Videosorveglianza e GDPR, come gestire e conservare i dati personali in modo corretto: attraverso esempi concreti, lo spiega l’EDPB – il Comitato Europeo per la Protezione dei Dati nelle nuove linee guida per chiarire la situazione.
Durante la dodicesima sessione plenaria del 9-10 luglio 2019, l’EDPB[1] ha infatti varato, al momento in consultazione pubblica, le Linee Guida n. 3/2019[2] sul trattamento dei dati in materia di videosorveglianza[3].
In particolare, tali Linee Guida puntano a realizzare – e garantire – una coerente applicazione del GDPR, nel settore in oggetto, in tutti gli Stati Membri dell’Unione Europea.
La materia di lavoro
Le Linee Guida n. 3/2019 analizzano l’impatto dell’utilizzo dei dispositivi video sul comportamento degli interessati[4] all’interno dell’Unione Europea, date le conseguenze che un simile trattamento dei dati potrebbe avere sui medesimi interessati.
L’uso di tecnologie video sempre più moderne ed efficienti può da un lato interferire con la libertà di movimento e con le scelte degli interessati a non essere “ripresi” dai dispositivi; dall’altro lato gli individui potrebbero apprezzare la videosorveglianza per fini di sicurezza, poiché in tal caso il bene protetto sarebbe maggiore della “flessione di riservatezza” che si verrebbe a creare.
Chiaramente, anche con la videosorveglianza per fini di sicurezza è possibile “associare” altre finalità “meno gradite” agli interessati, come il marketing o le analisi delle prestazioni lavorative.
Proprio in questi ultimi casi, i dispositivi di videosorveglianza possono trasformarsi in sistemi “intelligenti”[5], combinando tra loro ingenti quantità di dati che aumentano il rischio di utilizzi secondari (collegati o meno alle finalità originarie), ovvero ad utilizzi illeciti.
Per tali motivi il Comitato dispone da un lato che anche nell’utilizzo dei dispositivi video vengano sempre rispettati i “principi applicabili al trattamento di dati personali” di cui all’art. 5 del GDPR[6]; dall’altro lato che la videosorveglianza venga effettuata solo quando non vi siano altre modalità – meno intrusive – per ottenere il medesimo scopo.
Ambito di applicazione
Nelle Linee Guida in oggetto, il Comitato afferma che il monitoraggio sistematico e automatizzato di uno spazio specifico mediante dispositivi audiovisivi, principalmente per protezione della proprietà, o per la tutela della vita e della salute dell’individuo, è diventato un obiettivo significativo in tutto il territorio europeo.
Tuttavia, com’è pacifico, questa attività comporta la raccolta e la conservazione di immagini e di registrazioni video, ossia di molteplici informazioni (e, quindi, di dati) delle persone interessate che entrano nel raggio d’azione delle telecamere. Inoltre l’utilizzo di dispositivi intelligenti, come accennato, può ampliare in maniera esponenziale il numero di informazioni e di dati personali raccolti.
Siccome il rischio di utilizzo improprio di questi dati cresce in relazione alla dimensione dello spazio monitorato, nonché in base al numero di interessati potenzialmente coinvolti, il Comitato ritiene necessario procedere con due “misure”:
- una Valutazione di Impatto sulla Protezione dei Dati[7] (DPIA) ai sensi dell’Art. 35.3 lett. c) del GDPR (“sorveglianza sistematica su larga scala di una zona accessibile al pubblico”);
- la nomina di un Responsabile della Protezione dei Dati in base all’Art. 37.1 lett. b) del GDPR, qualora il trattamento comporti, per sua natura, un controllo regolare e sistematico degli interessati su larga scala[8].
Tuttavia il Comitato elenca tre esempi ove il GDPR non si applica, ossia in tutti quei casi in cui una persona non possa essere identificata, direttamente o indirettamente (sfociando, quindi, nella “piena” anonimizzazione[9]):
- il GDPR non si applica alle telecamere finte, poiché ogni telecamera non funzionante non tratta dati personali (anche se, specifica il Comitato, ogni Stato Membro UE potrebbe aver adottato disposizioni diverse[10]);
- le registrazioni da un’altitudine elevata (es. mediante Droni[11]) rientrano nell’ambito di applicazione del GDPR solo se i dati personali possono essere collegati ad una persona specifica;
- il GDPR non si applica alle telecamere da park assist, a condizione che le stesse non raccolgano alcuna informazione relativa a persone fisiche identificate o identificabili (ad esempio non raccolgano dati relativi a targhe o informazioni che potrebbero identificare i passanti).
Le eccezioni: l’ambito familiare
Il Comitato afferma che il trattamento dei dati personali effettuato da parte delle autorità competenti per fini di prevenzione, indagine, accertamento o perseguimento di reati, nonché per l’esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla sicurezza pubblica, rientra nel campo di applicazione della Direttiva Europea 2016/680[12].
Sempre il Comitato riprende l’Art. 2.2 lett. c) del GDPR, per il quale il Regolamento non si applica ai trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.
Per il Comitato questa disposizione deve essere interpretata in maniera molto restrittiva nell’ambito della videosorveglianza: come ritenuto dalla Corte di Giustizia Europea (Caso C-101/01), l’esenzione “in ambito domestico” riguarda solo le attività che vengono svolte nel corso della vita privata o familiare delle persone, il che escluderebbe il trattamento di dati personali che consistono nella pubblicazione di informazioni su Internet in modo che le stesse siano rese accessibili a un numero indefinito di persone.
Sempre la Corte di Giustizia Europea (Caso C-212/13) ha statuito che se un sistema di videosorveglianza riprende anche parzialmente uno spazio pubblico e, di conseguenza, è diretto verso l’esterno dall’ambiente privato, non può essere considerato come un’attività puramente personale o domestica (e, quindi, rientra nel GDPR)[13].
Anche qui il Comitato sintetizza tre esempi:
- un turista registra video sia con il suo smartphone, sia con una videocamera. Fa vedere tali registrazioni ai suoi amici ed alla sua famiglia, non divulgando le stesse ad un numero indefinito di persone: in questo caso opera l’esenzione familiare;
- un ciclista di downhill riprende la sua discesa dalla montagna con una Actioncam. Da un lato riprende zone remote, senza interessati; dall’altro lato ha intenzione di utilizzare le riprese per divertimento personale. Anche in questo caso opera l’esenzione familiare;
- infine, un tizio sorveglia il suo giardino privato mediante un dispositivo di videosorveglianza. La proprietà è recintata, e solo il titolare del trattamento (il tizio) e la sua famiglia possono entrare nel giardino. In questo caso siamo di fronte ad esenzione familiare solo se l’impianto di videosorveglianza non riprende nemmeno parzialmente un’area pubblica.
Nelle Linee Guida in oggetto il Comitato ribadisce ciò che è disposto nel GDPR, ossia che prima di procedere ad un trattamento di videosorveglianza è necessario specificare nel dettaglio tutte le finalità del trattamento, a norma del principio di “limitazione della finalità” (Art. 5.1, lett. b del GDPR): la videosorveglianza basata su una semplice “finalità di sicurezza” non è – infatti – sufficientemente specifica.
È inoltre contrario al principio di “liceità, correttezza e trasparenza” di cui all’Art. 5.1 lett. a). Ed è proprio sulla liceità del trattamento (Art. 6 del GDPR) che “si gioca la partita” delle basi giuridiche in materia di videosorveglianza.
A detta del Comitato, in linea di principio, ogni base giuridica[14] potrebbe essere utilizzata in ambito videosorveglianza: basterà che il titolare del trattamento giustifichi la scelta[15]. Tuttavia, il Comitato ha individuato alcune basi giuridiche più idonee di altre.
Il legittimo interesse
Il Comitato pone il legittimo interesse[16] di cui all’Art. 6.1 lett. f) del GDPR al primo posto tra le basi giuridiche utilizzabili in materia di videosorveglianza.
La videosorveglianza è legittima se necessaria per conseguire lo scopo di un legittimo interesse perseguito dal titolare del trattamento o da un terzo, a meno che tali interessi non siano prevalenti rispetto agli interessi dell’interessato o ai suoi diritti e libertà fondamentali.
Gli interessi legittimi perseguiti dal titolare del trattamento o da un terzo possono essere interessi legali, economici o di altra natura.
Tuttavia, è possibile procedere con tale base giuridica a condizione che il legittimo interesse del titolare (es. sicurezza dei beni aziendali) prevalga sugli interessi, i diritti e le libertà delle persone interessate (es. lavoratori dell’azienda): in questo caso lo scopo di proteggere l’azienda da furti, rapine o vandalismi può costituire un legittimo interesse per procedere con la videosorveglianza.
Il legittimo interesse deve esistere realmente e, quindi, non deve essere fittizio o speculativo. È necessario rifarsi a situazioni di pericolo reale (es. furti o incidenti gravi verificatisi in passato) prima di iniziare il trattamento dei dati.
Il Comitato suggerisce che, in virtù del “principio di responsabilizzazione” ai sensi dell’art. 5.2 del GDPR, i titolari del trattamento documentino gli incidenti rilevanti (data, modalità, perdite finanziarie) ed i supposti reati, se esistenti.
Tale documentazione può costituire una prova evidente dell’esistenza di un legittimo interesse (nonché tutelerebbe il titolare del trattamento in ottica di responsabilizzazione).
Un altro esempio del Comitato:
- il proprietario di un negozio (Tizio) vuole installare un sistema di videosorveglianza. Egli può dimostrare, statistiche alla mano, che il quartiere ove ha sede il suo negozio è interessato da un alto tasso di vandalismo. Inoltre, il vandalismo che ha colpito i negozi limitrofi è utile: non è necessario, infatti, che il negozio di Tizio sia stato vandalizzato per procedere con l’installazione delle telecamere.
Altre situazioni di pericolo immediato possono riguardare i negozi che vendono beni preziosi (ad esempio, le gioiellerie), o altre attività ad alto tasso di pericolo (ad esempio, le stazioni di servizio). Al di là delle situazioni di pericolo, un titolare del trattamento deve sempre valutare misure alternative alla videosorveglianza, se la medesima finalità (ad esempio, sicurezza dei beni aziendali) possa essere raggiunta diversamente (ad esempio, mediante recinzioni, mediante vigilantes ecc.).
Se l’interesse legittimo è soddisfatto e, quindi, si procede all’attivazione del sistema di videosorveglianza, è sempre necessario limitare il raggio d’azione alle pertinenze di proprietà (ad esempio bloccando o pixelando aree non rilevanti).
Altro esempio:
- una libreria vuole proteggere i propri locali contro il vandalismo. In generale, le telecamere dovrebbero filmare i locali stessi, poiché non è necessario sorvegliare i locali vicini o le aree pubbliche nei dintorni degli stessi locali.
La conservazione delle registrazioni
Questioni sulla necessità del trattamento sorgono anche per quanto riguarda il modo in cui sono conservate le registrazioni. In alcuni casi potrebbe essere necessario utilizzare soluzioni di sovrascrittura automatica, con video accessibili solo in caso di incidente.
In altre situazioni potrebbe non essere necessario registrare, ma solo monitorare in tempo reale (rilevazione). La decisione tra le due soluzioni dovrebbe basarsi anche sullo scopo perseguito: se, ad esempio, lo scopo della videosorveglianza è la conservazione delle prove, la rilevazione è inadatta.
Tuttavia, a volte, il monitoraggio in tempo reale può anche essere più intrusivo. Il titolare del trattamento deve considerare:
- in che misura il controllo incide sugli interessi legittimi, i diritti e le libertà fondamentali;
- se ciò comporta violazioni o conseguenze negative per quanto riguarda i dati personali dell’interessato;
- se ciò comporta violazioni o conseguenze negative per quanto riguarda i dati personali dell’interessato.
Il bilanciamento degli interessi
Il bilanciamento degli interessi è obbligatorio. È necessario equilibrare il rapporto tra i “diritti e le libertà fondamentali” da un lato, e i legittimi interessi del titolare dall’altro. Ecco alcuni esempi delle Linee Guida in oggetto:
- un’autorimessa privata ha documentato una serie di furti. Il parcheggio è uno spazio aperto ed è facilmente accessibile da chiunque, pur essendo chiaramente contrassegnato da cartelli e blocchi stradali che circondano il perimetro. In questo caso l’autorimessa privata ha un legittimo interesse (prevenire i furti delle autovetture) a monitorare i suoi spazi;
- un ristorante decide di installare telecamere nei bagni per controllare che i servizi igienici non vengano vandalizzati. In questo caso i diritti delle persone interessate alla loro intimità prevalgono chiaramente sul legittimo interesse del titolare alla pulizia dei bagni, quindi non è possibile procedere all’installazione delle telecamere.
Il titolare del trattamento deve sempre valutare attentamente (Considerando 47 del GDPR) i rischi di intrusione sui diritti e le libertà dell’interessato; in questo caso il criterio decisivo è l’intensità dell’intervento per i diritti e le libertà dell’individuo.
L’intensità può essere circoscritta, tra l’altro, dal tipo di informazioni raccolte (contenuto delle informazioni), dalla portata (numero delle informazioni, estensione territoriale e geografica), dal numero di persone interessate, dalla situazione in questione, dagli interessi delle persone interessate, da modalità alternative, nonché dalla natura e dalla portata della valutazione dei dati.
Ad esempio, deve essere valutato diversamente l’utilizzo della videosorveglianza in un’area remota (ad es. per osservare la fauna selvatica o per proteggere infrastrutture critiche come un’antenna radio privata), dall’utilizzo della medesima in una zona pedonale o in un centro commerciale.
Per quanto riguarda il “controllo sistematico su larga scala”, il rapporto tra l’interessato e il titolare del trattamento può variare significativamente e può incidere sulle ragionevoli aspettative dell’interessato.
L’interpretazione del concetto di “ragionevole aspettativa” è un criterio molto importante. Ad esempio, nella maggior parte dei casi un dipendente sul posto di lavoro non si aspetta di essere monitorato dal suo datore di lavoro.
Allo stesso modo, non è ragionevole attendersi un monitoraggio nei bagni o nelle saune, poiché vi è un intenso “via-vai” di molteplici interessati, nonché per questioni relative all’intimità delle persone.
La “ragionevole aspettativa” degli interessati è che in queste aree non vi sia alcun sistema di videosorveglianza. D’altro canto, un correntista potrebbe aspettarsi di essere monitorato all’interno di una banca o in prossimità degli ATM.
Gli interessati possono anche aspettarsi di essere liberi dal monitoraggio all’interno di aree pubbliche, specialmente se queste aree sono adibite ad attività ricreative, oppure in ristoranti, parchi, cinema, e palestre. In questi casi è possibile – solitamente – che i diritti e le libertà dell’interessato prevalgano sugli interessi legittimi del titolare del trattamento. Tuttavia, è sempre necessario valutare caso per caso e procedere con la documentazione delle scelte.
Il consenso
Diversamente dal legittimo interesse, il consenso si pone come una base giuridica[17] “residuale” in materia di videosorveglianza.
Per quanto riguarda il monitoraggio sistematico “su larga scala”, il consenso dell’interessato può servire da base giuridica ai sensi dell’articolo 7[18] del GDPR solo in casi eccezionali.
Difficilmente il titolare del trattamento sarà in grado di dimostrare che l’interessato ha prestato il proprio consenso prima dell’inizio del trattamento dei dati personali (si pensi alla situazione grottesca della prestazione del consenso prima di entrare nel raggio d’azione di una telecamera di un negozio).
Inoltre, nel caso dell’esercizio della revoca del consenso, sarà difficile per il titolare del trattamento dimostrare che i dati personali non sono più trattati.
In ogni caso, se il titolare del trattamento intende avvalersi del consenso, è suo dovere assicurarsi che ogni interessato che entra nell’area sottoposta a videosorveglianza abbia prestato la sua “manifestazione di volontà”.
Il consenso deve soddisfare le condizioni di cui all’Art. 7 del GDPR. L’ingresso in un’area con cartello “area videosorvegliata” non costituisce una manifestazione di volontà valida, a meno che non soddisfi i criteri di cui alle Linee Guida WP 259[19].
Inoltre, in ambito lavorativo, la sussistenza del consenso è ancora più precaria. Infatti, dato lo squilibrio di potere tra datori di lavoro e dipendenti, nella maggior parte dei casi gli stessi datori di lavoro non possono fare affidamento sul consenso, in quanto è improbabile che venga prestato liberamente dai lavoratori.
La divulgazione a terzi
Il Comitato – nelle Linee Guida 3/2019 in oggetto – utilizza il termine “disclosure”, il quale può interessare diverse accezioni. L’art. 4 n. 2) del GDPR[20], tra i vari trattamenti di dati, cita la “comunicazione mediante trasmissione” (ad esempio, comunicazione individuale), la “diffusione” (ad esempio, pubblicazione online) e “qualsiasi altra forma di messa a disposizione”.
Ai fini del presente articolo utilizzeremo il termine “divulgazione”, accorpando in sé i trattamenti sopra elencati. La nozione di “terzo”, invece, è rintracciabile nell’4 n. 10) del GDPR[21]. Qualsiasi divulgazione di dati personali è un tipo di trattamento a sé stante, avente una propria base giuridica ai sensi dell’Art. 6 del GDPR. Esempio:
- un titolare del trattamento che desideri caricare una registrazione video su Internet deve basarsi su una base giuridica valida, ad esempio ottenendo il consenso dell’interessato (il soggetto ripreso nel video) ai sensi dell’articolo 6.1, lett. a) del GDPR.
La trasmissione di filmati a terzi per scopi diversi da quelli per i quali i dati sono stati raccolti è possibile ai sensi dell’Art. 6.4 del GDPR[22].
Un altro caso è la trasmissione di registrazioni video alle forze dell’ordine: anche qui è richiesta una giustificazione ad hoc del titolare del trattamento. Infatti, ai sensi dell’Art. 6.1, lett. c) del GDPR, il trattamento è lecito se necessario per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento.
Se la legislazione nazionale impone al titolare del trattamento di cooperare con le forze dell’ordine (ad es. durante le indagini), la base giuridica per la trasmissione dei dati è proprio l’Art. 6.1 lett. c) del GDPR.
La limitazione delle finalità di cui all’Art. 6.4 del GDPR, spesso non presenta problemi, in quanto la divulgazione è rimessa esplicitamente alla legislazione degli Stati Membri dell’Unione Europea. Due esempi:
- il proprietario di un negozio riprende con la sua telecamera l’ingresso della sua attività. In un certo momento sta registrando un ladro che compie un furto ai danni di una persona. La polizia chiede al titolare di consegnare il materiale per tutte le finalità investigative del caso. A tal proposito, il proprietario del negozio utilizzerebbe la base giuridica di cui all’articolo 6.1 lett. c) in combinato disposto con la legislazione nazionale applicabile;
- una telecamera viene installata in un negozio per motivi di sicurezza. Il proprietario del negozio ritiene di aver registrato qualcosa di sospetto e decide di inviare il materiale alla polizia, senza aver avuto alcuna indicazione che sia in corso un’indagine di qualche tipo. In questo caso il proprietario del negozio deve valutare se sono soddisfatte le condizioni di cui all’articolo 6.1 lett. f) del GDPR.
Infine, come già esposto, il trattamento dei dati personali da parte delle stesse autorità non segue il GDPR, ma la Direttiva UE 2016/680.
Trattamento di dati particolari
Risulta quasi lapalissiano affermare che i sistemi di videosorveglianza raccolgono una mole di dati talmente ampia che può contenere – inevitabilmente – dati di natura “particolare” (già dati sensibili) ai sensi dell’Art. 9.1 del GDPR.
I dati particolari sono quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute, nonché i dati relativi alla vita sessuale e all’orientamento sessuale della persona interessata. Esempi:
- un filmato di videosorveglianza che riprende un interessato che indossa gli occhiali, oppure un interessato in sedia a rotelle, non può essere considerato tout court dato particolare (dato relativo alla salute);
- un filmato che riprende degli interessati identificati o identificabili che partecipano ad uno sciopero, è considerato dato particolare (opinioni politiche e/o appartenenza sindacale);
- un ospedale che installa una telecamera preordinata al controllo delle condizioni vitali di un paziente, è considerato dato particolare (dati relativi alla salute).
In generale ed in linea di principio, prima dell’installazione di un sistema di videosorveglianza si dovrebbe considerare attentamente il principio di “minimizzazione dei dati” (Art. 5.1 lett. c del GDPR).
Pertanto, anche nei casi in cui non si applichi l’Art. 9.1 del GDPR il titolare del trattamento dei dati dovrebbe sempre cercare di ridurre al minimo il rischio di acquisire filmati che rivelino dati particolari, indipendentemente dalle finalità del trattamento, valutando caso per caso come procedere. Un esempio pratico:
- un ospedale sta monitorando mediante telecamera un paziente per motivi medici. L’interessato è stato portato nel nosocomio con un’ambulanza in stato di incoscienza. In questo caso potrebbe applicarsi l’articolo 9.2 lett. c) del GDPR.
A questo proposito, sottolinea il Comitato nelle Linee Guida in oggetto, è importante notare che è improbabile che tutte le basi giuridiche di cui all’Art. 9 del GDPR siano utilizzabili per giustificare un trattamento di categorie particolari di dati attraverso la videosorveglianza.
Il semplice fatto di entrare nel raggio d’azione di una telecamera non implica che l’interessato intenda far sì che la persona in questione tratti i dati particolari che lo riguardano.
Inoltre, il trattamento di categorie particolari di dati richiede una maggiore e costante vigilanza, nonché taluni adempimenti ulteriori. Ad esempio si dovrà procedere con una DPIA.
Il dato biometrico
Nelle Linee Guida 3/2019 il Comitato si sofferma principalmente sul trattamento mediante videosorveglianza realizzato con l’utilizzo di dati biometrici. Ai sensi dell’Art. 4 n. 14) del GDPR i dati biometrici sono dati personali ottenuti da un trattamento tecnico specifico.
Essi sono relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
Nell’ambito della videosorveglianza “intelligente” il riconoscimento facciale è il trattamento di dati biometrici maggiormente utilizzato. Anche qui una DPIA è obbligatoria.
In sintesi il Comitato considera tre criteri per il trattamento dei dati biometrici in ambito videosorveglianza, nel combinato disposto Art. 4 n. 14) e Art. 9 del GDPR:
- natura dei dati;
- modalità del trattamento;
- finalità del trattamento.
L’utilizzo di videosorveglianza con riconoscimento facciale, da parte di privati, richiede nella maggior parte dei casi il consenso esplicito di cui all’Art. 9.2 lett. a) del GDPR. In questo caso, i titolari del trattamento devono garantire, una volta ottenuto un modello biometrico (“match” ovvero “no-match”), la sicura cancellazione di tutti i modelli intermedi.
I modelli creati per l’acquisizione dei profili degli interessati devono essere conservati solo per la realizzazione dello scopo dell’elaborazione e non devono essere conservati in alcun modo.
Tuttavia, specifica il Comitato, quando lo scopo del trattamento è, ad esempio, quello di distinguere una categoria di persone da un’altra, ma non quello di identificare in modo univoco chiunque passi nel raggio d’azione della telecamera, il trattamento non rientra nell’ambito di applicazione dell’Art. 9 del GDPR (Es. differenziazione dei clienti per genere ed età, per finalità di marketing).
Tuttavia, l’Art. 9 del GDPR si applica se il titolare del trattamento conserva dati biometrici per identificare in modo univoco una persona, per determinate finalità.
Il Comitato, nelle Linee Guida in oggetto, osserva che alcuni sistemi biometrici sono installati in ambienti non controllati, facendo in modo che il sistema catturi “al volo” le facce di qualsiasi individuo che transita nel raggio d’azione della telecamera, comprese le persone che non hanno acconsentito esplicitamente al trattamento mediante dispositivo biometrico (assenza della base giuridica di cui all’Art. 9.2 lett. a del GDPR).
Tali modelli biometrici creati in assenza del consenso esplicito sono confrontati con quelli creati dagli interessati che hanno prestato il loro consenso esplicito affinché il titolare del trattamento possa riconoscere se la persona abbia acconsentito o meno.
In questo caso, il sistema è spesso progettato per discriminare gli individui “censiti” da coloro che non sono “arruolati”. Tuttavia è sempre necessario specificare la base giuridica adatta ai sensi dell’Art. 9 del GDPR. In ogni caso il titolare del trattamento deve offrire una soluzione alternativa che non comporti un trattamento biometrico – senza restrizioni o costi aggiuntivi per l’interessato.
La minimizzazione dei rischi
Conformemente al principio di minimizzazione dei dati, i titolari del trattamento devono garantire che i dati estratti da un’immagine digitale per costruire un modello non siano eccessivi e contengano solo le informazioni necessarie per lo scopo perseguito, evitando così ogni possibile ulteriore elaborazione.
Le misure dovrebbero garantire che i modelli non possano essere trasferiti attraverso sistemi biometrici. L’identificazione e l’autenticazione/verifica richiederanno probabilmente la memorizzazione del modello per poterlo utilizzare in un confronto successivo.
Il titolare del trattamento deve prendere in considerazione il luogo più appropriato per la memorizzazione dei dati. In un ambiente sotto controllo (corridoi o punti di controllo delimitati), i modelli sono memorizzati su un singolo dispositivo tenuto dall’utente e sotto il suo unico controllo (in uno smartphone o nel documento d’identità elettronico).
Per scopi specifici e in presenza di esigenze oggettive i dati personali sono memorizzati in una banca dati centralizzata in forma criptata con una chiave in possesso della persona alla quale si riferisce, per impedire l’accesso non autorizzato al modello o al luogo di archiviazione.
Se il titolare del trattamento dei dati non può evitare di accedere ai modelli, deve adottare misure adeguate a garantire la sicurezza dei dati memorizzati. Ciò può includere la cifratura del modello utilizzando un algoritmo crittografico. In ogni caso, il titolare del trattamento adotta tutte le precauzioni necessarie per preservare la disponibilità, l’integrità e la riservatezza dei dati trattati.
A tal fine, il titolare del trattamento adotta in particolare le seguenti misure: compartimentazione dei dati durante la trasmissione e la memorizzazione, memorizzazione di modelli biometrici e di dati grezzi o di identità su banche dati distinte, cifratura dei dati biometrici (in particolare di modelli biometrici), definizione di una policy di cifratura e gestione delle chiavi, integrazione di una misura tecnica e organizzativa per l’individuazione delle frodi, associazione di un codice di integrità ai dati (ad esempio firma o hash) e divieto di qualsiasi accesso esterno ai dati biometrici.
Inoltre, i titolari del trattamento dei dati procedono alla cancellazione dei dati grezzi (immagini del volto, segnali vocali) garantendo l’efficacia di tale cancellazione. Infine, il titolare del trattamento deve cancellare i dati biometrici e i modelli in caso di accesso non autorizzato all’archivio.
I diritti dell’interessato
Pur se in ambito videosorveglianza trovano applicazione, potenzialmente, tutti i diritti di cui al Capo III del GDPR, il Comitato tratta unicamente del diritto di accesso (Art. 15), del diritto alla cancellazione (Art. 17) e del diritto di opposizione (Art. 21).
Il diritto di accesso
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali […]. In ambito videosorveglianza significa che, se in un qualsiasi modo, non vengono memorizzati o trasferiti i dati, una volta trascorso il momento del monitoraggio in tempo reale, il titolare del trattamento può comunicare all’interessato unicamente che i suoi dati personali non vengono più trattati.
Se, tuttavia, i dati sono ancora in corso di trattamento al momento della richiesta (ossia se i dati sono conservati o trattati in modo continuativo in qualsiasi altro modo), l’interessato potrà procedere con l’Art. 15 del GDPR.
Vi sono tuttavia una serie di limitazioni che in alcuni casi possono applicarsi in relazione al diritto di accesso.
- L’Art. 15.4 del GDPR, per il quale il diritto di ottenere copia dei dati personali non deve ledere i diritti e le libertà altrui.
Dato che un filmato di videosorveglianza può registrare l’attività di un’ingente mole di persone, la copia di un video o di un’immagine potrebbe generare un ulteriore trattamento dei dati personali riferiti ad altre persone interessate.
Se l’interessato desiderasse ricevere una copia, la stessa potrebbe pregiudicare i diritti e le libertà degli altri interessati presenti nel video o nell’immagine. In questo caso il titolare del trattamento dovrà mettere in campo una o più tecniche che non permettano di ricondurre il video o la foto ad altre persone, salva la presenza dello stesso interessato (ad esempio, tecniche di mascheramento o lo scrambling[23]).
- l’articolo 11.2 del GDPR, qualora il titolare del trattamento non fosse in grado di identificare l’interessato.
Se il filmato non è consultabile per la ricerca di dati personali, il titolare del trattamento potrebbe non essere in grado di identificare l’interessato.
Per questi motivi, nella sua richiesta al titolare del trattamento, l’interessato dovrebbe (oltre ad identificarsi mediante documento di riconoscimento) specificare quando – entro un lasso di tempo ragionevole in proporzione alla quantità di persone interessate registrate – è entrato nell’area monitorata.
Se il titolare del trattamento è in grado di dimostrare di non essere in grado di identificare l’interessato, lo stesso titolare deve informare l’interessato di conseguenza, se possibile.
- l’Articolo 12.5 del GDPR, sulle richieste eccessive o manifestamente infondate.
In caso di richieste eccessive o manifestamente infondate da parte dell’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole. Il titolare del trattamento deve essere in grado di dimostrare il carattere eccessivo o manifestamente infondato della richiesta.
Diritto di cancellazione e di opposizione
Se il titolare del trattamento continua a trattare i dati personali al di là del monitoraggio in tempo reale (ad esempio, mediante conservazione), l’interessato può chiedere la cancellazione dei dati personali ai sensi dell’articolo 17 del GDPR.
Su richiesta dell’interessato, il titolare del trattamento è tenuto a cancellare i dati personali senza indebito ritardo se, ad esempio, non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati (Art. 17.1 lett. a), ovvero quando sono stati trattati illecitamente (Art. 17.1 lett. d).
Inoltre, a seconda della base giuridica, i dati personali devono essere cancellati in caso di revoca del consenso, in mancanza di altre basi giuridiche; qualora l’interessato eserciti il diritto di opposizione e non sussistano motivi legittimi e imperativi per il trattamento; ovvero in caso di marketing diretto (compresa la profilazione) qualora l’interessato si opponga al trattamento.
Se il titolare del trattamento ha reso pubbliche le riprese video (ad esempio, trasmissione o streaming online), devono essere adottate misure ragionevoli per informare gli altri titolari del trattamento (che ora trattano i dati personali in questione) della richiesta ai sensi dell’articolo 17.2 del GDPR.
Le misure ragionevoli dovrebbero comprendere le misure tecniche, tenendo conto delle tecnologie disponibili e dei costi di attuazione. Oltre all’obbligo del titolare del trattamento di cancellare i dati personali su richiesta dell’interessato, il titolare è tenuto, in base ai principi generali del GDPR, a limitare i dati personali memorizzati.
Per quanto attiene il diritto di opposizione (Art. 21 del GDPR), l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’Art. 6.1. lett e) – interesse pubblico o esercizio di pubblici poteri – ed f), il legittimo interesse.
Nell’ambito della videosorveglianza il diritto di opposizione potrebbe essere esperito prima dell’ingresso, durante il periodo di permanenza o dopo l’uscita dall’area videosorvegliata. In pratica, a meno che il titolare non abbia motivi imperativi e legittimi, il monitoraggio di un’area in cui le persone fisiche possono essere identificate è lecito soltanto se:
- il titolare del trattamento è in grado di interrompere immediatamente il trattamento dei dati personali mediante videosorveglianza, quando richiesto oppure
- l’area monitorata è talmente limitata nei dettagli che il titolare può ottenere l’approvazione dell’interessato prima dell’ingresso nell’area (non essendo un’area alla quale l’interessato, in quanto cittadino, ha diritto di accesso).
Per quanto attiene l’utilizzo della videosorveglianza per fini di marketing, l’interessato ha il diritto di opporsi al trattamento in base ai disposti di cui agli Artt. 21.2 e 21.3 del GDPR.
Il principio di trasparenza
In ambito videosorveglianza ciascun interessato deve essere informato in maniera dettagliata, ottemperando al contempo al principio di trasparenza di cui all’Art. 12 del GDPR[24].
Alla luce delle informazioni che devono essere fornite all’interessato, i titolari del trattamento possono seguire un approccio a più livelli per garantire il rispetto del principio di trasparenza:
- Primo livello, il segnale di avvertimento (ovvero il classico cartello “Area Videosorvegliata”); il Comitato propone un esempio di cartello con logo stilizzato della telecamera, identità del titolare del trattamento ovvero del suo rappresentante (Art. 27 del GDPR), dati di contatto – ove designato – del Responsabile della Protezione dei Dati, le finalità del trattamento, le basi giuridiche del trattamento ed un “accenno” ai diritti previsti dal GDPR. Il Comitato specifica che il cartello deve essere posizionato ad una distanza ragionevole dal raggio d’azione della telecamera, in modo tale che l’interessato possa facilmente riconoscere l’area videosorvegliata prima che entri nella medesima (con un cartello “all’altezza degli occhi”). Non è necessario specificare l’esatta l’ubicazione delle apparecchiature di videosorveglianza, a condizione che non vi siano dubbi in merito a quali aree siano soggette a tale obbligo; inoltre il contesto della videosorveglianza deve essere chiarito senza ambiguità. Infine l’interessato deve essere in grado di stimare quale area viene catturata da una telecamera, in modo da poter evitare di entrare nel suo raggio d’azione. In ogni caso le informazioni di cui al primo livello devono riferirsi a quelle di secondo livello.
- Secondo livello, le informazioni complete sul trattamento dei dati previste dall’Art. 13 del GDPR[25]. Esse devono essere rese disponibili in un luogo facilmente accessibile all’interessato, ad esempio presso uno sportello informativo, una reception ecc.
Inoltre deve essere possibile accedere alle informazioni di secondo livello senza entrare nell’area sottoposta a videosorveglianza. Ciò può essere ottenuto, ad esempio, tramite un link o qualsiasi altro mezzo appropriato, come un numero di telefono o un QR Code.
Il tempo di conservazione dei dati
In ottemperanza al principio di minimizzazione dei dati (Art. 5.1 lett. c del GDPR), ed al principio di limitazione della conservazione (Art. 5.1 lett. e del GDPR), i dati personali non possono essere conservati più a lungo di quanto necessario per le finalità per le quali i dati personali sono raccolti e trattati.
In ogni caso il Comitato sottolinea che in alcuni Stati Membri dell’Unione Europea possono essere previste disposizioni ulteriori a quelle presenti nelle Linee Guida 3/2019 in oggetto. Il Comitato propende per un periodo di conservazione giustificato, controllato e limitato.
In generale, le finalità legittime della videosorveglianza riguardano la protezione della proprietà o la conservazione delle prove. Di solito, afferma il Comitato, i danni che si sono verificati possono essere riconosciuti entro uno o due giorni.
Passato questo periodo si procede alla loro cancellazione (solitamente, mediante sovrascrittura automatica). In ogni caso, più lungo è il periodo di conservazione (in particolare quando supera le 72 ore), più argomentazioni bisogna produrre e documentare a sostegno della legittimità della conservazione dei dati (principio di responsabilizzazione, Art. 5.2 del GDPR).
Le misure di sicurezza
In base all’Art. 32 del GDPR, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […][26].
Il trattamento dei dati personali mediante videosorveglianza non deve essere soltanto legalmente ammissibile, ma anche “adeguatamente sicuro”.
Ai sensi degli articoli 24 e 25 del GDPR, i titolari del trattamento devono attuare misure tecniche e organizzative anche al fine di salvaguardare la protezione dei dati mediante videosorveglianza, nonché per stabilire le modalità che consentano agli interessati di esercitare i loro diritti GDPR.
Il sistema di videosorveglianza
Un sistema di videosorveglianza è costituito da dispositivi analogici e digitali e da un software che permette di catturare le immagini di una scena, gestirle e mostrarle all’operatore preposto (es. il titolare del trattamento o un suo dipendente). I suoi componenti sono raggruppati nelle seguenti categorie:
- ambiente video: acquisizione delle immagini, interconnessioni e gestione delle immagini.
- lo scopo della cattura delle immagini è la generazione di un’immagine del mondo reale in un formato tale da poter essere utilizzata dal sistema di videosorveglianza;
- le interconnessioni descrivono tutte le trasmissioni di dati all’interno dell’ambiente video (connessioni e comunicazioni). Esempi di connessioni sono i cavi, le connessioni digitali e le trasmissioni wireless. Le comunicazioni descrivono tutti i segnali video e di controllo dei dati, che possono essere digitali o analogici;
- la gestione delle immagini include l’analisi, la memorizzazione e la presentazione di un’immagine o di una sequenza di immagini;
- dal punto di vista della gestione del sistema, un sistema di videosorveglianza possiede le seguenti funzioni logiche;
- data management e activity management, che comprendono la gestione dei comandi dell’operatore e delle attività generate dal sistema (procedure di allarme, avviso degli operatori);
- le interfacce con altri sistemi possono includere il collegamento ad altri sistemi di sicurezza (controllo accessi, allarme antincendio) e di altri sistemi che non riguardano la sicurezza (sistemi di gestione degli edifici, riconoscimento automatico delle targhe);
- la sicurezza di un sistema di videosorveglianza consiste nella riservatezza, nell’integrità e nella disponibilità;
- la sicurezza del sistema include la sicurezza fisica di tutti i componenti del sistema e il controllo degli accessi al sistema di videosorveglianza;
- la sicurezza dei dati comprende la prevenzione della perdita dei dati, ovvero la loro manipolazione.
Data protection by design e by default
Come stabilito dall’Art. 25 del GDPR, i titolari del trattamento devono attuare misure tecniche e organizzative adeguate in materia di protezione dei dati prima dell’installazione di un sistema di videosorveglianza (by design), ossia prima di iniziare la raccolta e l’elaborazione dei dati mediante le telecamere, utilizzando per impostazione predefinita i soli dati necessari per le finalità del trattamento (by default).
Tali principi sottolineano la necessità di avvalersi di tecnologie integrate per il miglioramento della protezione dei dati, di impostazioni predefinite che riducano al minimo il trattamento dei dati, nonché di strumenti necessari per garantire la massima protezione possibile ai dati personali.
I titolari del trattamento dovrebbero integrare la protezione dei dati anche da un punto di vista organizzativo. In questo caso il titolare del trattamento dovrebbe adottare un quadro di gestione adeguato, nonché definire e applicare le policy e le procedure relative alla videosorveglianza.
Dal punto di vista tecnico, le specifiche del sistema e la relativa progettazione dovrebbe includere tutti requisiti per il trattamento dei dati personali conformemente ai principi enunciati dall’Art. 5 del GDPR (liceità del trattamento, limitazione delle finalità, minimizzazione dei dati). Per i pertinenti esempi sulle misure di sicurezza, si rinvia al punto 9.3 delle Linee Guida 3/2019 in oggetto.
La DPIA
Ai sensi dell’Art. 35.1 del GDPR, il titolare del trattamento è tenuto ad effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) quando un tipo di trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche.
L’articolo 35.3 lett. c) del GDPR stabilisce che i titolari del trattamento sono tenuti ad effettuare una DPIA nel caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico[27]. Mentre l’Art. 35.3 lett. b) del GDPR, richiede una DPIA quando il titolare del trattamento intende trattare categorie particolari di dati su larga scala.
Date le diverse finalità di un trattamento mediante videosorveglianza (Es. protezione delle persone e dei beni, individuazione, prevenzione e controllo dei reati, raccolta di prove e identificazione biometrica dei sospetti), è ragionevole supporre che siano molti casi in cui è richiesta una DPIA.
Pertanto, i titolari del trattamento dei dati dovrebbero consultare attentamente le norme per determinare se tale valutazione è necessaria e, in caso affermativo, effettuarla. L’esito della DPIA dovrebbe determinare le scelte del titolare del trattamento in merito alle misure adottate.
Infine, è importante evidenziare che, se i risultati della DPIA indicassero la presenza di rischio elevato per il trattamento, in assenza di misure adottate dal titolare per attenuare il rischio, sarà necessario consultare l’autorità di controllo (Es. il Garante Privacy) ai sensi dell’Art. 36 del GDPR.
Note
- Il Comitato Europeo per la Protezione dei Dati è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. ↑
- Le Linee Guida sono state adottate il 10/07/2019. È possibile inviare commenti al Comitato – all’indirizzo EDPB@edpb.europa.eu – fino al 06/09/2019. ↑
- Per quanto riguarda l’Italia, consultare qui. ↑
- Soggetto al quale si riferiscono i dati personali. ↑
- Il Comitato accenna sia a tecniche più intrusive (ad esempio, trattamento mediante l’uso di tecnologie biometriche complesse); sia a tecniche meno intrusive (ad esempio, trattamento mediante semplici algoritmi di conteggio). Sempre il Comitato accenna ai software utilizzati per l’identificazione facciale, il riconoscimento o l’analisi, i quali si comportano in modo diverso a seconda dell’età, del sesso e dell’etnia della persona che sta identificando. ↑
- Art. 5.1. I dati personali sono a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; […] («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; […] («esattezza»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; […] («limitazione della conservazione»); f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). Art. 5.2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). ↑
- È obbligatorio condurre una DPIA quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori). Il GDPR obbliga i titolari a svolgere una DPIA prima di darvi inizio, consultando l’autorità di controllo (es. il Garante Privacy) in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato. ↑
- Il Responsabile della protezione dei dati, tra gli altri compiti (Art. 39 GDPR): informa e fornisce consulenza al titolare del trattamento in merito agli obblighi del GDPR; sorveglia l’osservanza del GDPR; fornisce, se richiesto, un parere sulla DPIA; coopera con l’autorità di controllo (es. Garante Privacy); funge da punto di contatto con l’autorità di controllo. ↑
- Considerando 26 del GDPR: […] I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca. ↑
- Si veda, tra tutti, questo articolo. ↑
- I consigli del Garante per rispettare la privacy se si usa un drone ↑
- Si legga qui. La Direttiva UE 2016/680 è stata recepita in Italia con il D. Lgs. 51/2018.
- Le due pronunce della Corte sono state varante in costanza della Direttiva “Madre” 95/46, abrogata con l’applicazione del GDPR il 25 Maggio 2018. ↑
- A titolo esemplificativo, le basi giuridiche ex art. 6 del GDPR sono: a) il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) l’esecuzione di un contratto di cui l’interessato è parte c) l’obbligo legale al quale è soggetto il titolare del trattamento; d) la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. ↑
- Principio di responsabilizzazione (Art. 5.2 del GDPR). ↑
- Si veda anche qui e qui ↑
- Art. 6.1 lett. a) e Art. 9.2 lett. a) del GDPR. ↑
- Art. 7.1. del GDPR. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Art. 7.2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante. Art. 7.3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di prestare il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato. Art. 7.4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto. ↑
- Il consenso in base alle previsioni del Regolamento (UE) ↑
- Art. 4 n. 2) del GDPR – «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. ↑
- Art. 4 n. 10) «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. ↑
- Art. 6.4 del GDPR. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento; c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
- d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
- e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione. ↑
- Il sistema riconosce oggetti o soggetti ultronei alla rilevazione, e li rappresenta codificati con un algoritmo di crittografia. Qui maggiori informazioni↑
- Per maggiori dettagli, qui. ↑
- Diritti degli interessati ↑
- Per approfondimenti. ↑
Si veda anche “l’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto” del Garante Privacy. ↑