Videosorveglianza a prova di GDPR: le FAQ del Garante

Il Garante per la Privacy ha recentemente reso disponibili sul proprio sito internet le FAQ in materia di videosorveglianza, contenenti informazioni di carattere generale e un modello semplificato di un cartello per la videosorveglianza.

L’intervento del Garante si è reso necessario a seguito di due fatti importanti.

La sentenza della Corte EDU relativamente al ricorso López Ribalda e altri c. Spagna (nn. 1847/13 e 8567/13) in tema di videosorveglianza sui luoghi di lavoro, sul quale la stessa Autorità Garante aveva specificato che l’uso poteva essere ammesso unicamente previo rispetto dei principi di proporzionalità e di non eccedenza.

Inoltre, le più recenti Linee Guida dell’European Data Protection Board (EDPB) richiedevano una presa di posizione nazionale netta anche per evitare fraintendimenti rispetto alle ormai datate Linee Guida sulla videosorveglianza del Garante del 2010.

In sintesi, il Garante ha specificato che la videosorveglianza va effettuata rispettando il principio di minimizzazione dei dati con riferimento alle scelte di modalità di ripresa e alla dislocazione dell’impianto.

Inoltre, i dati così raccolti devono essere pertinenti e non eccedenti le finalità perseguite.

Il titolare deve, altresì, in virtù del principio di accountability, valutare la liceità e la proporzionalità del trattamento affinché siano garantite le massime tutele contro i rischi per i diritti e le libertà dei soggetti interessati, così come garantite dal GDPR.

Il titolare, quindi, deve individuare le misure tecniche e organizzative che assicurino la sicurezza del trattamento dati anche nel caso della videosorveglianza, in applicazione del principio della privacy by design .

Per citare alcuni esempi di misure di sicurezza: la gestione del sistema di accessi (chi può accedere e monitorare i video), la cifratura dei dati, i firewall o il rilevamento di virus e misure fisiche. In ogni caso, devono essere configurati in modo tale da consentire al Titolare di oscurare parti del video che riprendono anche altri soggetti, per darne una copia al soggetto interessato che lo richiede.

La Valutazione d’Impatto dipende dalla tipologia dei trattamenti, nonostante nelle Linee Guida l’EDPB consiglia vivamente per la videosorveglianza la realizzazione di una Valutazione di Impatto Privacy (DPIA), in quanto si tratta di un monitoraggio sistematico di un'area accessibile al pubblico più o meno ampia - almeno potenzialmente - su larga scala. Certamente il titolare, anche attraverso il proprio DPO, potrà accertare la sussistenza di un caso di esclusione previsto dalle Autorità Nazionali.

Resta fondamentale l’informativa per il trattamento dei dati, per il rispetto del principio della trasparenza. L’informativa può essere fornita utilizzano il modello semplificato fornito dall’EDPB, rinviando ad una informativa più dettagliata ed estesa.

Elemento fondamentale è che all'interessato deve essere chiara l’area di copertura di ciascun dispositivo.

Ulteriore aspetto fondamentale afferisce ai tempi di conservazione dei dati trattati, secondo cui è previsto che, ai sensi del principio di accountability, spetta al Titolare determinarne la durata, sempre e comunque nel rispetto del principio ai sensi del quale le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono stati acquisite.

Nel caso si desiderasse prolungare i tempi di conservazione, spetterebbe al Titolare offrire una giustificazione ulteriore che tuteli e rafforzi i diritti e le libertà garantite agli interessati.

Le FAQ, infatti, consentono a chiunque di potersi orientare allorché si intenda esercitare un trattamento finalizzato alla raccolta di registrazioni attraverso sistemi di videosorveglianza e, quindi, non incorrere in inadempimenti o trattamenti di dati non conformi al GDPR.

Nell’infografica che segue, i principali elementi delle FAQ del Garante (clicca per ingrandire).