Support
Videosorveglianza: minimizzazione dati e trasparenza informativa

Videosorveglianza: minimizzazione dati e trasparenza informativa

04 Marzo 2021 Scritto da Videosorveglianza 130
Vota questo articolo
(0 Voti)

Videosorveglianza: minimizzazione dati e trasparenza informativa

1. La videosorveglianza e i riferimenti normativi 

Nel chiudere il commento sulle Linee Guida EDPB n. 03-2019, circa un anno fa, scrivemmo che “il prossimo passaggio, almeno per la videosorveglianza, potrebbe essere un provvedimento del Garante che, sulla scorta di questa novità, aggiornerà quello del 2010 ancora vigente.” Non ci abbiamo azzeccato: almeno per ora, il Garante è intervenuto con delle Faq, pubblicate il 5 dicembre scorso. Esse costituiscono “indicazioni di carattere generale ispirate alle risposte fornite a reclami, segnalazioni, quesiti ricevuti dall'Ufficio in questo periodo”. Tali chiarimenti – si spiega nel documento - “si sono resi necessari in ragione delle nuove previsioni introdotte dal Regolamento 2016/679>, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate. Le Faq tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB)...”.

Dunque, il ricorso ad impianti o sistemi di videosorveglianza obbedisce alle varie disposizioni del Regolamento (e alle altre disposizioni di legge di diritto interno come, per esempio, l'art. 4, L. 300/1970, per i casi in cui la videosorveglianza sia disposta nei luoghi di lavoro) e a quelle del provvedimento del Garante del 2010, in quanto compatibili con determinate norme di legge (si rammenti che l'art. 22, comma 4, D.lgs. 101/2018, ha stabilito che “a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto”); mentre le Linee Guida EDPB n. 03-2019 e le Faq del Garante intervengono a chiarire come secondo le rispettive autorità le disposizioni del Regolamento siano da recepire nel progettare e implementare impianti di videosorveglianza e (con specifico riferimento alle Faq) quali parti del provvedimento del Garante del 2010 siano da considerare superate.

2. Accountability e minimizzazione

Leggendo il documento del Garante troviamo in evidenza due vocaboli/concetti portanti del Regolamento UE 2016/679.

Il primo è quello di accountability, architrave del sistema, che investe il titolare del potere e della responsabilità di compiere le scelte sui fini e sui mezzi del trattamento, di documentare quelle scelte, di renderne conto.

L'accountability è da esercitare a partire dalla decisione (mai da assumere a cuor leggero) di ricorrere o meno ad impianti di videosorveglianza. Nelle Linee Guida EDPB, non a caso, si ammonisce come la videosorveglianza non sia da considerare automaticamente una necessità quando siano disponibili altri mezzi per raggiungere lo scopo sottostante. Tale impianto (con il connesso trattamento) dovrebbe reputarsi lecito ogni qualvolta rappresenti una risposta necessaria ad una esigenza effettiva, concreta, che non potrebbe essere altrimenti soddisfatta.

Accountability significa che compete al titolare del trattamento la valutazione della liceità e della proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. In essa è compresa, naturalmente, la decisione sui tempi di conservazione dei dati.

Ulteriore sua esplicazione è la preventiva sottoposizione del trattamento ad una valutazione di impatto sulla protezione dei dati. Qui il Garante richiama ad adiuvandum le Linee Guida WP248 rev. 01 del 4 ottobre 2017, mentre il riferimento al proprio provvedimento n. 467 dell'11 ottobre 2018 (oltre che alla fattispecie di cui all'art. 35.3, lett. c): sorveglianza sistematica su larga scala di una zona accessibile al pubblico) ricorda che si danno dei casi in cui al titolare è sottratto il potere di decidere se eseguire o meno una DPIA, essendo essa prescritta dalla legge o da un provvedimento dell'autorità di controllo (ex art. 35.4).

Il secondo pilastro è il principio di minimizzazione, per cui il titolare deve prestare attenzione “alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento” e i dati trattati devono in ogni caso essere pertinenti e non eccedenti rispetto alle finalità perseguite.

Di minimizzazione (oltre che di accountability) si tratta anche quando il titolare deve stabilire i tempi di conservazione dei dati: “in via generale – si legge nelle Faq - gli scopi legittimi della videosorveglianza sono spesso la sicurezza e la protezione del patrimonio. Solitamente è possibile individuare eventuali danni entro uno o due giorni”. E poi, “quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione”.

Quanto sopra sta a significare che per il Garante i tempi indicati nel § 3.4 del provvedimento del 2010 debbono intendersi superati: qui – come altrove, nelle Faq – esso si ispira direttamente al contenuto delle Linee Guida n. 03-2019 che, lo ripetiamo, non hanno carattere vincolante. E il quadro che ne risulta può essere percepito come non immediato e lineare.

Ancora, nel documento si ritrova (essendo già citato nel provvedimento del 2010) un esempio di tempo di conservazione direttamente fissato per legge (ex art. 6, comma 8, D.l. n. 11 del 23/02/2009, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, per cui “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l'uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”), mentre in ambito condominiale è ritenuto comunque congruo un termine di conservazione delle immagini che non oltrepassi i 7 giorni; inoltre, in alcuni casi può essere necessario prolungare i tempi di conservazione delle immagini, inizialmente fissati dal titolare o previsti dalla legge, ad esempio per dare seguito ad una richiesta dell’autorità o della polizia giudiziaria in relazione ad un’attività investigativa in corso.

Il principio di minimizzazione viene quindi riproposto a proposito delle attività dei Comuni di controllo delle discariche e delle 'eco-piazzole' per il monitoraggio delle modalità del loro uso, della tipologia dei rifiuti scaricati e dell’orario di deposito, là dove è imposto che essi verifichino preventivamente non risultare possibile o rivelarsi inefficace il ricorso a strumenti o sistemi di controllo alternativi.

Infine, la minimizzazione entra (a maggior ragione) in gioco quando la videosorveglianza implichi il trattamento di dati sensibili - ipotesi che deve iscriversi in una delle eccezioni al divieto generale, di cui all'art. 9.2 del Regolamento UE 2016/679 -, essendo comunque il titolare onerato dello sforzo “di ridurre al minimo il rischio di acquisire filmati che rivelino altri dati a carattere sensibile, indipendentemente dalla finalità.”

Altro in questa categoria: Telecamera di sicurezza senza fili GSM »
Devi effettuare il login per inviare commenti