L’Autorità Garante per la protezione dei dati personali ha pubblicato le nuove FAQ – domande più frequenti – relative al tema della videosorveglianza. I chiarimenti, spiega l’Autorità, si sono resi necessari per adeguare il precedente Provvedimento in materia, dell’8 aprile 2010, alle nuove previsioni normative introdotte dal Regolamento UE 2016/679 (GDPR).
Le FAQ dell’Autorità Garante per la protezione dei dati personali relative al tema della videosorveglianza sono state sviluppate partendo dalle risposte fornite dall’Autorità a reclami, segnalazioni e quesiti ricevuti nel tempo, e tengono conto anche delle recenti Linee guida 3/2019, sul trattamento dei dati personali attraverso dispositivi video, pubblicate il 10 luglio 2019 e adottate il 29 gennaio 2020 dal Comitato europeo per la protezione dei dati (EDPB).
Il Garante richiama anche altre disposizioni dell’ordinamento applicabili: ad esempio, le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, o in materia di controllo a distanza dei lavoratori.
Le regole sul corretto utilizzo dei sistemi di videosorveglianza
Le FAQ, per prima cosa, contengono un richiamo ai principi generali del Regolamento: l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione dell’impianto. I dati trattati devono essere pertinenti e non eccedenti rispetto alle finalità perseguite.
Il Titolare del trattamento (ovvero un’azienda, una pubblica amministrazione, un professionista, un condominio, etc.), in base al principio di responsabilizzazione (“accountability”), di cui all’art. 24 del GDPR, è tenuto a valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche.
Sempre nell’ottica di accountability, il Titolare deve, altresì, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento. La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico del GDPR) e negli altri casi indicati dal Garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).
Ulteriori indicazioni sono contenute nelle sopracitate Linee guida 3/2019 dell’EDPB – richiamate nella prima delle domande più frequenti – che definiscono i criteri da seguire per garantire il rispetto del principio secondo il quale i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (liceità, correttezza e trasparenza).
I presupposti legittimanti l’installazione dell’impianto
Riguardo ai presupposti legittimanti l’installazione dell’impianto di videosorveglianza, l’Autorità chiarisce che non è prevista alcuna autorizzazione da parte del Garante per installare tali sistemi. Alla FAQ numero 9 tuttavia il Garante ricorda che, in caso di installazione di un sistema di videosorveglianza sul luogo di lavoro, il datore di lavoro dovrà rispettare la normativa di settore in materia di strumenti comportanti potenziale controllo a distanza dell’attività lavorativa (art. 4 della L. 300/1970, lo “Statuto dei lavoratori”).
Pertanto, in tal caso, il Titolare del trattamento, in presenza di comprovate esigenze organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, potrà utilizzare strumenti dai quali derivi anche la possibilità di controllo a distanza previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali, o previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro.
Il nuovo modello di informativa di primo livello (cartello)
Il Titolare del trattamento (a prescindere dal fatto che sia un soggetto pubblico o privato), inoltre, deve adempiere all’obbligo di informare correttamente ed in modo trasparente i soggetti interessati che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive).
L’informativa, che l’EDPB definisce “di primo livello” (la segnaletica di avvertimento), può essere fornita utilizzando un modello semplificato che deve contenere, tra le altre informazioni, le indicazioni sul Titolare del trattamento e sulla finalità perseguita, ed un richiamo all’informativa completa “di secondo livello” redatta ai sensi del GDPR. Tale modello di segnaletica va collocato prima di entrare nella zona sorvegliata.
Seppure non sia necessario indicare la precisa ubicazione della telecamera, è necessario che l’interessato sia messo nelle condizioni di capire quali zone sono soggette a sorveglianza e in quale contesto, in modo da poter agire di conseguenza (ad es. evitando di rientrare nel raggio di ripresa o adeguando il proprio comportamento, ove necessario).
Il Garante mette a disposizione un modello semplificato del cartello per la videosorveglianza, modello ripreso dalle Linee guida dell’EDPB e opportunamente rivisto. Tale documento segnaletico può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese).
I tempi di conservazione dei dati
Di particolare rilevanza, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate. Salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal Titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. In generale, le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (principio di limitazione della conservazione), a meno che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati (ad es. per quanto riguarda la finalità di tutela della sicurezza urbana, che deve seguire i criteri dettati dal D.L. 23/02/2009, n. 11).
Il Garante ha sottolineato che, nella maggior parte dei casi, i dati personali dovrebbero essere cancellati dopo pochi giorni. Ad esempio, qualora l’impianto sia installato per ragioni di protezione del patrimonio verso atti vandalici, solitamente è possibile individuare eventuali danni entro uno o due giorni. Per tale ragione le immagini, trascorso questo lasso di tempo, dovrebbero essere cancellate con meccanismi automatici. Qualora il Titolare decidesse di estendere il periodo di conservazione (soprattutto se oltre le 72 ore), dovrebbe giustificare e argomentare adeguatamente la scelta effettuata, attraverso un’analisi di legittimità dello scopo e della necessità di conservazione.
Resta ferma la facoltà di prolungare i tempi di conservazione delle immagini inizialmente fissati dal Titolare o previsti dalla legge, ad esempio, per dar seguito ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad un’attività investigativa in corso.
Altre questioni rilevanti
La domande più frequenti contengono anche indicazioni sulle riprese a fini personali, sull’utilizzo delle telecamere in ambito condominiale e in ambito pubblico, e sul trattamento, tramite sistemi di videosorveglianza, di dati particolari.
- Le FAQ sono disponibili al seguente link.
- Il Garante ha pubblicato le stesse domande frequenti anche sottoforma di Vademecum al seguente link.
- Per ulteriori informazioni e approfondimenti si rinvia anche alle Linee guida dell’EDPB, disponibili al seguente link.