Ad oggi, pressoché tutti gli impianti di videosorveglianza permettono ai proprietari di gestirli da remoto attraverso l’installazione di applicazioni sul proprio smartphone.
Ricordiamo che stiamo parlando di un mercato globale della videosorveglianza che, secondo un rapporto dell’autorevole researchandmarkets.com e nonostante la pandemia di Covid-19 e l’aumento esponenziale di cyber attacchi, è destinato a crescere fino a giungere dai 35.803,17 del 2019 agli 82.968,47 milioni di dollari entro la fine del 2025 con un tasso di crescita annuale composto (CAGR dall’acronimo Compounded Average Growth Rate) del 15,03%.
Sicuramente, tra le maggiori cause di crescita vi sono l’aumento del tasso di criminalità, la grande concorrenza sul mercato che ha portato ad una diminuzione dei prezzi e la scelta crescente di telecamere IP che consentono una maggior semplicità nella gestione della videosorveglianza.
Alla luce di ciò, come facilmente immaginabile, sono numerose le implicazioni relative alla protezione dei dati personali. In questo articolo cercheremo dunque di dare indicazioni su come garantire l’osservanza delle regole di compliance privacy anche attraverso un utile esempio pratico.
Indice degli argomenti
Progettazione e commercializzazione delle app: definizione dei ruoli privacy
L’individuazione dei ruoli “privacy” dei vari soggetti che, a vario titolo, entrano a far parte della progettazione e distribuzione delle applicazioni ha un ruolo fondamentale quando si ragiona in termini di compliance privacy.
Come è noto, il GDPR ha marcato ancora di più, rispetto all’impostazione del Codice Privacy ante-riforma del 2018, l’importanza della definizione dei rapporti tra titolari, responsabili e contitolari del trattamento, come anche ribadito, da ultimo, dalle Linee Guida 07/2020 EDPB (European Data Protection Board, già Working Party 29, composto dai Garanti Europei) sui concetti di titolare e responsabile.
In prima battuta, occorre individuare tutti i soggetti che intervengono nella catena di processo che parte dall’ideazione e giunge sino alla distribuzione delle app sugli store (Google Play Store e/o Apple Store).
Per questa operazione preliminare possiamo fare riferimento al sempre attuale Parere 02/2013 sulle applicazioni per dispositivi intelligenti del Working Party 29 (ora EDPB). Sono coinvolti, nella maggior parte dei casi, i seguenti soggetti: la società che decide di mettere sul mercato l’app, eventuali società o lo sviluppatore autonomo che si occupano di progettare tecnicamente e sviluppare l’app, gli app store e le società di hosting dove vengono archiviati i dati.
Al fine di assicurare la compliance sarà necessario, quindi, individuare chiaramente tutti i soggetti responsabili che, ognuno per la parte di propria competenza e sulla base di specifici e dettagliati accordi sul trattamento dei dati, definiscano le attività di trattamento concretamente poste in essere, gli ambiti di operatività di ciascuno e le conseguenti responsabilità.
Ed è per questo che è necessario fornire indicazioni utili a chi si affida all’utilizzo di app per gestire sistemi di videosorveglianza, sempre più tecnologicamente avanzati ed “intelligenti”.
Appare evidente che, se il ruolo di titolare del trattamento è riconducibile alla società che decide di sviluppare l’app, e quindi decide finalità e mezzi del trattamento, la società/soggetto autonomo incaricati di svilupparla riveste, necessariamente, il ruolo di responsabile del trattamento.
Ricordiamo che, come da ultimo ribadito dalle citate Linee guida sul ruolo di titolare e responsabile, quest’ultimo è sempre un’entità separata dal titolare e tratta dati esclusivamente per suo conto e secondo le sue istruzioni, non potendo mai decidere ulteriori finalità.
Il responsabile ha comunque un grado di discrezionalità nel trattamento che attiene alle misure tecniche ed organizzative adottate nel proprio ambito di operatività, soprattutto con riferimento ai mezzi che impiega, ma deve ricevere, in ogni caso, l’approvazione del titolare qualora decida di apportare cambiamenti ad elementi essenziali al trattamento.
Gli sviluppatori, a loro volta, potranno, su autorizzazione specifica del titolare, incaricare un sub-responsabile per l’esecuzione di parte dei trattamenti. Sarà, in questo caso, il responsabile a rispondere nei confronti del titolare per omissioni nell’adempimento degli obblighi in materia di privacy compiute dal sub-responsabile.
Dunque, la filiera appena descritta dovrà altresì tener conto di società che fornisco servizi di hosting, server farm, alle quali vengono affidate operazioni di backup dei dati, ovvero società di informatica o cybersecurity per eventuali test di sicurezza.
A chiudere questa filiera ci sono gli utilizzatori finali delle app (end-users), definiti dalla normativa privacy quali “interessati” e per i quali si ritiene fondamentale evidenziare alcuni aspetti connessi alla gestione delle app in determinate ipotesi che andremo a descrivere.
Gli utilizzatori, infatti, nel caso in cui impieghino le app di videosorveglianza al di fuori del proprio ambito domestico, (quindi in attività professionale, ovvero persone fisiche che utilizzano le immagini al di fuori della propria sfera domestica mediante operazioni di “diffusione”) non agiscono più come “interessati” ma assumono la qualifica di “titolari del trattamento” dei dati, dovendo quindi rispettare i principi e le norme che sottendono alla normativa privacy stessa.
La DPIA: a chi spetta effettuarla
Come già affrontato in un precedente articolo e qui ulteriormente definito nel tracciare la filiera dei soggetti coinvolti nello sviluppo e nell’utilizzo di app, i rischi per i diritti e le libertà degli individui appaiono indubbiamente elevati; pertanto, quando parliamo di app che permettono di penetrare nella nostra sfera privata o nelle nostre attività quotidiane, attraverso un occhio privilegiato (telecamera) allora dobbiamo porre un’attenzione, quantomeno di pari rango rispetto al rischio di violazione della nostra individualità.
Le conseguenze di un’eventuale perdita di disponibilità, integrità e riservatezza dei dati trattati attraverso le app sono le più varie.
A titolo esemplificativo, se un terzo dovesse riuscire ad avere accesso alla nostra app potrebbe conoscere quando siamo in casa e quando no, se custodiamo beni di valore, chi vive nella nostra casa, se ci sono soggetti potenzialmente indifesi; potrebbe addirittura ascoltare le nostre conversazioni ed accedere ad una miriade di informazioni e dati riservati.
E allora, come può il titolare del trattamento progettare una applicazione che da un lato permetta agli utilizzatori di avere funzionalità tecnologiche avanzate e, dall’altra, garantire l’utilizzo di misure di sicurezza adeguate che permettano di assicurare la sicurezza dei dati?
Necessariamente, implementando una valutazione dei rischi e una successiva valutazione di impatto sulla protezione dei dati personali (di seguito anche “DPIA”), così da definire e calibrare le misure di sicurezza “adeguate” per i sistemi tecnologici utilizzati.
Infatti, alla luce del disposto di cui all’art. 32 del Regolamento Europeo 2016/679 (GDPR), le misure di sicurezza devono essere adeguate al rischio, tali da mitigare e rendere accettabile il rischio stesso.
Introducendo qui la DPIA, si rammenta che in virtù dell’articolo 35 del GDPR, essa è richiesta ogniqualvolta un trattamento di dati personali possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche e deve essere condotta altrettanto “obbligatoriamente” prima di procedere al trattamento stesso.
Ed è proprio seguendo le Linee Guida n. 248 del WP 29 sulla valutazione di impatto ed il Provvedimento n. 476 dell’11 ottobre 2018 – con il quale il Garante Privacy ha individuato l’elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto – che si può prendere atto della necessità di effettuare la DPIA nel caso di progettazione di nuove tecnologie, quali appunto le app, che permettono un trattamento di dati su larga e, anche potenzialmente, un monitoraggio sistematico degli interessati.
Sebbene l’obbligo di effettuare la valutazione di impatto ricada sul titolare del trattamento, tuttavia il responsabile che si identifica nello sviluppatore del sistema di videosorveglianza e della relativa app, è tenuto, in ogni caso, a fornire la dovuta consulenza ed addirittura ad effettuare una DPIA a monte.
Applicazioni per la gestione dei sistemi di videosorveglianza: esempio pratico
Per comprendere meglio quanto visto finora, proviamo a fare un esempio.
La Società Alfa, produttrice del sistema di videosorveglianza, sviluppa altresì l’app che consente di “gestire” le immagini raccolte dall’utente (end-user) che, a sua volta, installa il sistema e l’app dallo store scelto ponendola sullo smartphone o altro device.
A tal proposito, Alfa assumerà la qualifica di titolare del trattamento per i dati raccolti presso l’utente, relativamente alla registrazione del medesimo mediante un account di riferimento e i dati che sono memorizzati sul device e che si ritengono necessari per il funzionamento dell’app, oltre agli altri dati che, seppur non rientranti in tale ultima finalità, sono di interesse del produttore/sviluppatore e per le quali è necessario un “consenso” espresso, libero, informato e inequivocabile.
Laddove poi il produttore/sviluppatore metterà altresì a disposizione dell’utente (end-user) il servizio di “cloud computing” per lo storage delle immagini, allora titolare del trattamento (per le immagini) sarà individuato proprio nella figura dell’utente (end user) che, nominerà responsabile esterno il produttore/sviluppatore.
Di seguito, uno schema illustrativo che fa maggiore chiarezza all’esempio sopra riportato.
Difatti, il considerando 78 del GDPR richiede che anche i produttori di applicazioni tengano conto del diritto alla protezione dei dati quando sviluppano e progettano tali prodotti anche al fine di aiutare i titolari e i responsabili nell’adempimento dei loro obblighi di protezione dei dati.
Anche le citate Linee Guida, riprendendo il concetto contenuto nel considerando 78 GDPR, ritengono utile effettuare una valutazione di impatto a priori, quindi da parte del produttore, ogni qualvolta lo stesso strumento sia utilizzato poi da più titolari e/o responsabili, i quali, ovviamente, a loro volta dovranno preoccuparsi di svolgere anche una propria DPIA calata nella realtà in cui operano.
È allora evidente, come le Autorità richiedano, che la DPIA (qui un’utile guida pratica all’esecuzione della valutazione di impatto privacy) sia effettuata anche a monte dagli stessi produttori, affinché sia dimostrabile il rispetto dei principi di data protection by design e by default.
Conclusioni
Per tutto quanto sopra esposto, occorre porre la massima attenzione, sia da parte dei produttori/sviluppatori di sistemi di videosorveglianza e di connesse app che ne consentono la gestione, sia da parte degli end-users che, d’altro canto, utilizzano tali sistemi anche mediante l’installazione sui propri device delle citate app, nell’assicurare in ogni fase i diritti fondamentali degli “interessati” connessi alla protezione dei dati personali raccolti per soddisfare le diverse finalità del trattamento, così da non incorrere in considerevoli sanzioni penali, amministrative nonché in eventuali richieste di risarcimento per danni da parte degli interessati.
