NORMATIVA PRIVACY

Trattamento di dati personali mediante sistemi di videosorveglianza, linee guida dell’EDPB: il testo definitivo

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il testo definitivo delle Linee guida relative al trattamento di dati personali mediante sistemi di videosorveglianza. Ecco tutte le nuove regole per la compliance al GDPR

06 Mar 2020
Z
Selina Zipponi

Privacy Specialist


Lo scorso 29 gennaio il Comitato europeo per la protezione dei dati (EDPB) ha adottato il testo definitivo delle Linee guida relative al trattamento di dati personali mediante sistemi di videosorveglianza, dopo la fase di consultazione pubblica conclusasi il 9 settembre 2019.

Rispetto al testo già noto, in questa nuova versione il Comitato si è limitato a precisare alcuni concetti o esempi, senza apportare modifiche sostanziali.

Di seguito si riassumono i principali chiarimenti forniti dal board, indicando alcune delle integrazioni rispetto alla versione precedentemente pubblicata.

Campo di applicazione

Si ribadisce che la normativa sulla tutela dei dati personali non si applica all’ipotesi di telecamere finte (“fake cameras”), pur riconoscendo che in alcuni stati membri potrebbero essere soggette a normativa specifica, nonché le riprese effettuate dalle telecamere integrate negli autoveicoli per assistenza al parcheggio, purché siano impostate in modo da non riprendere le targhe o comunque da non consentire l’identificazione dei passanti.

Quanto alla “household exception”, la stessa deve essere interpretata in modo restrittivo: ad esempio, non vi può rientrare un sistema di videosorveglianza il cui cono di ripresa sia orientato in modo da riprendere anche parzialmente uno spazio pubblico, fuoriuscendo dal perimetro privato.

Criteri di liceità del trattamento

La videosorveglianza può essere funzionale a varie finalità, che dovranno essere documentate in modo specifico e per iscritto, per ciascun sistema in uso. I sistemi utilizzati dallo stesso titolare del trattamento per la medesima finalità, possono essere documentati congiuntamente.

I criteri di liceità da privilegiare per fondare questo tipo di trattamento sono il legittimo interesse ai sensi dell’art. 6.1. lett. f) GDPR ovvero l’adempimento di un obbligo di legge ai sensi dell’art. 6.1. lett. c) GDPR. Quanto al primo, dovrà consistere in un interesse, del titolare del trattamento o di un terzo, di tipo legale, economico o non-materiale.

Ai fini del rispetto del principio di accountability, l’esistenza di un legittimo interesse reale ed attuale potrà essere documentata facendo riferimento ad episodi verificatisi ovvero a dati statistici sulla criminalità relativi alla zona in considerazione.

Nel decidere il “quando” e “dove” del sistema, dovrà essere rispettato il principio di minimizzazione: generalmente la necessità di utilizzare il sistema per proteggere la proprietà del titolare del trattamento finisce ai confini della stessa e, ove in casi eccezionali sia necessario estendere le riprese nelle immediate vicinanze, dovranno essere implementate apposite misure di sicurezza fisiche e tecniche.

Il principio di minimizzazione dovrà essere rispettato anche nella scelta tra registrazione delle immagini o visione in tempo reale (quest’ultima modalità, infatti, in determinati casi potrebbe risultare addirittura più intrusiva).

La sussistenza del legittimo interesse deve essere valutata caso per caso e deve tenere in considerazione le ragionevoli aspettative dell’interessato di essere ripreso. Queste devono essere intese non come percezioni soggettive dell’interessato, bensì come aspettative oggettive, che potrebbero sussistere per un qualsiasi interessato (ad esempio, in certe situazioni è esclusa la ragionevole aspettativa del lavoratore di essere ripreso nei luoghi di lavoro, oppure è esclusa in giardini privati o all’interno delle aree ricreative quali ristoranti, parchi, cinema, palestre).

Infine, è chiarito che l’affissione di cartelli che rendono nota la presenza del sistema di videosorveglianza non ha alcun rilievo nel determinare se un interessato potrebbe oggettivamente aspettarsi quel trattamento.

Su questo specifico aspetto, la nuova versione delle linee guida aggiunge un esempio: il titolare di un esercizio commerciale non potrà fare affidamento sul fatto che i clienti abbiano oggettivamente una legittima aspettativa di essere ripresi solo perché un cartello all’ingresso del negozio informa gli utenti dell’esistenza del sistema.

Quanto al consenso, lo stesso potrà essere utilizzato come criterio di liceità solo in casi eccezionali, e purché in linea con tutti i requisiti di cui all’art. 7 GDPR: ad esempio, potrebbe non costituire una dichiarazione o una chiara azione positiva il fatto di entrare in una zona sorvegliata seppure delimitata (a cui si debba accedere tramite percorso o cancello dedicato), qualora non siano rispettati i criteri di cui agli articoli 4 e 7 del GDPR, come descritti nelle linee guida del WP 29 in materia di consenso.

Trasmissione delle riprese video a soggetti terzi

Il Comitato chiarisce che la trasmissione dei filmati a terzi costituisce un’operazione di trattamento distinta rispetto alla registrazione stessa e che, conseguentemente, deve basarsi su un proprio criterio di liceità (ad esempio, ove si vogliano pubblicare le immagini sul web sarà necessario il consenso dell’interessato). Il soggetto terzo ricevente deve a sua volta effettuare un’analisi per individuare il criterio di liceità del proprio trattamento di dati personali (ricezione dei filmati).

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Generalmente la trasmissione delle riprese avverrà nei confronti di autorità competenti alla prevenzione dei reati, e pertanto, ove la legislazione dello stato membro preveda l’obbligo di cooperare con tali autorità, sarà basata sull’obbligo di legge ai sensi dell’art. 6.1. lett. c) GDPR.

È necessario, tuttavia, operare una distinzione: qualora sia l’autorità a richiedere le immagini, la trasmissione delle stesse potrà basarsi sull’obbligo legale, mentre qualora sia il titolare del trattamento che, sospettando un illecito, voglia trasmetterle alle autorità, dovrà valutarsi se sussistano i requisiti del legittimo interesse ai sensi dell’art. 6.1. lett. f) GDPR.

Una volta effettuata la trasmissione, il trattamento dei dati personali da parte delle autorità competenti per la prevenzione dei reati non ricadrà nel campo di applicazione del GDPR, bensì della Direttiva UE 2016/680 (che ha trovato attuazione in Italia con il D.lgs. 51/2018).

Categorie particolari di dati

Nel caso in cui attraverso il sistema di videosorveglianza si trattino anche categorie particolari di dati, oltre al criterio di liceità di cui all’art. 6 GDPR dovrà essere presente anche una delle eccezioni di cui all’art. 9 GDPR.

Con riferimento a quest’ultimo, si sottolinea come non tutte le eccezioni ivi previste siano applicabili a questo peculiare trattamento. Può utilizzarsi, ad esempio, l’eccezione della necessità di salvaguardare l’interesse vitale dell’interessato o di un terzo, mentre non è configurabile l’ipotesi di dati resi manifestamente pubblici dall’interessato (il fatto che l’interessato entri in un’area videosorvegliata non implica che intenda rendere pubblici i dati sensibili che lo riguardano).

Dati biometrici

La ripresa delle caratteristiche fisiche/fisiologiche/comportamentali di un individuo comporta il trattamento di dati biometrici ai sensi dell’art. 9 GDPR ove sia oggetto di uno specifico trattamento tecnico allo scopo di identificare in modo univoco una persona fisica.

In tal caso, è essenziale che il trattamento avvenga nello stretto rispetto dei principi di liceità, proporzionalità e minimizzazione. È inoltre necessario procedere ad una attenta valutazione dell’impatto del trattamento dei dati personali sui diritti e le libertà fondamentali dell’individuo, considerando la possibilità di utilizzare mezzi meno intrusivi per il raggiungimento delle legittime finalità del trattamento.

L’installazione di telecamere con funzionalità di riconoscimento biometrico (spesso utilizzate per finalità di sicurezza, marketing o statistiche) richiederà in molti casi il consenso dell’interessato ai sensi dell’art. 9 lett. a) GDPR.

Ad esempio, nel caso in cui si voglia utilizzare un sistema di riconoscimento facciale per l’accesso ad un edificio, dovrà essere raccolto il consenso espresso ed informato degli interessati. Inoltre, sarà necessario assicurare che non siano catturate le immagini di soggetti che non hanno prestato il loro consenso (ad esempio, prevedendo l’attivazione del sistema da parte dell’interessato, mediante un apposito pulsante). Dovranno inoltre essere garantite modalità alternative di accesso (es. mediante badge o chiave).

Allo stesso modo, il titolare del trattamento non potrà condizionare l’accesso ai propri servizi all’approvazione del trattamento di dati biometrici, ma dovrà essere sempre garantita un’alternativa senza costi aggiuntivi. La soluzione alternativa è necessaria anche in considerazione del fatto che alcuni soggetti potrebbero, ad esempio per alcune disabilità, avere difficoltà nell’utilizzo del sistema. Potrebbero inoltre verificarsi casi di impossibilità di utilizzo o di malfunzionamento del sistema, che richiederebbero comunque una “backup solution”.

Rispetto a quanto sopra, la versione definitiva delle linee guida fa una precisazione: in casi eccezionali, potrebbe accadere che la “core activity” del servizio oggetto del contratto sia rappresentato proprio dal trattamento di dati biometrici: ad esempio, nel caso di un museo che organizzi una esibizione al fine di dimostrare l’utilizzo di un sistema per il riconoscimento facciale. In questo caso gli interessati, per partecipare all’esibizione, non potrebbero opporsi al trattamento di dati biometrici, ma il consenso prestato sarebbe considerato comunque valido.

Quanto alle misure per minimizzare il rischio, il Comitato ne suggerisce alcune (conservazione dei dati biometrici in un supporto nella esclusiva disponibilità dell’interessato, utilizzo della crittografia; segregazione dei dati biometrici rispetto agli altri dati dell’interessato ecc.) e, nella versione definitiva, precisa che le misure dovranno evolvere in relazione ai progressi della tecnologia.

Diritti degli interessati

Rispetto al trattamento effettuato con sistemi di videosorveglianza, il diritto di accesso dell’interessato deve essere garantito tenendo in considerazione anche i diritti di terzi che potrebbero essere presenti nelle immagini.

A tal fine, il titolare del trattamento dovrebbe implementare misure tecniche adeguate, quali l’oscuramento delle immagini nella parte non pertinente. Ciononostante, nella nuova versione delle linee guida è chiarito che il titolare del trattamento non è obbligato a implementare tali misure ove possa assicurare in altro modo di essere in grado di soddisfare eventuali richieste degli interessati ai sensi dell’art. 15 GDPR.

Dal momento che l’individuazione delle immagini che si riferiscono all’interessato potrebbe essere difficoltosa per il titolare del trattamento (e richiedere la visione di svariate immagini), l’interessato dovrà indicare il momento in cui è entrato nel raggio di azione della telecamera. Inoltre, dovrà identificarsi di persona o tramite documento di identità.

Nel caso in cui il titolare del trattamento dimostri che non è in grado di identificare l’interessato, dovrà informarlo. Nella versione successiva alla consultazione, si precisa che in tale comunicazione il titolare del trattamento dovrà indicare l’esatta area di ripresa e le telecamere che erano in uso, così che il soggetto abbia piena consapevolezza di quali suoi dati personali potrebbero essere stati trattati.

Nel caso di trattamento basato sul legittimo interesse, alle condizioni di cui all’art. 21 GDPR l’interessato potrà esercitare altresì il diritto di opposizione al trattamento dei propri dati personali. In particolare, tale diritto potrà essere esercitato sia al momento di ingresso nell’area videosorvegliata, sia durante la permanenza, che dopo esserne uscito.

Pertanto, il trattamento sarà lecito solo nel caso in cui: a) il titolare del trattamento sia in grado di interrompere immediatamente le riprese ove richiesto; o b) l’area videosorvegliata sia delimitata, cosicché il titolare possa assicurare che gli interessati abbiano dato la propria approvazione prima di entrare (e non si tratti di un’area a cui gli interessati hanno diritto di accedere in quanto cittadini).

Trasparenza e informativa

Il Comitato conferma la nuova versione della segnaletica. Nel primo “layer” (cartello) devono essere contenute le informazioni più importanti, mentre gli altri dettagli possono essere comunicati con altri strumenti (secondo layer).

Rispetto alle informazioni dei cartelli attualmente utilizzati sulla base del provvedimento del Garante italiano del 2010 in tema di videosorveglianza, il modello del Comitato Europeo contiene informazioni aggiuntive: i dati di contatto del DPO ove applicabile, l’indicazione dei diritti degli interessati, le informazioni sul trattamento dei dati personali che hanno il maggiore impatto sugli interessati (ad es. il termine di conservazione dei dati e la comunicazione di dati a terzi).

Il posizionamento della segnaletica deve consentire all’individuo di vedere il cartello da una ragionevole distanza dall’area monitorata, in modo che l’interessato possa eventualmente evitare di entrare nell’area di ripresa delle telecamere.

Quanto al secondo “layer” (informativa completa di tutti gli elementi di cui all’art. 13 GDPR) il Comitato suggerisce l’utilizzo di mezzi digitali che consentano di leggere anche l’informativa estesa senza entrare nell’area videosorvegliata (es. QR code o link a sito web), ma, in ogni caso, precisa che l’informazione dovrebbe essere facilmente accessibile anche non digitalmente.

Tempi di conservazione

Le linee guida confermano che rientra nel principio di responsabilizzazione, e dunque nella esclusiva responsabilità del titolare del trattamento, stabilire i termini di conservazione delle immagini.

Il termine, specie se superiore alle 72 ore, dovrà essere compiutamente motivato e documentato, al fine di dimostrare la necessità e proporzionalità della conservazione delle immagini.

Nella versione definitiva, il Comitato aggiunge un suggerimento: è nell’interesse dello stesso titolare del trattamento, al fine di rendere più agevole la dimostrazione del rispetto della normativa in materia di dati personali, adottare misure organizzative adeguate quali la nomina di un referente per la visione e la messa in sicurezza delle immagini.

Misure tecniche e organizzative

Il Comitato valorizza il principio di privacy by design e by default, sancito dall’art. 25 GDPR, e l’adozione di misure organizzative interne quali policy e procedure.

Nella scelta delle soluzioni tecniche disponibili dovranno essere privilegiati i sistemi in grado di cancellare o oscurare le immagini, ovvero in grado di editarle eliminando l’immagine di terzi in caso di richieste dell’interessato. Ove siano previste funzionalità tecniche non necessarie (es. zoom o registrazione audio), tali funzioni andranno disattivate e ne dovrà essere proibito l’utilizzo da parte degli addetti al sistema.

Sono inoltre suggerite alcune misure di sicurezza tecniche quali la crittografia, la trasmissione delle immagini attraverso canali sicuri, il posizionamento degli schermi in modo che solo gli autorizzati possano vedere le immagini (specie nelle reception o nei luoghi aperti al pubblico).

Valutazione d’impatto

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Posto che i sistemi di videosorveglianza, per le specifiche finalità, in molti casi rientrano nelle ipotesi in cui è necessario svolgere una valutazione di impatto ai sensi dell’art. 35 GDPR, il Comitato invita i titolari del trattamento a tenere in considerazione le linee guida in materia di valutazione di impatto (che contengono svariati esempi in tema di videosorveglianza) nonché le liste dei trattamenti di dati personali soggetti all’obbligo di valutazione di impatto emanate dalle autorità nazionali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5