L’attività di videosorveglianza, inquadrata nel contesto normativo della protezione dei dati personali, è da considerarsi uno dei trattamenti da analizzare con maggior rigore in virtù della sua attitudine a incidere significativamente sulla sfera privata degli interessati.
La cornice normativa in materia appare decisamente complessa, sia per il numero di provvedimenti riguardanti questo specifico argomento sia per la diversità delle fonti da armonizzare per una corretta gestione della questione.
Nel contesto nazionale risulta decisivo l’apporto del Garante per la Protezione dei Dati Personali e in tal senso appare opportuno ricordare il provvedimento in materia di videosorveglianza avente data 8 aprile 2010 (sostitutivo del precedente provvedimento generale del 29 aprile 2004) a mezzo del quale l’Autorità nazionale definiva in maniera più stringente le modalità per bilanciare l’attività di videosorveglianza (soprattutto intesa come mezzo per garantire una maggiore sicurezza e la prevenzione di reati) con i diritti e le libertà delle persone fisiche.
Tale provvedimento va tuttavia contestualizzato nel quadro normativo del tempo; infatti, esso si basa sulla versione del Codice in Materia di Protezione dei Dati Personali antecedente all’entrata in vigore del GDPR (Regolamento UE 2016/679) e pertanto non ancora oggetto di modifica a mezzo del d.lgs. 101/2018.
Per quanto attiene, invece, al contesto europeo risulta necessario un richiamo alle linee guida inerenti al trattamento di dati tramite dispositivi video pubblicato dall’EDPB (European Data Protection Board) nel luglio del 2019.
In un contesto normativo di tale complessità appare decisamente poco agevole per il Titolare del trattamento definire in autonomia l’approccio da seguire per installare e implementare sistemi di videosorveglianza che siano conformi a tutte le molteplici disposizioni normative vigenti sul tema, ivi comprese quelle presenti nell’ordinamento civile e penale relative alle interferenze illecite nella vita privata, ovvero quelle in materia di controllo a distanza dei lavoratori.
Premesso quanto innanzi, ancora una volta, il Garante Privacy, con le FAQ del 05.12.2020 pubblicate sul sito istituzionale, ha indicato la strada da percorrere sul dibattuto tema inerente alle regole da osservare per l’installazione delle telecamere.
“Il datore di lavoro può installare un sistema di videosorveglianza nelle sedi di lavoro? Occorre avere una autorizzazione del Garante per installare le telecamere? In che modo si fornisce l’informativa agli interessati? Quali sono i tempi dell’eventuale conservazione delle immagini registrate? Si possono utilizzare telecamere di sorveglianza casalinghe c.d. smart cam?”
Queste sono solo alcune delle domande più significative e ricorrenti a cui il Garante per la protezione dei dati personali ha dato una puntuale risposta in merito all’installazione di impianti di videosorveglianza da parte di soggetti sia pubblici sia privati.
L’Autorità, ove ancora ve ne fosse bisogno, ha dapprima chiarito che l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione dell’impianto e che i dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite, anche quando i dati oggetto del trattamento siano particolari ex art. 9 del G.D.P.R.
In base al principio di responsabilizzazione, precisa poi il Garante, spetta al titolare del trattamento valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche.
Pertanto, nel rispetto dei principi sopra indicati, il titolare del trattamento, sia esso un datore di lavoro, un privato cittadino, un condominio o un istituto scolastico, non è obbligato a richiedere alcuna autorizzazione al Garante per l’installazione dei sistemi di videosorveglianza.
Come anticipato, il Garante si è nuovamente espresso sulle modalità da seguire per informare gli interessati e a tal proposito, oltre a ribadire la necessità di informarli sempre e comunque (ex art. 13 del Regolamento) quando stanno per accedere in una zona videosorvegliata, ha specificato che la dichiarazione resa agli interessati sul trattamento dei dati personali potrà essere fornita utilizzando un modello semplificato che dovrà contenere, tra le altre, le indicazioni sul titolare del trattamento e sulla finalità perseguita.
L’informativa, inoltre, dovrà essere collocata prima di entrare nella zona sorvegliata.
L’interessato, attraverso le succitate informazioni, dunque, deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario.
La citata informativa, inoltre, deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando le modalità attraverso cui reperire il predetto testo (ad es. sul sito internet del titolare del trattamento o affisso in bacheche o locali dello stesso).
A sommesso parere di chi scrive, non di poco conto risulta la circostanza che il Garante abbia demandato al titolare del trattamento la necessità di valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati, prima di iniziare il trattamento.
A tal riguardo, l’Autorità ha osservato che la valutazione d’impatto preventiva è prevista se il trattamento, quando preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per le persone fisiche (artt. 35 e 36 del Regolamento).
Per vero, la valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c) del Regolamento) e negli altri casi indicati dal Garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).
Di particolare importanza appaiono, inoltre, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate.
Difatti, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento stesso, nonché al rischio per i diritti e le libertà delle persone – salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati.
In via generale, il Garante osserva che quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.
Di particolare interesse, infine, appaiono le considerazioni dell’Autorità in merito alla possibilità di installare telecamere di sorveglianza casalinghe (c.d. smart cam).
Giova precisare che il trattamento dei dati personali mediante l’uso di tali strumenti installati nella propria abitazione per finalità esclusivamente personali di controllo e sicurezza, rientra tra quelli esclusi dall’ambito di applicazione del Regolamento.
In questi casi, osserva il Garante, i dipendenti o collaboratori eventualmente presenti (babysitter, colf, ecc.) devono essere comunque informati dal datore di lavoro.
Sarà comunque necessario evitare il monitoraggio di ambienti che ledano la dignità della persona (come bagni), proteggere adeguatamente i dati acquisiti (o acquisibili) tramite le smart cam con idonee misure di sicurezza, in particolare quando le telecamere sono connesse a Internet, e non diffondere i dati raccolti.
Per tutto quanto non considerato, si rimanda il lettore al Vademecum del Garante.
Avv. Achille De Filippis – Avv. Paolo Spagna
Fonte immagine: freepik.com