GDPR e videosorveglianza. Le linee-guida del Comitato Europeo per la Protezione dei Dati
Con le linee-guida sulla videosorveglianza chiariti i termini di applicazione del Regolamento Europeo per la protezione dei dati delle persone fisiche, meglio noto come GDPR, al trattamento dei dati personali mediante utilizzo di dispositivi video tradizionali e intelligenti
Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board, "EDPB"), organo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE, ha varato, al momento in consultazione pubblica1, le Linee Guida n. 3/2019 sul trattamento dei dati in materia di videosorveglianza.
Il documento analizza l’impatto dell’utilizzo dei dispositivi video sul comportamento degli interessati all’interno dell’Unione Europea, date le conseguenze che un simile trattamento dei dati potrebbe avere sui medesimi interessati.
Anche con la videosorveglianza per fini di sicurezza è possibile “associare” altre finalità “meno gradite” agli interessati, come il marketing o le analisi delle prestazioni lavorative. In tal caso, i dispositivi di videosorveglianza possono trasformarsi in sistemi “intelligenti”, combinando tra loro ingenti quantità di dati che aumentano il rischio di utilizzi secondari (collegati o meno alle finalità originarie), ovvero ad utilizzi illeciti.
Per tali motivi il Comitato dispone che anche nell’utilizzo dei dispositivi video vengano sempre rispettati i “principi applicabili al trattamento di dati personali”2 e che la videosorveglianza venga effettuata solo quando non vi siano altre modalità, meno intrusive, per ottenere il medesimo scopo.
Di seguito si riportano i principali aspetti di interesse per le imprese.
Cos'è un sistema di videosorveglianza ?
Un sistema di videosorveglianza è costituito da dispositivi analogici e digitali e da un software che permette di catturare le immagini di una scena, gestirle e mostrarle all’operatore preposto (es. il titolare del trattamento o un suo dipendente). I suoi componenti sono raggruppati nelle seguenti categorie:
- ambiente video: acquisizione delle immagini, interconnessioni e gestione delle immagini. Lo scopo della cattura delle immagini è la generazione di un’immagine del mondo reale in un formato tale da poter essere utilizzata dal sistema di videosorveglianza. Le interconnessioni descrivono tutte le trasmissioni di dati all’interno dell’ambiente video (connessioni e comunicazioni). Esempi di connessioni sono i cavi, le connessioni digitali e le trasmissioni wireless. Le comunicazioni descrivono tutti i segnali video e di controllo dei dati, che possono essere digitali o analogici. La gestione delle immagini include l’analisi, la memorizzazione e la presentazione di un’immagine o di una sequenza di immagini;
- data management e activity management, che comprendono la gestione dei comandi dell’operatore e delle attività generate dal sistema (procedure di allarme, avviso degli operatori);
- le interfacce con altri sistemi possono includere il collegamento ad altri sistemi di sicurezza (controllo accessi, allarme antincendio) e di altri sistemi che non riguardano la sicurezza (sistemi di gestione degli edifici, riconoscimento automatico delle targhe).
Legittimo interesse
Il Comitato pone il legittimo interesse al primo posto tra le basi giuridiche utilizzabili in materia di videosorveglianza.
E' possibile procedere con tale base giuridica a condizione che il legittimo interesse del titolare (es. sicurezza dei beni aziendali) prevalga sugli interessi, i diritti e le libertà delle persone interessate (es. lavoratori dell’azienda): in questo caso lo scopo di proteggere l’azienda da furti, rapine o vandalismi può costituire un legittimo interesse per procedere con la videosorveglianza.
Il legittimo interesse deve esistere realmente e, quindi, non deve essere fittizio o speculativo. È necessario rifarsi a situazioni di pericolo reale (es. furti o incidenti gravi verificatisi in passato) prima di iniziare il trattamento dei dati. Il Comitato suggerisce, in virtù del “principio di responsabilizzazione”4, che i titolari del trattamento documentino gli incidenti rilevanti (data, modalità, perdite finanziarie) ed i supposti reati, se esistenti. Tale documentazione può costituire una prova evidente dell’esistenza di un legittimo interesse (nonché tutelerebbe il titolare del trattamento in ottica di responsabilizzazione).
Modalità di conservazione delle registrazioni
Per quanto riguarda il modo in cui sono conservate le registrazioni, in alcuni casi potrebbe essere necessario utilizzare soluzioni di sovrascrittura automatica, con video accessibili solo in caso di incidente, in altre situazioni potrebbe non essere necessario registrare, ma solo monitorare in tempo reale (rilevazione). La decisione tra le due soluzioni dovrebbe basarsi anche sullo scopo perseguito: se, ad esempio, lo scopo della videosorveglianza è la conservazione delle prove, la rilevazione è inadatta.
Tuttavia, a volte, il monitoraggio in tempo reale può anche essere più intrusivo.
Il titolare del trattamento deve considerare:
- in che misura il controllo incide sugli interessi legittimi, i diritti e le libertà fondamentali;
- se ciò comporta violazioni o conseguenze negative per quanto riguarda i dati personali dell’interessato;
- se ciò comporta violazioni o conseguenze negative per quanto riguarda i dati personali dell’interessato.
Bilanciamento degli interessi
È necessario equilibrare il rapporto tra i “diritti e le libertà fondamentali” da un lato e i legittimi interessi del titolare dall’altro. Il titolare del trattamento deve sempre valutare attentamente i rischi di intrusione sui diritti e le libertà dell’interessato; in questo caso il criterio decisivo è l’intensità dell’intervento per i diritti e le libertà dell’individuo.
L’intensità può essere circoscritta, tra l’altro, dal tipo di informazioni raccolte (contenuto delle informazioni), dalla portata (numero delle informazioni, estensione territoriale e geografica), dal numero di persone interessate, dalla situazione in questione, dagli interessi delle persone interessate, da modalità alternative, nonché dalla natura e dalla portata della valutazione dei dati. Ad esempio, deve essere valutato diversamente l’utilizzo della videosorveglianza in un’area remota (ad es. per osservare la fauna selvatica o per proteggere infrastrutture critiche come un’antenna radio privata), dall’utilizzo della medesima in una zona pedonale o in un centro commerciale.
Consenso
Diversamente dal legittimo interesse, il consenso si pone come una base giuridica “residuale” in materia di videosorveglianza.
Difficilmente il titolare del trattamento sarà in grado di dimostrare che l’interessato abbia prestato il proprio consenso prima dell’inizio del trattamento dei dati personali (si pensi alla situazione grottesca della prestazione del consenso prima di entrare nel raggio d’azione di una telecamera di un negozio). Inoltre, nel caso dell’esercizio della revoca del consenso, sarà difficile per il titolare del trattamento dimostrare che i dati personali non sono più trattati.
In ogni caso, se il titolare del trattamento richiedesse il consenso, sarebbe suo dovere assicurarsi che ogni interessato sottoposto a videosorveglianza abbia prestato la sua “manifestazione di volontà”.
Trattamento di dati particolari
I sistemi di videosorveglianza raccolgono una mole di dati talmente ampia che può contenere anche dati di natura “particolare” (già dati sensibili). I dati particolari sono quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute, nonché i dati relativi alla vita sessuale e all’orientamento sessuale della persona interessata.
Il Comitato si sofferma principalmente sul trattamento mediante videosorveglianza realizzato con l’utilizzo di dati biometrici. Essi sono relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
Nell’ambito della videosorveglianza “intelligente” il riconoscimento facciale è il trattamento di dati biometrici maggiormente utilizzato. Il Comitato considera tre criteri per il trattamento dei dati biometrici in ambito videosorveglianza:
- natura dei dati;
- modalità del trattamento;
- finalità del trattamento.
L’utilizzo di videosorveglianza con riconoscimento facciale, da parte di privati, richiede nella maggior parte dei casi il consenso esplicito7. In questo caso, i titolari del trattamento devono garantire, una volta ottenuto un modello biometrico, la sicura cancellazione di tutti i modelli intermedi.
I modelli creati per l’acquisizione dei profili degli interessati devono essere conservati solo per la realizzazione dello scopo dell’elaborazione e non devono essere conservati in alcun modo.
Tuttavia, specifica il Comitato, quando lo scopo del trattamento è, ad esempio, quello di distinguere una categoria di persone da un’altra, ma non quello di identificare in modo univoco chiunque passi nel raggio d’azione della telecamera, il trattamento non rientra nell’ambito di applicazione della categoria di dati personali particolari (ad es. differenziazione dei clienti per genere ed età, per finalità di marketing).
Diritti dell'interessato
Anche se in ambito videosorveglianza trovano applicazione, potenzialmente, tutti i diritti di cui previsti dal GDPR, il Comitato tratta unicamente del diritto di accesso8, del diritto alla cancellazione9 e del diritto di opposizione10.
DIRITTO DI ACCESSO - L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali […]. In ambito videosorveglianza significa che, se in un qualsiasi modo, non vengono memorizzati o trasferiti i dati, una volta trascorso il momento del monitoraggio in tempo reale, il titolare del trattamento può comunicare all’interessato unicamente che i suoi dati personali non vengono più trattati.
Se, tuttavia, i dati sono ancora in corso di trattamento al momento della richiesta (ossia se i dati sono conservati o trattati in modo continuativo in qualsiasi altro modo), l’interessato potrà procedere con l’esercizio del diritto di accesso.
Vi sono tuttavia una serie di limitazioni in relazione al diritto di accesso. Il diritto di ottenere copia dei dati personali non deve ledere i diritti e le libertà altrui: dato che un filmato di videosorveglianza può registrare l’attività di un’ingente mole di persone, la copia di un video o di un’immagine potrebbe generare un ulteriore trattamento dei dati personali riferiti ad altre persone interessate. Se l’interessato desiderasse ricevere una copia, la stessa potrebbe pregiudicare i diritti e le libertà degli altri interessati presenti nel video o nell’immagine. In questo caso il titolare del trattamento dovrà mettere in campo una o più tecniche che non permettano di ricondurre il video o la foto ad altre persone, salva la presenza dello stesso interessato (ad esempio, tecniche di mascheramento).
Se il titolare del trattamento non è in grado di identificare l’interessato, lo stesso titolare deve informare l’interessato.
In caso di richieste eccessive o manifestamente infondate da parte dell’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole. Il titolare del trattamento deve essere in grado di dimostrare il carattere eccessivo o manifestamente infondato della richiesta.
DIRITTO DI CANCELLAZIONE - Se il titolare del trattamento continua a trattare i dati personali al di là del monitoraggio in tempo reale (ad esempio, mediante conservazione), l’interessato può chiedere la cancellazione dei dati personali. Su richiesta dell’interessato, il titolare del trattamento è tenuto a cancellare i dati personali senza indebito ritardo se, ad esempio, non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, ovvero quando sono stati trattati illecitamente.
DIRITTO DI OPPOSIZIONE - Il diritto di opposizione potrebbe essere esperito prima dell’ingresso, durante il periodo di permanenza o dopo l’uscita dall’area videosorvegliata. In pratica, a meno che il titolare non abbia motivi imperativi e legittimi, il monitoraggio di un’area in cui le persone fisiche possono essere identificate è lecito soltanto se:
- il titolare del trattamento è in grado di interrompere immediatamente il trattamento dei dati personali mediante videosorveglianza, quando richiesto oppure
- l’area monitorata è talmente limitata nei dettagli che il titolare può ottenere l’approvazione dell’interessato prima dell’ingresso nell’area (non essendo un’area alla quale l’interessato, in quanto cittadino, ha diritto di accesso).
Tempo di conservazione dei dati
In ottemperanza al principio di minimizzazione dei dati11 ed al principio di limitazione della conservazione12, i dati personali non possono essere conservati più a lungo di quanto necessario per le finalità per le quali i dati personali sono raccolti e trattati.
In generale, le finalità legittime della videosorveglianza riguardano la protezione della proprietà o la conservazione delle prove. Di solito, afferma il Comitato, i danni che si sono verificati possono essere riconosciuti entro uno o due giorni. Trascorso questo periodo si procede alla loro cancellazione (solitamente, mediante sovrascrittura automatica). In ogni caso, più lungo è il periodo di conservazione (in particolare quando supera le 72 ore), più argomentazioni bisogna produrre e documentare a sostegno della legittimità della conservazione dei dati (principio di responsabilizzazione)13.
Le misure di sicurezza
Il trattamento dei dati personali mediante videosorveglianza non deve essere soltanto legalmente ammissibile, ma anche “adeguatamente sicuro”. A tal fine i titolari del trattamento devono attuare misure tecniche e organizzative14 anche al fine di salvaguardare la protezione dei dati mediante videosorveglianza, nonché per stabilire le modalità che consentano agli interessati di esercitare i loro diritti GDPR.
In altri termini, i titolari del trattamento devono attuare misure tecniche e organizzative adeguate in materia di protezione dei dati prima dell’installazione di un sistema di videosorveglianza (la c.d. "privacy by design"), ossia prima di iniziare la raccolta e l’elaborazione dei dati mediante le telecamere, utilizzando per impostazione predefinita i soli dati necessari per le finalità del trattamento (la c.d. "privacy by default"). Tali principi sottolineano la necessità di avvalersi di tecnologie integrate per il miglioramento della protezione dei dati, di impostazioni predefinite che riducano al minimo il trattamento dei dati, nonché di strumenti necessari per garantire la massima protezione possibile ai dati personali.
I titolari del trattamento dovrebbero integrare la protezione dei dati anche da un punto di vista organizzativo. In questo caso il titolare del trattamento dovrebbe adottare un quadro di gestione adeguato, nonché definire e applicare le policy e le procedure relative alla videosorveglianza.
Dal punto di vista tecnico, le specifiche del sistema e la relativa progettazione dovrebbe includere tutti requisiti per il trattamento dei dati personali conformemente ai principi di liceità del trattamento, limitazione delle finalità e minimizzazione dei dati.
DPIA (Valutazione di impatto privacy)
Il titolare del trattamento è tenuto ad effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) quando un tipo di trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche16.
I titolari del trattamento sono tenuti ad effettuare una DPIA nel caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico. E' altresì richiesta una DPIA quando il titolare del trattamento intende trattare categorie particolari di dati su larga scala17.
Date le diverse finalità di un trattamento mediante videosorveglianza (ad es. protezione delle persone e dei beni, individuazione, prevenzione e controllo dei reati, raccolta di prove e identificazione biometrica dei sospetti), è ragionevole supporre che siano molti casi in cui è richiesta una DPIA.
Pertanto, i titolari del trattamento dei dati dovrebbero consultare attentamente le norme per determinare se tale valutazione è necessaria e, in caso affermativo, effettuarla. L’esito della DPIA dovrebbe determinare le scelte del titolare del trattamento in merito alle misure adottate.
Infine, è importante evidenziare che se i risultati della DPIA indicassero la presenza di rischio elevato per il trattamento, in assenza di misure adottate dal titolare per attenuare il rischio, sarà necessario consultare l’Autorità di controllo (il Garante Privacy)18.
Note
1. Le Linee Guida sono state adottate il 10/07/2019. È possibile inviare commenti al Comitato Europeo per la Protezione dei Dati all’indirizzo EDPB@edpb.europa.eu fino al 06/09/2019.
2. Art. 5 del GDPR.
3. Art. 6, comma 1, lettera f) del GDPR.
4. Art. 5, comma 2, del GDPR.
5. Art. 9, comma 1, del GDPR.
6. Artt. 4 n. 14) e 9 del GDPR.
7. Art. 9, comma 2 lettera a) del GDPR.
8. Art. 15 del GDPR.
9. Art. 17 del GDPR.
10. Art. 21 del GDPR.
11. Art. 5, comma 1, del GDPR.
12. Art. 5, comma 1, lettera e) del GDPR.
13. Art. 5, comma 2, del GDPR.
14. Art. 25 del GDPR.
15. Per esempi sulle misure di sicurezza, si rinvia al punto 9.3 delle Linee Guida 3/2019.
16. Art. 35, comma 1, del GDPR.
17. Art. 35, comma 3, del GDPR.
18. Art. 36 del GDPR.
Contatti
Ulteriori informazioni e chiarimenti possono essere richiesti al settore Fisco e Diritto d'Impresa, tel. 0258370.267/308, e-mail fisc@assolombarda.it
Non sei associato e ti servono informazioni?
ContattaciAzioni sul documento