NORMATIVA PRIVACY

Trattamento di dati personali nei sistemi di videosorveglianza: le linee guida europee

Il trattamento di dati personali effettuato mediante sistemi di videosorveglianza potrebbe risultare invasivo per l’interessato e richiede quindi una corretta attuazione dei principi di accountability, privacy by design e by default da parte del titolare del trattamento stesso. Ecco le linee guida per la compliance GDPR

16 Set 2019
Z
Selina Zipponi

Privacy Specialist


Tra i trattamenti di dati personali, particolare rilievo assume il trattamento di dati personali effettuato mediante sistemi di videosorveglianza, in quanto, anche grazie all’evoluzione della tecnologia, può risultare particolarmente invasivo per l’interessato.

Su questo tema, il 9 settembre si è conclusa la fase di consultazione pubblica relativa alle linee guida n. 3/2019 del Comitato Europeo per la protezione dei dati, adottate il 10 luglio 2019. A breve sarà dunque reso pubblico il documento definitivo. Il testo proposto, che all’esito della anzidetta consultazione potrebbe subire qualche modifica o integrazione, appare di notevole importanza per gli interpreti, in quanto fornisce chiarimenti e suggerimenti operativi.

Inoltre, le indicazioni dei Garanti Europei, pur avendo contenuto più ampio, confermano la bontà dell’impostazione italiana di cui al noto Provvedimento del Garante dell’8 aprile 2010 (oggi convivente, nei limiti di compatibilità, con il Regolamento Europeo e con il Codice Privacy novellato).

In linea generale, si evidenzia come la videosorveglianza sia una “palestra” per l’attuazione dei principi di accountability, di trasparenza, di privacy by design e by default, che in questo settore si riempiono di un denso contenuto, nonché una materia un in cui, in tale chiave, è possibile valorizzare le procedure interne ed i contratti con i responsabili ai sensi dell’art. 28 del GDPR.

Di seguito una breve analisi delle principali tematiche affrontate dalle linee guida, anche al fine di evidenziarne analogie e differenze rispetto al precedente provvedimento italiano.

Finalità e criteri di liceità del trattamento

Quanto alle legittime finalità del trattamento dei dati personali mediante videosorveglianza, il Comitato indica la tutela della proprietà e dei beni personali, nonché la raccolta di prove ed evidenze da utilizzare nell’ambito di un giudizio civile.

Tali indicazioni combaciano con quelle già fornite dal Garante italiano, che nel provvedimento del 2010 elencava le seguenti finalità:

  • protezione e incolumità degli individui;
  • protezione della proprietà;
  • controllo delle infrazioni da parte di soggetti pubblici;
  • acquisizione di prove.

Il provvedimento del Garante italiano, inoltre, prevedeva la necessità che il trattamento di dati mediante videosorveglianza fosse effettuato alla presenza di uno dei criteri di legittimità previsti dalla disciplina previgente per i soggetti pubblici ovvero per i soggetti privati o gli enti pubblici economici (per questi ultimi, in particolare, l’adempimento di un obbligo di legge, il consenso libero ed espresso o il bilanciamento di interessi operato dal Garante).

I suddetti criteri venivano meglio esplicitati nel successivo paragrafo 6, ove, se da un lato il Garante riconosceva la liceità di un trattamento basato sul consenso, dall’altro appariva scettico sullo stesso, affermando che la possibilità di acquisirlo risulta in concreto limitata dalle caratteristiche stesse dei sistemi di rilevazione (e affermando quindi la necessità di individuare una idonea alternativa nell’ambito dei requisiti equipollenti del consenso).

Diversamente, le linee guida del Comitato europeo, pur riconoscendo la difficoltà per il titolare di provare che l’interessato abbia manifestato il suo consenso prima del trattamento dei dati (posto che è connaturato alla videosorveglianza il fatto di trattare dati di un numero indefinito di soggetti) nonché la difficoltà, in caso di revoca del consenso, di dimostrare di aver cessato il trattamento, sembrano maggiormente fiduciose nella possibilità di ricorrere a questa base giuridica per la videosorveglianza.

Come esempio pratico, viene proposta l’ipotesi di alcuni atleti che acconsentano alla ripresa delle proprie attività al fine di documentare le loro performance. Nel caso, però, in cui si decida di riprendere tutta la squadra (e non un numero limitato di atleti) il consenso non sarebbe valido in quanto non “libero” (i componenti potrebbero sentirsi forzati a prestarlo per non compromettere i compagni di squadra).

In ogni caso, il Comitato fornisce una serie di avvertimenti ai titolari che vogliano utilizzare questa base giuridica:

  • il consenso deve avere i requisiti di cui all’art 7 GDPR ed essere fornito mediante dichiarazione o mediante una chiara azione affermativa (non è considerato tale il mero fatto di entrare in una zona videosorvegliata);
  • per effettuare un monitoraggio sistematico il consenso può essere considerato una valida base di legittimità solo in casi eccezionali;
  • nell’ambito dei rapporti di lavoro il consenso potrebbe non essere liberamente prestato a causa dello squilibrio di potere tra datore di lavoro e lavoratore.

Oltre al consenso, il Comitato valorizza il criterio del legittimo interesse, riconosciuto anche dal nostro Garante che nel provvedimento aveva ravvisato il bilanciamento di interessi dell’attività di videosorveglianza effettuata “nell’intento di perseguire un legittimo interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro”.

Le stesse finalità sono indicate dal Comitato nell’illustrare la base giuridica del legittimo interesse ai sensi dell’art. 6.1 f) del GDPR e del considerando 47. Oltre al bilanciamento di interessi, si evidenzia:

  • la necessità che il legittimo interesse sia realmente esistente e presente;
  • il rispetto del principio di minimizzazione di cui all’art. 5 GDPR (e quindi che il trattamento sia effettivamente necessario);
  • la necessità che la decisione sia presa caso per caso, in considerazione della situazione concreta, e che siano valutate le ragionevoli aspettative dell’interessato che avvenga quel trattamento (tali aspettative, ad esempio, non sussistono allorché il soggetto si trovi in una sauna, mentre sono presenti nel caso in cui l’interessato sia allo sportello di una banca).

Questi elementi dovranno essere ben documentati al fine di attuare il principio di responsabilizzazione di cui all’art 5 ultimo comma, secondo cui il titolare non solo è competente per il rispetto dei principi del GDPR, ma deve anche essere in grado di dimostrarlo. In questo senso, i trattamenti di videosorveglianza appaiono essere terreno fertile per attuare tale principio.

Infine, appare interessante la considerazione del Comitato in merito alla possibilità di basare il trattamento sul criterio di legittimità di cui all’art. 6.1 e (esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri): in particolare, la finalità del trattamento potrebbe essere individuata in obblighi di salute e sicurezza per la tutela di dipendenti e visitatori.

Indipendentemente dalla base giuridica, il trattamento dovrà essere costruito tenendo come faro il principio di minimizzazione di cui all’art 5 GDPR, per cui i dati devono essere adeguati, pertinenti e limitati a quanto necessario: tale principio dovrà essere tenuto in conto anche con riferimento alle caratteristiche dell’impianto, al posizionamento delle telecamere, all’angolo di visuale delle riprese.

Per inciso, si sottolinea come il Comitato chiarisca un possibile equivoco, ovvero quello che tramite la videosorveglianza siano sempre desumibili dati sensibili (ad esempio, ove il soggetto ripreso sia fornito dell’ausilio di una sedia a rotelle o porti degli occhiali).

Le linee guida, infatti, in questo caso escludono che possa ravvisarsi un trattamento di categorie particolari di dati. Non si esclude però che tramite un impianto di videosorveglianza possano essere raccolti e desunti anche dati particolari di cui all’art. 9 GDPR, ad esempio ove siano utilizzate telecamere in grado di identificare le persone che partecipano ad uno sciopero, oppure ove siano monitorati i pazienti all’interno di un ospedale.

Ove si voglia utilizzare la videosorveglianza per trattare dati particolari, dovrà essere presente, oltre ad uno dei criteri di legittimità di cui all’art. 6 GDPR, anche una delle eccezioni di cui all’art. 9 GDPR.

Il criterio da seguire è, anche in questo caso, quello di minimizzazione: anche ove l’art. 9 GDPR non sia applicabile, il titolare dovrà comunque cercare di non catturare immagini che rivelino dati sensibili, indipendentemente dalla finalità perseguita.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Quanto allo specifico trattamento dei dati biometrici, si sottolinea che le linee guida del Comitato Europeo vi hanno dedicato il paragrafo 5.1., al cui testo si rinvia, trattandosi di argomento importante e complesso che necessita un approfondimento a sé stante.

Trasparenza e informativa

Anche per quanto riguarda gli obblighi di trasparenza, le scelte di fondo del Comitato europeo e del Garante italiano coincidono.

Quest’ultimo, nel provvedimento del 2010, aveva previsto una doppia informativa. La prima, minima, deve contenere le informazioni fondamentali sul titolare e sul trattamento, e può essere redatta secondo il modello semplificato allegato in facsimile al provvedimento medesimo: la sua funzione è quella di informare l’interessato del fatto che sta accedendo ad un’area videosorvegliata.

Il supporto che la contiene deve, quindi:

  • essere collocato prima del raggio d’azione delle telecamere, anche nelle immediate vicinanze;
  • deve aver un formato e un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale;
  • può inglobare un simbolo o una stilizzazione di immediata comprensione.

Tale informativa minima può poi rinviare alla seconda informativa, completa, contenente tutte le informazioni di cui all’ora abrogato art. 13 del Codice Privacy.

La seconda informativa deve essere facilmente accessibile agli interessati, ad esempio tramite reti e siti internet oppure tramite affissione in bacheca.

Il sistema della doppia informativa è confermato e suggerito anche dai Garanti Europei, che nelle linee guida fanno riferimento ad un approccio “stratificato”, in linea con quanto già espresso nel documento WP260 in materia di trasparenza.

In particolare, è indicato che nel primo “layer” (la segnaletica di avvertimento) debbano essere contenute le informazioni più importanti, mentre gli altri dettagli possano essere comunicati con altri strumenti (secondo layer).

Anche in questo caso la segnaletica può fornire le informazioni in combinazione con icone che rendano immediatamente comprensibile per l’interessato l’intero processo; il format della segnaletica, inoltre, deve essere adattato in base alle caratteristiche della specifica “location”.

Il posizionamento dell’informativa deve consentire all’individuo di vedere le informazioni da una ragionevole distanza dall’area monitorata, prima di entrarvi; deve essere chiaro quale è l’area ripresa dalle telecamere così che l’interessato possa eventualmente evitarle o comunque adattare di conseguenza il suo comportamento.

Il primo “layer”, oltre a contenere le informazioni più importanti, deve rinviare alla seconda e più dettagliata informativa, indicando dove e come trovarla.

Quest’ultima dovrà essere reperibile e consultabile in modo agevole per l’interessato: ad esempio, potrebbe essere prevista una versione cartacea disponibile in location centrali (reception o information desk) oppure affissa.

Inoltre, il primo layer potrebbe contenere riferimenti digitali al secondo, ad esempio rinviando ad un sito web o prevedendo un QR code. Si ipotizza anche che il secondo layer sia accessibile chiamando un numero di telefono. Quanto al contenuto della seconda informativa, questa, ovviamente, dovrà fornire tutte le informazioni obbligatorie ai sensi dell’art. 13 del GDPR.

Tempi di conservazione

Le linee guida europee aiutano a chiarirsi le idee anche in merito ai tempi di conservazione. II Garante italiano, nel suo provvedimento, prevedeva infatti un tempo massimo di 24 ore successive alla rilevazione, fatte salve speciali esigenze di conservazione in relazione alla chiusura di uffici o festività (nel qual caso il termine era estensibile fino a 2/3 giorni).

Un termine più ampio di conservazione dei dati, comunque non superiore alla settimana, era consentito solo per particolari esigenze tecniche (mezzi di trasporto) oppure per la particolare rischiosità dell’attività svolta (ad esempio, le banche).

In vigenza della vecchia normativa, esigenze di conservazione ulteriori potevano essere fatte valere unicamente sottoponendo la richiesta al Garante attraverso l’istituto dell’autorizzazione preventiva, ora abrogato.

In tal caso, la congruità del termine superiore avrebbe dovuto comunque essere motivata con riferimento a specifiche esigenze di sicurezza, in presenza di concrete situazioni di rischio e per il tempo limitato a tale necessità.

Su questo tema, i garanti europei riconoscono che le finalità per cui sono installati i sistemi di videosorveglianza sono generalmente conseguite in uno o due giorni (tempo in cui si rilevano normalmente i danni) e valorizzano i principi di minimizzazione dei dati e di limitazione della conservazione di cui all’art. 5 GDPR, ma allo stesso tempo affermano che, nella vigenza del GDPR, rientra sempre nel principio di responsabilizzazione, e dunque nella esclusiva responsabilità del titolare, lo stabilire la necessità ed i termini di conservazione delle immagini.

Ovviamente, avverte il Comitato, più i termini saranno lunghi (specialmente se oltre le 72 ore), più approfonditamente dovrà essere argomentata la necessità e proporzionalità della conservazione delle immagini. Nessun limite prefissato, quindi, alla durata della conservazione, purché compiutamente motivato e documentato.

Autorizzati e procedure interne

Come noto, il provvedimento del Garante prevedeva che il titolare dovesse designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate ad accedere ai locali delle postazioni di controllo, ad utilizzare gli impianti o a visualizzare le immagini, sulla base dell’allora vigente articolo 30 del Codice privacy, che prevedeva come obbligatoria la designazione scritta e puntuale degli incaricati del trattamento.

Abrogato l’art. 30 con la novella del d. Lgs. 101/2018, attualmente la disciplina dei soggetti autorizzati al trattamento è contenuta nell’art. 2 quaterdecies del Codice privacy, che al secondo comma prevede che spetti al titolare (o al responsabile) individuare le modalità più opportune per autorizzare al trattamento le persone che operano sotto la propria autorità.

Rientra quindi, ancora una volta, nell’accountability e nel rispetto dei principi generali la scelta in merito alla designazione scritta (o meno) degli autorizzati ai trattamenti di videosorveglianza.

A livello europeo, non essendo previsto alcun obbligo di designazione scritta degli autorizzati, le linee guida valorizzano le procedure interne, elemento che, per quanto potrebbe apparire scontato, ha un notevole rilievo ai fini della responsabilizzazione.

L’interessante argomento del Comitato parte dalla considerazione che il principio di privacy by design e by default, sancito dall’art. 25 GDPR, e che impone le implicazioni privacy siano valutate già dalla fase di architettura di un progetto o servizio, non debba applicarsi unicamente alla fase di progettazione e acquisto del bene o servizio, ma debba estrinsecarsi anche in un “design” delle misure organizzative interne e, in particolare, nella previsione di policy e procedure interne.

Quanto al contenuto delle policy, il Comitato fornisce una serie di spunti:

  • soggetto responsabile per la gestione del sistema di videosorveglianza;
  • finalità del sistema di videosorveglianza;
  • usi consentiti e usi proibiti;
  • misure di trasparenza;
  • tempo di conservazione delle immagini e modalità di archiviazione;
  • formazione;
  • soggetti autorizzati ad accedere alle immagini;
  • istruzioni operative.

A parere di chi scrive, le istruzioni e policy aziendali in materia di videosorveglianza ben potrebbero costituire una forma di autorizzazione ai sensi dell’art. 2 quaterdecies, che non necessariamente deve essere rappresentata da una lettera nominativa ed individuale (come si era abituati in vigenza del Codice privacy ante riforma), in quanto la scelta della forma è rimessa al titolare.

Responsabili ex art. 28 GDPR

Spesso avviene che le società si rivolgano a fornitori esterni specializzati che, installato l’impianto presso le sedi del cliente, lo gestiscono in remoto, dalle proprie sale operative. In questi casi, il personale del cliente non ha alcun tipo di accesso alle immagini, e, ove si renda necessario accedere alle stesse, anche per adempiere ad una specifica richiesta dell’autorità, il titolare dovrà farne a sua volta richiesta al fornitore.

In questi casi, in primo luogo, nella scelta del fornitore si dovrà avere riguardo alle caratteristiche tecniche dell’impianto. In tal senso, il Comitato suggerisce di scegliere tecnologie “privacy friendly” (sistemi in grado di cancellare o oscurare le immagini, ovvero in grado di editarle eliminando l’immagine di terzi in caso di richieste dell’interessato).

Conseguentemente, non dovrebbero invece essere richieste al fornitore funzioni non necessarie e non in linea con il principio di minimizzazione (ad esempio: zoom o registrazione audio). In ogni caso, ove siano previste e non necessarie, tali funzioni andranno comunque disattivate.

In secondo luogo, è evidente che in questi casi si porranno in essere gli adempimenti previsti dall’art. 28 GDPR per tutti i responsabili esterni: si dovranno quindi selezionare fornitori dotati dei requisiti necessari e bisognerà vincolarli con la stipula di un contratto o altro atto dotato di tutti gli elementi di cui all’articolo 28 GDPR.

Ma, in più, ad avviso della scrivente, anche in questo caso si potrebbero valorizzare, come elemento di privacy by design, le procedure adottate internamente.

Queste ultime, infatti, potrebbero avere ricadute anche nei rapporti con i fornitori e “trasformarsi” in istruzioni operative in materia di trattamento di dati personali, da allegare ai contratti di fornitura in aggiunta alle istruzioni specifiche ex art. 28 GDPR ovvero da inserire all’interno delle clausole contrattuali.

Tali procedure potrebbero, ad esempio, indicare al fornitore esterno a quali soggetti aziendali consegnare le immagini, ove ne sia richiesta l’estrazione, in quali circostanze, come documentare l’attività.

In quest’ottica, anche la corretta gestione dei rapporti contrattuali con i responsabili esterni che, in questo ambito, potrebbero essere cuciti su misura oltre le indicazioni dell’art. 28 GDPR, costituiscono un importante strumento di accountability e di effettiva tutela dei diritti e delle libertà degli interessati.

Comunicazione a terzi

Anche con riferimento alla comunicazione dei dati personali a terzi, il Comitato chiarisce un punto fondamentale per i titolari nell’ottemperare al principio di accountability, specie nella fase di determinazione della base di liceità ex art. 6 GDPR: la comunicazione di dati a terzi costituisce un trattamento separato rispetto a quello effettuato con la videosorveglianza e, conseguentemente, tale trattamento dovrà avere una sua base di legittimità ai sensi dell’art. 6 GDPR.

In particolare, nel caso in cui si vogliano trasmettere le immagini a terze parti per finalità diverse da quelle per cui sono state raccolte, si applicherà il comma 4 dell’art. 6. Il comitato fa l’esempio di un sistema installato per rilevare i danni:

  • se si inviano le immagini all’avvocato che deve seguire il procedimento di risarcimento, la finalità della raccolta sarà la stessa del trasferimento;
  • se invece si pubblicano le immagini online per intrattenimento, la finalità sarà diversa e non sarà più compatibile con quella originaria (in questo caso, peraltro, sarebbe problematico individuare una base giuridica legittimante il trattamento).

Anche la trasmissione delle immagini alle forze dell’ordine costituisce un trattamento autonomo e separato rispetto alla raccolta delle immagini, e richiede quindi una giustificazione a sé.

In questo caso, considerato che generalmente gli ordinamenti nazionali disciplinano la richiesta di immagini da parte di forza di pubblica sicurezza come obbligatoria, il fondamento giuridico della trasmissione potrà rinvenirsi nell’art. 6 comma 1 lett. c).

Nel caso in cui, invece, sia il titolare che ravvisi gli estremi di un illecito e decida di inviare le immagini alla polizia, senza che ci sia una specifica indagine in corso, allora il criterio di liceità potrà essere rinvenuto nel legittimo interesse ai sensi dell’art. 6 comma 1 lett. f.

Conclusioni

Non potendoci soffermare in questa sede su ogni aspetto delle linee guida, si sottolinea comunque come siano di notevole ausilio all’interprete anche le considerazioni in materia di diritti degli interessati, tema che viene approfondito rispetto quanto indicato nel provvedimento del Garante italiano.

Preziose anche le indicazioni in materia di misure di sicurezza dove il Comitato, oltre ad enunciare i principi, suggerisce alcune soluzioni pratiche da mettere in campo.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

In conclusione, si evidenzia come il Provvedimento, che comunque potrebbe subire qualche modifica e integrazione in esito alla consultazione, sia di notevole ausilio ai titolari, in quanto fornisce una guida anche concreta nel settore in esame, specie con riferimento all’attuazione dei principi di privacy by design e by default, di trasparenza e di accountability.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4