica, dei tempi di conservazione, le altre informazioni sui maggiori impatti del trattamento, le indicazioni su come ottenere l’informativa completa, utilizzando preferibilmente l’uso di una fonte digitale, come il QR code o l’indirizzo Web.

In quanto al periodo di conservazione trattato al punto 8, in buona sostanza anche il Comitato nulla aggiunge a quanto già previsto dal nostro Garante, lasciando libero, di fatto, il titolare nella scelta, che dovrà essere sempre conforme ai principi di proporzionalità e necessità, e in quanto ai tempi di conservazione, questi dovranno essere in linea con la finalità del trattamento.

È invece degno di nota il punto 9, dove vengono trattate interessati misure di sicurezza tecniche e organizzative imposte al titolare che intende installare un impianto di videosorveglianza, con misure adeguate al rischio del trattamento (art. 32) e misure di privacy by default e by design (art. 25); peraltro, va previsto anche un organigramma di gestione del trattamento dei dati, con specifiche procedure di funzionamento; e un richiamo agli standard internazionali sulla sicurezza dei sistemi IT (IEC TS 62045 e ISO/IEC 27000).

In ultimo, al punto 10 il Board raccomanda sempre per i sistemi di videosorveglianza una valutazione di impatto DPIA, secondo quanto previsto nell’art. 35 GDPR, come ad esempio, i trattamenti ricadenti nell’art. 4 dello Statuto dei Lavoratori.

 

Articolo a cura di Giovanni Villarosa

Profilo Autore

Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.

Condividi sui Social Network:

Articoli simili