Sistemi di videosorveglianza, al via il piano ispettivo del Garante

L'Autorità di controllo privacy italiana ha reso noti i settori che sono oggetto dell'attività di accertamento nell'ambito del piano ispettivo per il primo semestre 2022.

Faro puntato sulla corretta gestione, lato privacy, dei sistemi di videosorveglianza, oltre che su funzionamento di smart toys, cookie, app "rubadati", siti di incontri, monetizzazione dei dati e database.

È quanto mai importante ed attuale, quindi, che società, enti ed imprese – con l'eventuale aiuto di consulenti privacy e DPO – riflettano se i dispositivi video che utilizzano nell'ambito della loro attività siano installati e gestiti conformemente alla normativa vigente.
Peraltro, fare il punto sui principi generali e le regole che sovraintendono tale settore è un'operazione complessa sia dal punto di vista normativo, che dal punto di vista dell'ambito oggettivo di applicazione delle discipline.

Relativamente, infatti, al profilo strettamente giuridico, il contesto di norme che permette di gestire un sistema di videosorveglianza conforme rinvia ad un ambito normativamente "stratificato".

Infatti, l'utilizzo e la gestione di sistemi di videosorveglianza richiede il rispetto, oltre che della disciplina in materia di trattamento e protezione dei dati personali (GDPR, Codice privacy, Provvedimenti del Garante per la protezione dei dati personali in tema e Linee guida n. 3/2019 dell'European data protection board), anche delle altre normative applicabili come, ad esempio, le vigenti norme dell'ordinamento civile e penale in materia di interferenze illecite nella vita privata (tra cui art. 615-bis, Codice penale), o in materia di controllo a distanza dei lavoratori (art. 4, Statuto dei lavoratori).

Critico e complesso si rivela anche il profilo oggettivo dell'ambito preso in esame: infatti, alla "classica" videosorveglianza che nel passato vedevamo proteggere esclusivamente la sicurezza di centri commerciali e grandi realtà produttive, negli ultimi anni, con una velocità esponenziale, grazie al progresso delle nuove tecnologie, si è passati non solo a droni e bodycam ma anche a strumenti sempre più sofisticati con video "intelligenti" che funzionano con telecamere dotate di tecniche di artificial intelligence e che si basano su riconoscimento facciale e analisi biometriche.

Considerato questo, l'ambito della videosorveglianza rappresenta sì, lato data protection, un terreno "tradizionale" - basti pensare ai numerosi Provvedimenti emanati dal Garante privacy nel corso degli anni (nel 2004, nel 2004, nel 2010) fino alle ultime Faq di fine 2020 – tuttavia è un settore inevitabilmente sempre in evoluzione seguendo il flusso delle nuove tecnologie.

Come anticipato, il Garante concentrerà – da gennaio a giugno 2022 – le sue ispezioni, attraverso i suoi Uffici affiancati dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, anche sull'analisi della cd. "video-governance" gestita da imprese ed enti.

Facendo una breve sintesi degli adempimenti che sovraintendono tale settore, occorre subito dire che al fine di installare impianti di videosorveglianza correttamente è necessario rispettare principi fondamentali del GDPR: il principio di privacy by design e by default, di liceità, di correttezza e trasparenza, di limitazione della finalità, di minimizzazione dei dati, di esattezza, di limitazione della conservazione, di integrità e riservatezza , infine, il principio di accountability (art. 5 GDPR).

Più nello specifico, oltre al rispetto di tali principi, il titolare del trattamento è tenuto a:
• individuare la finalità del trattamento (che solitamente coincide con la sicurezza e la protezione di persone o di beni, con l'individuazione, la prevenzione e il controllo di reati, la raccolta di elementi di prova e l'identificazione biometrica di soggetti sospetti) e la relativa base giuridica ex art. 6 GDPR;
• informare i soggetti che potenzialmente possono entrare nel raggio di azione di una telecamera della presenza della stessa attraverso informative privacy (cartello ed informativa completa);
• predisporre un regolamento tecnico per l'utilizzo del sistema di videosorveglianza e controllo datoriale ex art. 4, Statuto dei lavoratori, nell'ipotesi in cui il sistema video sia installato in contesti lavorativi;
• prevedere un periodo di conservazione dei dati personali/immagini registrate;
-predisporre misure di sicurezza tecniche ed organizzative a presidio dei dati raccolti;
-istruire gli autorizzati al trattamento dei dati personali derivanti dagli impianti di videosorveglianza;
• predisporre la DPIA ai sensi dell'art. 35 GDPR, nel caso di rischio elevato per i diritti e le libertà degli interessati e, eventualmente, consultare preventivamente il Garante privacy (art. 36 GDPR);
• nominare i responsabili per il trattamento dei dati personali stipulando con essi un accordo ai sensi dell'art. 28 GDPR, nel caso in cui la videosorveglianza venga gestita da un soggetto terzo per conto del titolare del trattamento medesimo;
• gestire i diritti dell'interessato con riferimento alle immagini raccolte.