Videosorveglianza, le nuove Faq del Garante privacy: tutte le novità - Agenda Digitale

trattamento dati

Videosorveglianza, le nuove Faq del Garante privacy: tutte le novità

Obbligo di informazione mediante cartelli, inquadramento il più possibile limitato alle effettive necessità, conservazione dei dati per il tempo necessario all’uso. Ma non solo: possibilità di videosorveglianza nelle scuole, nei condomini, sui posti di lavoro. Cosa dicono di nuovo le Faq del Garante per il trattamento dati

09 Dic 2020
Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017

Sono state pubblicate il 5 dicembre sul sito del Garante privacy le domande più frequenti (FAQ) sui temi legati al trattamento dei dati personali nell’ambito dell’installazione di impianti di videosorveglianza da parte di soggetti pubblici e privati. Ecco le indicazioni maturate sulla base delle risposte fornite a reclami, segnalazioni e quesiti ricevute dal Garante, anche tenendo conto delle nuove Linee guida emanate dal Comitato europeo per la protezione dei dati (EDPB).

Regole generali ed autorizzazioni

Per installare un impianto di videosorveglianza non è necessaria un’autorizzazione da parte del Garante, ma il titolare deve sempre effettuare una valutazione sulla liceità e sulla proporzionalità del trattamento, stabilendo anche se sia necessaria o meno una valutazione d’impatto (DPIA).

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

In altre parole, siamo nel regno incontrastato dell’accountability, ovvero quel principio previsto dall’articolo 5.2 del Regolamento UE16/679 tradotto, in italiano, con responsabilizzazione.

In pratica, ciascuno è responsabile non per i trattamenti dei dati che effettua, ma anche delle modalità con cui li effettua in relazione alle sue esigenze, alle sue dimensioni aziendali, ai presidi di sicurezza che ha predisposto.

È sempre necessario, comunque, esporre un cartello per assolvere l’obbligo di informazione (articolo 13 del GDPR); il Garante ne propone un nuovo “modello”, con informativa estesa e completa, da compilare a cura di chi effettua le videoriprese.

Tempi di conservazione e valutazione di impatto

Anche per quanto riguarda i tempi di conservazione non c’è una regola definita e ci si deve rifare all’articolo 5.2 del regolamento: in altre parole, sarà necessario valutare le esigenze per cui è effettuata la videoripresa e parametrare a queste il tempo di conservazione.

Il Garante porta l’esempio della tutela da atti vandalici per i negozi, per cui un tempo congruo può essere di 24 ore.

Allo stesso modo, un tempo di conservazione superiore, come ad esempio 72 ore, dovrà essere valutato con estrema prudenza dal titolare, che dovrà, quindi, bilanciare correttamente le esigenze per le quali effettua le videoriprese con i tempi di conservazione e le cautele prese per evitare fughe di dati.

La valutazione d’impatto non è sempre necessaria, anche se gli articoli 34 e 35 del Regolamento UE 16/679 la richiedono nei casi in cui l’utilizzo di nuove tecnologie sia potenzialmente pericoloso per le persone fisiche.

L’Autorità Garante per la protezione dei dati personali, tuttavia, già nell’ottobre 2018 aveva fornito un elenco di attività che certamente avrebbero richiesto la valutazione di impatto.

Questa nota interpretativa non è, naturalmente esaustiva: indica le attività che certamente la richiedono, ma altri tipi di trattamenti, non inseriti nell’elenco del Garante, potrebbero avere obbligo di DPIA.

Per quanto riguarda la videosorveglianza, la valutazione di impatto è prevista nei soli casi in cui sia effettuata sui posti di lavoro.

La videosorveglianza sul posto di lavoro: regole, adempimenti e rischi per il datore di lavoro che non ottemperi

Va precisato che la videosorveglianza sul posto di lavoro è sempre lecita “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nel rispetto delle altre garanzie previste dalla normativa di settore in materia di installazione di impianti audiovisivi e altri strumenti di controllo (art. 4 della l. 300/1970)”.

Detto altrimenti, il datore di lavoro non può adottare un sistema di videosorveglianza interna ed esterna, anche finalizzata unicamente alla tutela del patrimonio aziendale, senza aver prima adempiuto agli obblighi previsti dallo Statuto dei lavoratori, anche dopo l’entrata in vigore del Jobs act.

In particolare, è necessario richiedere un’autorizzazione alla Direzione territoriale del Lavoro competente, indicando luoghi, modi, tempi di ripresa e finalità della stessa.

La Direzione può non rilasciare l’autorizzazione se la videosorveglianza è finalizzata, ad esempio, alla misurazione della produttività dei dipendenti (finalità non prevista); può dare indicazioni su modalità alternative e meno invasive per i lavoratori; può semplicemente non rispondere (ed in quel caso si potrà procedere per silenzio assenso).

Procedura alternativa alla richiesta di autorizzazione è l’accordo sindacale, che può essere siglato con RSA interne o con una delle organizzazioni sindacali maggiormente rappresentative.

In questo caso si sigla un accordo che prevede tempi, luoghi, modi e finalità di utilizzo delle videoriprese.

In ogni caso è necessario affiggere i cartelli, dare informativa specifica ai lavoratori dell’utilizzo della videosorveglianza ed elaborare la DPIA.

Tutte queste procedure devono essere svolte prima dell’installazione dell’impianto.

Le sanzioni, in caso di inottemperanza agli obblighi, sono di carattere penale e sono previste dall’articolo 38 della Legge n. 300/1970, che sanziona con la pena alternativa dell’arresto da 15 giorni ad un anno o dell’ammenda da 154 a 1.549 euro l’ipotesi di violazione dell’art. 4 della stessa Legge. Nei casi di maggiore gravità, il secondo comma dell’articolo 38 prevede l’arresto congiunto all’ammenda, con esclusione dell’istituto della prescrizione obbligatoria previsto dal Decreto legislativo 124/2004 all’articolo 15.

La videosorveglianza personale e in condominio

Il principio di responsabilità è, ancora una volta, il parametro di riferimento per adeguare la videosorveglianza alle esigenze di tutela.

Sarà quindi necessario minimizzare l’angolo visuale delle videocamere in ogni caso per evitare le ipotesi di reato di cui all’articolo 615 bis del Codice penale (interferenze illecite nella vita privata), in particolare per le videosorveglianze di case private.

Le smart cam interne sono sempre consentite, per finalità di controllo e sicurezza. Se nell’abitazione lavorano persone esterne (come, ad esempio, colf e baby-sitter), sarà necessario fornire adeguata informativa sul trattamento dei dati e minimizzare quanto più possibile la durata della conservazione delle registrazioni.

Per i condomini vale lo stesso principio e va tenuto anche presente che la videosorveglianza può essere installata solo con la maggioranza dei millesimi in assemblea, come previsto dall’articolo 1136 del Codice civile.

Videosorveglianza comunale e stradale

Anche per queste ipotesi valgono le regole di necessaria segnalazione preventiva e di minimizzazione.

Nello specifico, i Comuni possono inserire impianti di videosorveglianza nelle strade per motivi di sicurezza pubblica se non sia possibile utilizzare altri strumenti; è sempre necessaria l’affissione di cartelli.

Le apparecchiature che rilevano le infrazioni devono, a loro volta, essere segnalate per tempo e la camera deve essere utilizzata per individuare solo i dati utili all’identificazione del veicolo, cercando di non riprendere le persone a bordo del mezzo.

Categorie particolari ed ipotesi in cui non si applica la normativa sul trattamento dei dati

La videosorveglianza che comporti il trattamento di dati particolari è consentita solo nelle ipotesi – eccezioni – previste dall’articolo 9 del Regolamento UE 16/679. Si porta l’esempio della sorveglianza negli ospedali per monitorare le condizioni di alcuni pazienti.

Anche – e soprattutto – in questi casi, il principio di minimizzazione è rilevante, così come le precauzioni prese in termini di sicurezza informatica.

Le ipotesi in cui, invece, non si applica la normativa sul trattamento dei dati sono quelli in cui…non vengono trattati dei dati.

Si portano gli esempi di videoriprese che non consentano di individuare i soggetti ripresi in alcun modo, effettuate, ad esempio, per fini statistici, come nei casi in cui si voglia quantificare il numero di macchine – o di pedoni – che transitano in una data strada.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 2