A fine 2018 la situazione normativa privacy in materia di videosorveglianza è questa: abbiamo un provvedimento generale del 2010 del Garante privacy che si basa su un Codice Privacy “precedente” al GDPR (a voler essere puntigliosi, precedente al D.lgs. 101/2018) che convive con il GDPR e il nuovo Codice Privacy armonizzato. In altre parole: in attesa di un intervento legislativo e/o del Garante Privacy in materia, è necessario far luce sul rapporto tra il provvedimento generale del 2010 e il GDPR.
Indice degli argomenti
La responsabilizzazione del titolare del trattamento
Il soggetto pubblico o privato che tratta dati personali mediante videosorveglianza è titolare del trattamento dei dati, ossia la persona (fisica o) giuridica che determina le finalità e le modalità del trattamento. Su questa “carica” si innesta il principio di responsabilizzazione (o di “accountability”), introdotto dal GDPR, che entra a gamba tesa anche in materia di videosorveglianza.
È un concetto fondamentale in quanto il titolare del trattamento è pienamente responsabile delle scelte e delle azioni messe in campo (art. 5.2 GDPR), e deve “darne conto” a tutti i soggetti ai quali appartengono i dati trattati (interessati), nonché in determinati casi al Garante privacy e all’autorità giudiziaria. Con il GDPR si è responsabili di ogni scelta messa – o non messa – in campo, e si diventa ipso iure unico centro di imputazione per qualsiasi trattamento non a norma di legge.
Le informazioni sul trattamento dei dati
La materia della videosorveglianza è caratterizzata dalla particolarità della doppia informativa: un’informativa minima (il cartello “Area videosorvegliata”), che trae la sua legittimità/esistenza dall’abrogato art. 13 comma 3 del vecchio Codice Privacy (che recitava: “Il Garante può individuare con proprio provvedimento modalità semplificate per l’informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico”); ed un’informativa completa che deve essere resa conformemente a quanto disposto dal GDPR.
La ratio dell’informativa minima è molto semplice. Il Garante privacy ha voluto fare in modo che gli interessati dovessero essere sempre informati al momento dell’accesso ad una zona videosorvegliata. E siccome rendere un’informativa completa all’accesso ad una zona videosorvegliata non avrebbe sortito effetti positivi, venne creata una sorta di “pre-informativa”, ossia un cartello che recasse le informazioni più utili ed immediate per l’interessato (indicazione del titolare e della finalità del trattamento). Se l’interessato avesse voluto approfondire il trattamento dei suoi dati personali, il titolare del trattamento avrebbe dovuto fornire tempestivamente l’informativa completa, senza oneri.
In particolare, l’informativa minima, ai sensi del punto 3.1 del provvedimento del 2010:
- deve essere collocata prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
- deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
- può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.
Attualmente l’uso dell’informativa minima è ancora molto diffuso (anche se le inidoneità non sono rare), e probabilmente lo sarà anche in futuro con gli interventi “armonizzatori” del legislatore e/o del Garante privacy.
All’informativa minima segue l’informativa “completa” resa ai sensi dell’art. 13 del GDPR. Cosa deve contenere un’informativa in materia di videosorveglianza?
- L’identità e i dati di contatto del titolare del trattamento. È necessario inserire la ragione sociale e i dati di contatto del titolare del trattamento. Nel caso di titolare del trattamento persona fisica inserire i dati anagrafici in luogo della ragione sociale. Raccomandazione: i dati di contatto devono corrispondere al vero e devono essere sempre aggiornati.
- I dati di contatto del Responsabile della Protezione dei Dati (DPO), se presente. Inserirli solo se richiesto dalla norma ovvero inserirli nel caso in cui il titolare avesse deciso di nominarne uno facoltativamente.
- Le finalità del trattamento. La domanda alla quale rispondere è: a cosa mi serve la videosorveglianza? È necessario? In tale caso è possibile far riferimento direttamente al punto 2 del provvedimento 2010 del Garante privacy che individua alcune finalità del trattamento in che possono essere utilizzate dai titolari:
- protezione e incolumità degli individui, ivi ricompresi i profili attinenti alla sicurezza urbana, all’ordine e sicurezza pubblica, alla prevenzione, accertamento o repressione dei reati svolti dai soggetti pubblici, alla razionalizzazione e miglioramento dei servizi al pubblico volti anche ad accrescere la sicurezza degli utenti, nel quadro delle competenze ad essi attribuite dalla legge;
- protezione della proprietà;
- rilevazione, prevenzione e controllo delle infrazioni svolti dai soggetti pubblici, nel quadro delle competenze ad essi attribuite dalla legge;
- acquisizione di prove.
Raccomandazione: coerenza nell’utilizzo delle medesime finalità del trattamento per l’informativa minima e per l’informativa completa.
- La base giuridica del trattamento. La base giuridica che legittima il trattamento mediante videosorveglianza è l’interesse legittimo (art. 6, comma 1, lettera f del GDPR), una tra le più particolari condizioni di liceità del GDPR. Il provvedimento del 2010 al punto 6.2.2. – richiamato da un (più) recente provvedimento del Garante del 22 Febbraio 2018 – afferma che “la rilevazione delle immagini può avvenire senza consenso, qualora, con le modalità stabilite in questo stesso provvedimento, sia effettuata nell´intento di perseguire un legittimo interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro”.
- I destinatari del trattamento. La domanda alla quale rispondere è: quale persona fisica, giuridica, autorità pubblica o organismo riceve comunicazione dei dati personali? Si può far riferimento a soggetti interni autorizzati al trattamento dei dati (ad esempio, dipendente dell’istituto di vigilanza deputato al controllo dei dati su NVR/DVR), ovvero a soggetti esterni che effettuano trattamenti per conto del titolare (responsabile del trattamento). Destinatari del trattamento potrebbero essere anche le forze dell’ordine in caso di sistema di videosorveglianza collegato (punto 3.1.3 del provvedimento del 2010). In ogni caso è necessario specificare nell’informativa privacy almeno la categoria di riferimento dei destinatari.
- Il trasferimento all’estero di dati verso paesi terzi o organizzazioni internazionali. Raro, ma non impossibile. In questo caso se vi fosse necessità (ed intenzione) di trasferire alcuni dati verso paesi terzi (ad esempio, extra UE) o organizzazioni internazionali bisognerà inserirlo nell’informativa privacy. È, inoltre, necessario inserire la presenza o l’assenza di decisioni di adeguatezza della Commissione Europea.
- Il periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo. Indubbiamente è – da sempre – una delle particolarità della videosorveglianza. Anzi, è uno dei pochi settori dove l’indicazione dei tempi di conservazione dei dati ha anticipato l’obbligatorietà prevista dal GDPR. Al punto 3.4 del provvedimento del 2010 si legge che “nei casi in cui sia stato scelto un sistema che preveda la conservazione delle immagini, in applicazione del principio di proporzionalità anche l´eventuale conservazione temporanea dei dati deve essere commisurata al tempo necessario – e predeterminato – a raggiungere la finalità perseguita”. Inoltre “la conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell´attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l´esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare la settimana”. Raccomandazione: inserendo il periodo di conservazione nell’informativa, attenersi sempre e comunque al rispetto del principio di minimizzazione dei dati. I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5.1 lett. c). Lo stesso punto 2 lett. b) del provvedimento del 2010 dispone che “ciascun sistema informativo ed il relativo programma informatico vengano conformati già in origine in modo da non utilizzare dati relativi a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi”.
- I diritti dell’interessato sui suoi dati personali. Questa è una parte fondamentale dell’informativa privacy. Importante: tali diritti sono esercitati dall’interessato senza alcuna formalità e gratuitamente (salvo richieste reiterate, eccessive o infondate); il titolare del trattamento deve ottemperare alle richieste senza ingiustificato ritardo (nei limiti della durata di conservazione dei dati, di cui al punto precedente). Inoltre si risponde, ove possibile, alle richieste dell’interessato nella stessa forma: a richieste cartacee si risponde in maniera cartacea, a richieste elettroniche si risponde in maniera elettronica. Vediamo quali sono i diritti dell’interessato sui suoi dati personali in materia di videosorveglianza:
- ai sensi dell’art. 15 GDPR l’interessato ha il diritto di ottenere (gratuitamente) dal titolare del trattamento la conferma che è in atto – o meno – un trattamento di dati personali che lo riguarda, di ottenere l’accesso a questi dati ed alcune informazioni già previste (e garantite) nell’informativa. Nota: nei limiti del possibile, considerando i tempi di conservazione scelti dal titolare del trattamento.
- ai sensi dell’art. 16 GDPR l’interessato ha il diritto di ottenere la rettifica di dati personali inesatti ovvero l’integrazione di dati personali incompleti. Nota: anche qui è necessario considerare i tempi di conservazione scelti dal titolare del trattamento (potrebbe essere impossibile procedere con l’esercizio di tali diritti).
- ai sensi dell’art. 17 GDPR l’interessato ha il diritto alla cancellazione dei suoi dati: 1) nel caso che (a suo avviso) non siano più necessari rispetto alle finalità di raccolta; 2) nel caso si opponga al trattamento e non vi siano altri motivi legittimi per procedere con lo stesso; 3) nel caso i dati siano trattati illecitamente da parte del titolare del trattamento; 4) nel caso i dati debbano essere cancellati per adempiere ad un obbligo di legge cui è soggetto il titolare del trattamento. In tutti questi casi il titolare del trattamento dovrà procedere alla cancellazione di tali dati senza ingiustificato ritardo. Non si applica il diritto alla cancellazione quando vi è l’esercizio del diritto alla libertà di espressione e di informazione; un obbligo di legge da rispettare; un compito da svolgere nel pubblico interesse ovvero l’esercizio di pubblici poteri cui può essere investito il titolare del trattamento; ed infine non si applica per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria (art. 24 Cost.).
- ai sensi dell’art. 18 GDPR l’interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano quando: 1) contesta l’esattezza dei dati personali (nei limiti della durata di conservazione); 2) il trattamento è illecito; 3) l’interessato ha necessità di utilizzare i suoi dati per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria benché il titolare non abbia più bisogno di questi dati; infine, quando l’interessato si oppone al trattamento dei suoi dati.
- ai sensi dell’art. 21 GDPR l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento avente come base giuridica il legittimo interesse. In particolare, il titolare del trattamento dovrà astenersi dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Inoltre, il diritto di opposizione deve essere portato all’attenzione dell’interessato – e presentato – in maniera chiara e separata da ogni altra informazione al più tardi al momento della prima comunicazione.
- L’informativa privacy deve contenere il diritto di proporre reclamo presso un’Autorità di Controllo. Raccomandazione: è consigliabile inserire nell’informativa direttamente il binomio Autorità di Controllo e Sito Web (ad esempio, Garante Privacy – https://www.garanteprivacy.it).
- L’informativa privacy deve specificare se la comunicazione di dati personali (ai destinatari) è un obbligo di legge o contrattuale, se l’interessato ha l’obbligo di fornire tali dati e le possibili conseguenze nel caso in cui lo stesso non volesse procedere con la comunicazione.
- Infine, l’informativa privacy deve specificare se è in atto un processo decisionale automatizzato (art. 22 GDPR), con la logica utilizzata, l’importanza e le conseguenze di tale trattamento.
Le misure di sicurezza per la protezione dei dati
Le misure di sicurezza da adottare in materia di videosorveglianza devono rispettare l’art. 32 GDPR. Parafrasando il provvedimento generale, i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con adeguate (non più “idonee e preventive”) misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini.
Il provvedimento del 2010 al punto 3.3. dispone che devono essere adottate specifiche misure tecniche ed organizzative che consentano al titolare del trattamento di verificare l’attività svolta da parte di chi accede alle immagini o controlla i sistemi di ripresa. È fatta salva la necessità di avere differenti livelli di visibilità e trattamento delle immagini (rilevazione, anche mediante videocitofono).
Sia i soggetti che rilevano (visualizzano le immagini in tempo reale), sia i soggetti che registrano devono possedere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza.
Laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione.
Per quanto riguarda il periodo di conservazione delle immagini (a prescindere dalla durata scelta) devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto (utilizzare la sovrascrittura).
Nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele: in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini.
Qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all´art. 615-ter del codice penale.
La trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza. Le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless (ad esempio, Wi-Fi).
Videosorveglianza e GDPR: sicurezza dei dati a norma
Analizzato ciò che prevede il provvedimento del 2010 (ove non vi siano incompatibilità con l’attuale normativa) analizziamo ciò che prevede il GDPR. Come garantire la sicurezza dei dati personali in materia di videosorveglianza?
L’art. 32 GDPR dispone che per approntare delle adeguate misure di sicurezza bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati). Il tutto per garantire un livello di sicurezza adeguato al rischio.
Tra le “soluzioni” che l’art. 32 elenca – in maniera non esaustiva – vi sono:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (es. backup / disaster recovery);
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Inoltre, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Inoltre, punto importante, il titolare del trattamento fa sì che chiunque agisca sotto la sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso.
È sempre utile rammentare quelle che sono le misure imprescindibili che precedono quanto previsto dall’art. 32 GDPR (ed hanno il “buon senso” come base giuridica):
- controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore del sistema di videosorveglianza;
- username e password devono essere perfettamente memorizzati, non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;
- ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione dal terminale (ad esempio, Logo Windows + L);
- la password va cambiata periodicamente, deve essere complessa e non va ceduta a nessuno;
- su ogni PC e terminale vanno installati Antivirus e Firewall con licenze d’uso originali (preferibilmente, non affidarsi a software gratuiti);
- antivirus e firewall devono essere aggiornati quotidianamente;
- dotarsi di soluzioni di crittografia / pseudonimizzazione per gli archivi elettronici;
- porre in essere backup periodici.
- replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc. dato che i sistemi di videosorveglianza possono essere gestiti da diversi dispositivi).
Infine, è possibile – anche in ambito videosorveglianza – che il titolare del trattamento subisca un data breach (violazione di dati personali – Artt. 33 e 34 GDPR).
In caso di data breach, il titolare del trattamento deve, senza ingiustificato ritardo e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante privacy, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre le 72 ore è necessario allegare alla notifica il motivo del ritardo (Al momento non vi è una modalità “privilegiata” per le notifiche di Data Breach GDPR, per cui sarà necessario utilizzare i contatti ufficiali del Garante privacy).
Cosa contiene la notifica del data breach al Garante privacy? Vediamolo in dettaglio:
- descrizione dettagliata del Data Breach;
- categorie e numero approssimativo di interessati;
- categorie e numero approssimativo di registrazioni dei dati personali;
- dati di contatto del titolare del trattamento per tutte le informazioni richieste dal Garante Privacy;
- descrizione delle probabili conseguenze del Data Breach;
- descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio.
In ogni caso, a prescindere dalla necessità di notifica o meno di un data breach, il titolare del trattamento deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante Privacy di verificare il rispetto di quanto disposto dal GDPR.
Videosorveglianza e GDPR: soggetti autorizzati al trattamento dati
Parafrasando il punto 3.3.2 del provvedimento del 2010, il titolare del trattamento deve designare per iscritto tutte le persone fisiche autorizzate sia ad accedere ai locali dove sono situate le postazioni di controllo, sia ad utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini. Deve trattarsi di un numero delimitato di soggetti, specie quando il titolare si avvale di collaboratori esterni.
Occorre altresì individuare diversi livelli di accesso in corrispondenza delle specifiche mansioni attribuite ad ogni singolo operatore, distinguendo coloro che sono unicamente abilitati a visionare le immagini dai soggetti che possono effettuare, a determinate condizioni, ulteriori operazioni (es. registrare, copiare, cancellare, spostare l’angolo visuale, modificare lo zoom ecc.).
Ai sensi dell’art. 2-quaterdecies del Codice Privacy il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Inoltre, il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.
Da un lato il titolare o il responsabile possono autorizzare come meglio credono (appunto, responsabilizzazione) il proprio personale al trattamento dei dati, mediante l’attribuzione di specifici compiti e funzioni; dall’altro tale personale dovrà essere istruito (quindi, formato), ossia dovrà comprendere la reale portata dell’autorizzazione.
Avere il personale che comprenda l’importanza di trattare adeguatamente i dati personali espone a rischi privacy e di sicurezza nettamente minori, e questo è un indubbio vantaggio per il titolare e/o il responsabile del trattamento.
Il rapporto tra titolare e responsabile del trattamento
Qualora il titolare del trattamento abbia necessità di “appaltare” il trattamento di videosorveglianza ad altro soggetto, quest’ultimo rivestirà la “carica” di responsabile del trattamento. Un esempio è il supermercato, titolare del trattamento, che si affida ad un istituto di vigilanza privato responsabile del trattamento. Ma, in ogni caso, come disciplinare il rapporto tra i due soggetti ai sensi del GDPR?
Il rapporto tra il titolare e il responsabile del trattamento – ai sensi degli artt. 28 e 29 GDPR – deve essere obbligatoriamente sancito da un contratto o da un altro atto giuridico che abbia la caratteristica di vincolare i due soggetti. Raccomandazione: sarebbe meglio che al contratto primario (es. contratto di appalto del sistema di videosorveglianza) seguisse in parallelo un contratto/atto vincolante sul trattamento dei dati; se vi è già un contratto di fornitura in essere, stipulare immediatamente i rispettivi contratti/atti vincolanti sul trattamento dei dati.
Per “delegare” un trattamento il responsabile deve fornire delle “garanzie sufficienti” di compliance al GDPR (in primo luogo, misure adeguate e diritti dell’interessato). E la valutazione sul possesso di queste garanzie (come tutte le stime in seno al GDPR e al principio di responsabilizzazione) è “prerogativa” obbligatoria del titolare del trattamento. Raccomandazione: se possibile, scegliere un responsabile che si presenta già “GDPR compliant”; in alternativa, valutare attentamente il rapporto costi-benefici in ambito privacy.
Il responsabile del trattamento non può ricorrere ad un “sub-responsabile del trattamento” senza la previa autorizzazione scritta del titolare. Inoltre l’autorizzazione del titolare può essere specifica o generale e, in quest’ultimo caso, il responsabile del trattamento informa il titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri subresponsabili, dando così all’opportunità di opporsi a tali modifiche.
Ma quali sono i contenuti che deve possedere il contratto/atto vincolante con il responsabile del trattamento? Eccoli in dettaglio:
- il responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale. Raccomandazione: si metta nero su bianco il margine di manovra del responsabile del trattamento (generale o specifico);
- il responsabile garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- il responsabile deve adottare tutte le misure di sicurezza adeguate richieste ai sensi dell’articolo 32 GDPR;
- il responsabile si impegna a rispettare quanto disposto per i sub-responsabili del trattamento;
- il responsabile deve assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti degli interessati;
- il responsabile assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 GPDR (misure di sicurezza, data breach e valutazione di impatto);
- il responsabile – su scelta del titolare – deve provvedere alla cancellazione o alla restituzione di tutti i dati personali al termine della prestazione dei servizi relativi al trattamento; il responsabile deve, inoltre, cancellare le copie esistenti, salvo che la legge non preveda la conservazione dei dati;
- il responsabile deve mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e deve consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati direttamente dal titolare o da un altro soggetto da questi incaricato. Tolta la parte relativa alla richiesta di informazioni, che è limpida, le attività di revisione ed ispezione presso il responsabile devono essere molto ponderate da parte del titolare del trattamento;
- inoltre, il responsabile del trattamento informa immediatamente il titolare qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
L’atto che vincola il titolare al responsabile è importante in quanto permette di “responsabilizzare il responsabile”, ossia permette di cedere una parte di responsabilità affinché ne risponda in determinate situazioni. Non si dimentichi, però, che l’accountability è propria del titolare e non è delegabile.
Videosorveglianza e GDPR: gli specifici settori
Vediamo ora in dettaglio quali sono i settori di applicabilità della normativa privacy in tema di videosorveglianza.
- Rapporti di lavoro. In caso di attività lavorativa è necessaria una particolare “convergenza” tra la disciplina in materia di protezione dei dati personali e la materia giuslavoristica (recentemente il Garante privacy ha inserito “i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti” tra i trattamenti soggetti a valutazione di impatto). Come tale si applica quanto disposto dal punto 4.1 del provvedimento del 2010 e dallo Statuto dei Lavoratori (L. 300/1970). In particolare, con la videosorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa; è vietata, quindi, l’installazione di apparecchiature specificatamente preordinate alla predetta finalità. Non devono essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa. Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza è resa necessaria da esigenze organizzative o produttive, ovvero è richiesta per la sicurezza del lavoro: in tali casi, ai sensi dell´art. 4 della Legge 300/1970 (modificata dal D.lgs. 151/2015), gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. […] In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro […]. Importante: non è ammissibile il consenso dei dipendenti/lavoratori all’installazione dell’impianto di videosorveglianza in alternativa alla procedura dinanzi l’Ispettorato del lavoro (Cass. Pen. Sez. 3, n. 38882 e 38884 del 24 agosto 2018).
- Ospedali e Luoghi di Cura. Il controllo degli ambienti sanitari e il monitoraggio di pazienti ricoverati in particolari reparti o ambienti (ad esempio, unità di rianimazione, reparti di isolamento), stante la moltitudine di dati particolari (ex sensibili) che possono essere in tal modo raccolti, devono essere limitati ai casi di comprovata indispensabilità, derivante da specifiche esigenze di cura e tutela della salute degli interessati. Devono essere inoltre adottati tutti gli ulteriori accorgimenti necessari per garantire un elevato livello di tutela della riservatezza e della dignità delle persone malate. Il titolare del trattamento deve garantire che possano accedere alle immagini rilevate per le predette finalità solo i soggetti specificamente autorizzati (es. personale medico ed infermieristico). Particolare attenzione deve essere riservata alle modalità di accesso alle riprese video da parte di terzi legittimati (familiari, parenti, conoscenti) di ricoverati in reparti dove non sia consentito agli stessi di recarsi personalmente (es. rianimazione), ai quali può essere consentita, con gli adeguati accorgimenti tecnici, la visione delle sole immagini relative al proprio congiunto o conoscente. In ogni caso va assolutamente evitato il rischio di diffusione delle immagini di persone dalle quali si evince lo stato di salute su monitor collocati in locali liberamente accessibili al pubblico.
- Istituti scolastici. Anche per gli istituti scolastici il provvedimento del 2010 pone alcuni vincoli. Tutelando il fondamentale diritto alla riservatezza dello studente, è ammissibile l´utilizzo della videosorveglianza in casi di stretta indispensabilità, al fine di tutelare l´edificio ed i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate ed attivando gli impianti negli orari di chiusura degli istituti; è vietato, altresì, attivare le telecamere in coincidenza con lo svolgimento di eventuali attività extrascolastiche che si svolgono all´interno della scuola. Laddove la ripresa delle immagini riguardi anche le aree perimetrali esterne degli edifici scolastici, l’angolo visuale deve essere delimitato alle sole parti interessate, escludendo dalle riprese le aree non strettamente pertinenti l’edificio (È in corso d’esame al Senato il disegno di legge sulle “Misure per prevenire e contrastare condotte di maltrattamento o di abuso, anche di natura psicologica, in danno dei minori nei servizi educativi per l’infanzia e nelle scuole dell’infanzia e delle persone ospitate nelle strutture socio-sanitarie e socio-assistenziali per anziani e persone con disabilità e delega al Governo in materia di formazione del personale”).
- Sicurezza nel trasporto pubblico. In tale settore è necessario evitare riprese dettagliate nei casi in cui le stesse non sono indispensabili in relazione alle finalità perseguite. Presso le fermate e all’interno dei mezzi è necessaria la presenza di informative con tutti gli elementi previsti dal GDPR. All’informativa completa dovranno seguire, a bordo dei mezzi, apposite indicazioni o contrassegni che diano conto con immediatezza della presenza dell´impianto di videosorveglianza (informativa minima). Presso le aree di fermata, in prossimità delle quali possono transitare anche soggetti diversi dagli utenti del servizio di trasporto pubblico, l’angolo di visuale delle telecamere deve essere strettamente circoscritto all´area di permanenza, permettendo l´inquadratura solo della pensilina e di altri arredi urbani funzionali al servizio di trasporto pubblico (tabelle degli orari, paline recanti l´indicazione degli autobus in transito, ecc.), con esclusione della zona non immediatamente circostante e comunque dell´area non direttamente funzionale rispetto alle esigenze di sicurezza del sistema di traffico e trasporto.
- Webcam. La rilevazione delle immagini in tempo reale sul web, mediante webcam e per fini turistici/promozionali, deve avvenire in modo tale da non rendere identificabili i soggetti ripresi (principio di minimizzazione).
- Sistemi integrati di videosorveglianza. Particolare attenzione è dovuta ai sistemi integrati di videosorveglianza, ossia ai sistemi centralizzati di videosorveglianza remota (molto utilizzati dagli istituti di vigilanza privata). In caso di “gestione coordinata di funzioni e servizi tramite condivisione, integrale o parziale, delle immagini riprese da parte di diversi e autonomi titolari del trattamento”, i quali utilizzano le medesime infrastrutture tecnologiche, i singoli titolari possono trattare le immagini solo nei termini strettamente funzionali al perseguimento dei propri compiti istituzionali ed alle finalità chiaramente indicate nell´informativa, nel caso dei soggetti pubblici, ovvero alle sole finalità riportate nell´informativa, nel caso dei soggetti privati; nel caso di “collegamento telematico di diversi titolari del trattamento ad un “centro unico gestito da un soggetto terzo” tale soggetto terzo stipula atti di nomina come responsabile del trattamento ai sensi degli artt. 28 e 29 GDPR con ogni singolo titolare (più atti di nomina per ogni singolo rapporto giuridico). Il responsabile del trattamento nominato deve assumere un ruolo di coordinamento e gestione dell’attività di videosorveglianza senza consentire, tuttavia, forme di correlazione delle immagini raccolte per conto di ciascun titolare. Infine sia nelle predette ipotesi, sia nei casi in cui l’attività di videosorveglianza venga effettuata da un solo titolare del trattamento, si può anche attivare un collegamento dei sistemi di videosorveglianza con le sale o le centrali operative degli organi di polizia. Il collegamento deve essere reso noto agli interessati (mediante informativa minima e completa). Tra le misure di sicurezza prescritte dal provvedimento del 2010, e compliant con il GDPR, vi sono l’adozione di sistemi idonei alla registrazione degli accessi logici del personale autorizzato (art. 2-quaterdecies Codice Privacy) e delle operazioni compiute sulle immagini registrate, compresi i relativi riferimenti temporali, con conservazione per un periodo di tempo congruo all´esercizio dei doveri di verifica periodica dell´operato dei responsabili da parte del titolare, comunque non inferiore a sei mesi; e la separazione logica delle immagini registrate dai diversi titolari.
Il registro dei trattamenti e la valutazione di impatto
Infine, non bisogna dimenticare che anche in ambito videosorveglianza trovano largo spazio il registro dei trattamenti e la valutazione di impatto (DPIA), capisaldi del nuovo corso europeo.
Il titolare e/o il responsabile possono/devono (la differenza tra “l’obbligo e il consiglio” risiede nell’art 30.5 del GDPR) costituire apposito registro – ovvero inserire un’apposita sezione per il trattamento dati videosorveglianza nel Registro preesistente – per la disciplina di tale particolare aspetto. Nel caso di dovesse / volesse procedere con il Registro, il suo contenuto varierà a seconda che lo rediga il titolare o il responsabile. Nel caso del titolare l’art. 30.1 GDPR prevede le seguenti informazioni:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento (art. 26 GDPR), del rappresentante (art. 27 GDPR) del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 GDPR, la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Nel caso del responsabile, invece, l’art. 30.2 GDPR prevede le seguenti informazioni:
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati (DPO – artt. 37-38-39 GDPR);
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
La valutazione di impatto – artt. 35-36 GDPR – invece, si configura come un’autonoma valutazione che il titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche. È importante per tutti quei trattamenti dati in materia di videosorveglianza che possano essere un rischio per i diritti e le libertà delle persone fisiche.
L’art. 35.3 c) GDPR obbliga la conduzione di una valutazione di impatto in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (caso tipico, la videosorveglianza su larga scala).
Secondo le Linee Guida del Comitato Europeo per la Protezione dei Dati (già “Gruppo dei Garanti Privacy europei”, WP29) per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento. In parole povere, se il titolare tratta dati particolari su larga scala, è tenuto a porre in essere una valutazione d’impatto.
In ogni caso la valutazione d’impatto dovrà contenere:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Le sanzioni previste in ambito videosorveglianza e GDPR
Per quanto attiene le sanzioni, ovviamente non si può più far riferimento agli articoli del vecchio Codice Privacy – richiamati dal provvedimento del 2010 – abrogati dal D.lgs. 101/2018. Il GDPR e il nuovo Codice Privacy introducono un apparato sanzionatorio “misto”: il GDPR disciplina le sanzioni amministrative, mentre il nuovo Codice Privacy le sanzioni penali.
Ecco alcune indicazioni di massima.
Il GDPR prevede sanzioni fino a 10.000.000 di euro – o fino al 2% del fatturato mondiale annuo dell’esercizio precedente – per le violazioni degli obblighi di cui agli artt. 8, 11, da 25 a 39, 42 e 43; e 41, paragrafo 4 GDPR.
Mentre prevede sanzioni fino a 20.000.000 di euro – o fino al 4% del fatturato mondiale annuo dell’esercizio precedente:
- per le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 GDPR;
- per la violazione dei diritti degli interessati a norma degli articoli da 12 a 22 GDPR;
- per la violazione delle disposizioni circa i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49 GDPR;
- per la violazione di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX GDPR;
- nonché per l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ad esempio, Garante privacy) ai sensi dell’articolo 58, paragrafo 2 GDPR, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.