Contattaci: +39 02 55186649
E-mail: segreteria@verifiche.info

Linee guida videosorveglianza del Comitato Europeo per la protezione dei dati: primi commenti

Il Comitato č intervenuto allo scopo di delineare un quadro omogeneo in tema di video sorveglianza

In corso di approvazione, le Linee Guida 3 del 2019, adottate il 10 luglio scorso, puntano a realizzare una coerente applicazione del GDPR in tutti gli Stati dell’Unione Europea, analizzando l’impatto dell’utilizzo di dispositivi video sul comportamento degli interessati all’interno dell’Unione Europea. A questo proposito il Comitato è intervenuto allo scopo di delineare un quadro omogeneo in tema di video sorveglianza. Il Comitato ha precisato che, nell’utilizzo dei dispositivi video, gli Stati membri devono sempre rispettare i principi applicabili al trattamento dei dati personali, tra cui quelli della liceità, correttezza e trasparenza.

Contesto e scopo delle Linee Guida

Il livello di attenzione dedicato alla materia è sempre più elevato, a fronte anche dell’utilizzo di tecnologie sempre più avanzate, nonché di sistemi cosiddetti “intelligenti”, sempre più rischiosi per i diritti e le libertà fondamentali dell’individuo. Prima di procedere all’installazione di un impianto di videosorveglianza, il Comitato europeo ricorda che bisogna verificare che si tratti realmente di uno strumento proporzionato alla finalità perseguita (principio della limitazione della finalità). Lo scopo delle Linee Guida del Comitato Europeo è quello di fornire elementi utili al fine di utilizzare in modo lecito e conferme al GDPR i sistemi di videosorveglianza.

Le misure preventive del Comitato

Per minimizzare la raccolta dei dati, il Comitato suggerisce di ricorrere a soluzioni quali la cancellazione automatica mediante per esempio la sovrascrittura del registrato, con video accessibili solo in caso di necessità. A questo riguardo si individuano due misure necessarie alla corretta gestione e alla raccolta dei dati personali provenienti da sistemi di videosorveglianza:

  • Redazione della DPIA (Data Protection Impact Assessment) per la valutazione di impatto sulla protezione dei dati personali, nei casi in cui vi sia una sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • Nomina del Responsabile per la protezione dei dati (o DPO – RPD), in tutti i casi in cui vi sia un monitoraggio regolare e sistematico degli interessati su larga scala.

Quando non si applica il GDPR? – Alcuni esempi

Proseguendo nella lettura delle Linee guida, il Comitato individua specifici casi di trattamento dei dati tramite videosorveglianza ai quali non si applica la normativa vigente:

  • Telecamere finte: le telecamere non funzionanti non trattano dati personali. N.B. È importante notare che anche nel caso di telecamere finte o non collegate si potranno presentare dei profili relativi alla tutela del lavoratore come sancito dallo Statuto dei lavoratori.
  • Registrazioni effettuate dall’alto, per esempio con Droni, rientrano nell’ambito del GDPR solo se i dati personali possono essere collegati ad una persona specifica;
  • Telecamere per il park assist, a condizione che non riprendano alcuna informazione relativa a persone fisiche identificate o identificabili (esempio le targhe);
  • Trattamento di dati effettuato dalle Autorità competenti ai sensi della Direttiva EU 680 del 2016;
  • Trattamento dei dati effettuato da parte di una persona fisica per scopi personali o domestici, svolti cioè nell’ambito della sfera privata o familiare di un soggetto.

Cosa fare per essere conformi?
Riprendendo il provvedimento del Garante per la protezione dei dati in materia di videosorveglianza, ed in conformità con quanto previsto dal GDPR, il Comitato afferma inoltre che il trattamento dei dati personali con l’ausilio di dispositivi di sorveglianza deve essere effettuato per finalità determinate, esplicite e legittime; i Titolari del trattamento devono individuare la corretta base giuridica ai fini della liceità del trattamento (tra le quali il legittimo interesse del titolare o di un terzo); in caso di trattamento mediante videosorveglianza di dati “particolari” (ad esempio i dati cosiddetti biometrici) e nel caso in cui il sistema rientri nelle condizioni d’obbligo della DPIA, i Titolari devono procedere con una valutazione d’impatto; gli interessati devono essere informati della presenza di impianti di videosorveglianza in modo chiaro ed intuitivo, mediante sia l’utilizzo di vignette che dovranno riportare tra le altre cose, i dati del DPO (se previsto), sia attraverso l’informativa completa ai sensi dell’articolo 13 GDPR; il trattamento dei dati mediante impianti videosorveglianza deve sempre tenere presente quanto previsto dall’articolo 4 delle Legge 300 Statuto dei lavoratori circa il divieto di controllo a distanza dei lavoratori; infine i Titolari del trattamento devono determinare con esattezza il periodo di conservazione dei dati raccolti e garantire misure tecniche ed organizzative di sicurezza elevate.

Nelle Linee infine viene riportato un esempio di segnaletica, conforme al GDPR, da utilizzare per segnalare le aree soggette a videosorveglianza nel rispetto degli elementi essenziali come da articolo 13 del GDPR, con accesso più smart, attraverso smartphone e tablet, alla policy privacy completa del soggetto. E’ importante quindi redigere una privacy policy sulla videosorveglianza completa e pubblicarla.