Linee guida European Data Protection Board: GDPR e videosorveglianza

L’European Data Protection Board (EDPB), in occasione della dodicesima sessione plenaria di luglio 2019, ha reso pubbliche le linee guida n. 3/2019 relative al trattamento dei dati personali in materia di videosorveglianza. Si tratta di una tematica dal forte impatto sociale e che negli ultimi anni ha visto incrementare il livello di attenzione ad essa dedicato anche a fronte dell’utilizzo di tecnologie sempre più avanzate ed in continua evoluzione nonché di sistemi cosiddetti “intelligenti” potenzialmente sempre più rischiosi per i diritti e le libertà fondamenti dell’individuo, tanto da poter sfociare addirittura in utilizzi illeciti dei dati personali e particolari raccolti. Lo scopo dunque delle linee guida dell’EDPB è proprio quello di fornire elementi utili al fine di utilizzare in modo lecito e conforme al GDPR i sistemi di videosorveglianza. Indice - Posizione dell'EDPB - Quando non si applica il GDPR? - Prescrizioni specifiche

1. Posizione dell’EDPB

Partendo dall'assunto che il monitoraggio sistematico e automatizzato di uno specifico spazio mediante dispositivi audiovisivi, ad esempio per la protezione della proprietà o per la tutela della vita e della salute dell’individuo, rappresenta un obiettivo primario per tutto il territorio europeo, il Comitato è intervenuto allo scopo di delineare un quadro organico ed omogeneo in tema di videosorveglianza. L’EDPB innanzitutto ricorda che, nell'utilizzare sistemi di videosorveglianza gli Stati membri devono rispettare i principi sanciti dall’art. 5 del GDPR applicabili al trattamento di dati personali, tra cui ad esempio il principio della liceità, correttezza e trasparenza, il principio della limitazione della finalità ed il principio della minimizzazione dei dati. Dunque, prima di procedere all'installazione di un impianto di videosorveglianza bisogna verificare che si tratti realmente di uno strumento proporzionato alla finalità perseguita. Secondo il Comitato i sistemi di videosorveglianza possono essere infatti utilizzati solamente quando gli scopi perseguiti non possono essere raggiunti con altre modalità meno invasive, considerando la videosorveglianza come un'extrema ratio. Pertanto, per minimizzare i dati e per evitare un’eccessiva raccolta degli stessi, il Comitato suggerisce di ricorrere a soluzioni di cancellazione automatica mediante sovrascrittura del registrato, con video accessibili solo in caso di necessità. Considerato allora l’elevato numero di dati personali ed informazioni che possono essere raccolte tramite tali sistemi di videosorveglianza relative agli interessati, nonché il contesto e le finalità del trattamento, l’EDPB, in conformità al Regolamento, individua due “misure” necessarie: - Redazione di una Valutazione d’impatto sulla protezione dei dati personali (Data Protection Impact Assessment - DPIA) in tutti i casi in cui vi sia una sorveglianza sistematica su larga scala di una zona accessibile al pubblico, ex art. 35, par. 3, lett. c) del GDPR; - Nomina di un Responsabile della protezione dei dati (DPO | RPD) in tutti i casi in cui vi sia un monitoraggio regolare e sistematico degli interessati su larga scala, ex art. 37, par. 1, lett. b) del GDPR.

2. Quando non si applica il GDPR?

L’EDPB individua poi specifici casi di trattamento di dati personali tramite sistemi di videosorveglianza ai quali non si applica la normativa vigente. - Telecamere finte; - Videoregistrazioni ad alta quota; - Telecamere da park assist; - Trattamento di dati personali, anche mediante strumenti di videosorveglianza, effettuati dalle Autorità competenti ai sensi della Direttiva EU 2016/680; - Trattamento di dati personali da parte di una persona fisica per fini esclusivamente personali o domestici, svolti cioè nel corso della vita privata o familiare di un soggetto, ex art. 2, par. 2, lett. c) del GDPR.

3. Prescrizioni specifiche

L’EDPB, ripercorrendo i due provvedimenti del Garante italiano, del 2004 e 2010 finalizzati a chiarire e regolamentare il rapporto esistente tra le esigenze di sicurezza, prevenzione e repressione dei reati e il diritto alla riservatezza ed alle libertà individuali, ed in conformità con quanto previsto dal GDPR, afferma inoltre che: - Il trattamento di dati personali con dispositivi di videosorveglianza deve essere effettuato per finalità determinate, esplicite e legittime; - I Titolari del trattamento devono individuare la corretta base giuridica ai fini della liceità del trattamento; - In caso di trattamento, mediante videosorveglianza, di dati particolari quali ad es. i dati biometrici, i Titolari del trattamento devono procedere con una DPIA; - I dati raccolti possono essere comunicati o diffusi a terzi solo per determinati fini e previa individuazione della specifica base giuridica; - Gli interessati devono essere informati della presenza di impianti di videosorveglianza in modo chiaro ed intuitivo sia mediante l’utilizzo di “vignette”, che dovranno tra l’altro riportare i dati di contatto del DPO (ove applicabile), sia attraverso l’informativa privacy ex art. 13 GDPR; - I Titolari del trattamento devono determinare con esattezza il periodo di conservazione dei dati raccolti, nonché garantire misure tecniche ed organizzative di sicurezza elevate; - Il trattamento di dati personali mediante strumenti di videosorveglianza deve sempre tenere presente quanto previsto dall'art. 4 dello Statuto dei lavorati circa il divieto di controlli a distanza dei lavoratori.