Videosorveglianza e GDPR: FAQ del garante ed ultime novità

La videosorveglianza è uno dei temi più sensibili e delicati in materia di privacy, riservatezza e protezione dei dati, capace in passato di attirare polemiche da parte di sindacati e lavoratori preoccupati per un possibile controllo a distanza durante l’orario di lavoro, lesivo dei propri legittimi diritti. Quando si parla di videosorveglianza, contradditori e dibattiti si fanno frequenti, e il bilanciamento tra diritti degli interessati e diritti-doveri dei responsabili delle registrazioni si rivela estremamente delicato. Poco più di anno fa, il 29 gennaio 2020, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”; linee guida molto attese che hanno aggiornato la tematica della videosorveglianza alla luce del dettato normativo del Regolamento europeo 2016/679 – il fondamentale Regolamento Generale Protezione Dati, noto universalmente come GDPR.

Le linee guida promosse dal Comitato, guidato dal Presidente Andrea Jelinek, rafforzano una volta di più il principio di responsabilizzazione in capo al titolare del trattamento, aggiungendo obblighi da adempiere in particolare per quanto riguarda una corretta Privacy Impact Assestment (PIA): qualora si utilizzi un sistema di videosorveglianza, quest’ultimo va giustificato in maniera efficace, dimostrando di avere realizzato un’adeguata valutazione del rischio a seconda delle finalità, del contesto e della durata delle registrazioni. Le linee guida 3/2019 non sono passate inosservate alle singole Autorità garanti nazionali, che hanno ripreso tale provvedimento cercando di divulgarlo in modo semplice e al tempo stesso esaustivo: il Garante italiano, ad esempio, ha pubblicato nel proprio sito istituzionale apposite FAQ in materia di videosorveglianza, in grado di rispondere ai questi più comuni ed impellenti, consultabili a questo link: https://www.garanteprivacy.it/faq/videosorveglianza.

Il trattamento dei dati personali attraverso dispositivi video può essere compiuto qualora risulti la necessità di tutelare un legittimo interesse da parte del titolare del trattamento (ad esempio tutela del patrimonio, esigenze organizzative e produttive, sicurezza nei luoghi di lavoro) che non deve tuttavia compromettere i diritti dell’interessato, così come definito dall’articolo 6 lettera f del GDPR. Nel Belpaese, tuttavia, la normativa applicabile in materia si articola con la Legge 300/1970 – il c.d. “Statuto dei Lavoratori” – la quale, all’articolo 4, stabilisce che nessun lavoratore può essere sorvegliato a distanza senza chiara motivazione ed esplicita autorizzazione o della direzione territoriale del lavoro competente o della rappresentanza sindacale. Rimane salvo in tal caso l’obbligo di informativa, nella quale devono essere indicate modalità, finalità e tempi di conservazione; oltre a ciò, il datore di lavoro deve indicare il personale autorizzato ad accedere alle registrazioni. Nel caso in cui il datore di lavoro non dovesse rispettare tali obblighi, o addirittura (video)sorvegliare senza alcun tipo di autorizzazione, sono previste le sanzioni di cui all’art. 38 della medesima legge. È comunque in ogni caso necessario affiggere apposite informative sotto forma di infografiche, dare informativa specifica ai lavoratori dell’utilizzo della videosorveglianza ed elaborare, laddove necessario, la DPIA. Tutte queste procedure devono essere svolte prima dell’installazione dell’impianto, e devono essere realizzate dal titolare del trattamento o da un suo delegato, il quale non può, in ogni caso, installare impianti video in luoghi come spogliatoi, mense, aree comuni destinate ai lavoratori.

CARTELLO VIDEOSORVEGLIANZA – Modello semplificato

Le FAQ riprendono anche il nuovo modello semplificato del cartello di videosorveglianza (così come riportato sopra) che dovrà essere più dettagliato rispetto alla versione precedente: non basterà più inserire da chi è effettuata la registrazione e l’autorizzazione, ma andrà anche indicato la finalità del trattamento e a chi rivolgersi per esercitare i propri diritti riconosciuti dalla legge. Non è obbligatorio rivelare la precisa ubicazione della telecamera, purché non siano presenti dubbi su quali zone sono soggette a sorveglianza chiarendo in modo inequivocabile il contesto sorvegliato; l’interessato deve essere messo in condizione di capire quale zona sia coperta da una telecamera in modo da adeguare di conseguenza il proprio comportamento. L’informativa completa di tale operazione di videosorveglianza è costituita da un testo contenente tutti gli elementi di cui all’articolo 13 del Regolamento Europeo e il cartello deve riportarne la modalità di consultazione (sito internet, bacheche o locali ove si svolge il trattamento).

Le linee guidata citate e le FAQ del garante pongono particolare enfasi su due cruciali aspetti: il principio di responsabilizzazione e la valorizzazione del Privacy Impact Assestment, la valutazione d’impatto del trattamento che svolge un ruolo molto importante. In base al principio di responsabilizzazione – articolo 5, paragrafo 2, del Regolamento – spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista) precisare liceità e proporzionalità del trattamento, tenuto conto del contesto e soprattutto delle finalità, attraverso le quali va considerato il rischio per i diritti e le libertà delle persone fisiche: applicando il principio di minimizzazione dei dati, una telecamera posta in un luogo privato (abitazione o lavoro) deve riprendere solo filmati strettamente necessari, senza coinvolgere altre proprietà o vie di pubblico dominio.

La valutazione d’impatto preventiva è prevista se il trattamento presenta un rischio elevato per le persone fisiche in modo peculiare relativamente alle nuove tecnologie, considerando la loro natura, il contesto e le finalità (articoli 35 e 36 del Regolamento). Il Garante si era già espresso in merito con le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del regolamento 2016/679” del 4 ottobre 2017. Un caso tipico può essere quello dei sistemi integrati –  pubblici e privati – che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, con fini non tanto velati di rilevazione e segnalazione di comportamenti anomali: in una situazione di sorveglianza sistematica su larga scala, la valutazione d’impatto è sempre richiesta, specie in zone largamente accessibili al pubblico, in ottemperanza all’articolo 35 paragrafo 3 del Regolamento e agli altri casi indicati dal Garante mediante l’apposito “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 comma 4 del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018. A tale proposito si rimanda al seguente file scaricabile in formato PDF.

FAQ videosorveglianza Garante Privacy

Infine, le FAQ del Garante evidenziano in modo chiaro che, di concerto con il principio di accountability, è di competenza del titolare del trattamento stabilire il  periodo di conservazione dei dati previa adeguata motivazione: in via generale per attività a basso rischio è consigliato il limite di 24 ore, elevabili fino a 72 per quegli esercizi commerciali in grado di dimostrare la pericolosità della zona dove risiedono; alcuni trattamenti possono essere conservati anche per un tempo di sette giorni su richiesta delle forze dell’ordine o per indagini di polizia giudiziaria (accesso ad una via pubblica, telecamere vicino a luoghi sensibili per particolari motivi sociali, economici, religiosi e politici). Onere del titolare sarà in ogni caso la dimostrazione del perché ha deciso di stabilire un determinato lasso di tempo per la registrazione, aspetto quest’ultimo che rimarca ancora una volta il principio cardine di tutto il GDPR, la responsabilizzazione.