Linee guida videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB)
Il Comitato europeo per la protezione dei dati (“EDPB”), organo previsto dall’art. 68 del Regolamento UE 2016/679, ha divulgato le Linee guida sul trattamento dei dati personali in merito ai servizi di videosorveglianza (n. 3/2019 del 10 luglio 2019). Fino al 9 settembre di questo anno è prevista una fase di consultazioni pubbliche, come previsto dall’art. 70, par. 4 del GDPR, durante la quale sarà possibile raccogliere le opinioni e le preoccupazioni di tutte le parti interessate e dei cittadini.
Il primo criterio che ha ispirato l’adozione di tale provvedimento è la necessità di garantire un corretto utilizzo delle videoregistrazioni legittimamente acquisite, fornendo gli strumenti necessari ad evitare che tali trattamenti di dati personali sfocino in condotte illecite e non conformi alla normativa vigente.
L’immagine è un dato, le riprese un trattamento.
Occorre ricordare che il Regolamento definisce come dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, specificando poi che per identificabile si intende “la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
È importante poi considerare che nell’ambito di un trattamento sono comprese operazioni come la raccolta, la registrazione, la conservazione, l’estrazione e l’uso, conseguite con o senza l’ausilio di processi automatizzati.
L’immagine, tuttavia, potrebbe ricadere anche nella sfera di dato biometrico, ovvero un’informazione “ottenuta da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale…”.
Quando il GDPR non è applicabile
Il Regolamento UE è esente da applicazione nei seguenti casi:
- il soggetto non è in alcun modo identificabile, direttamente o indirettamente;
- le telecamere sono finte, cioè non registrano video o immagini, di conseguenza non avviene alcun trattamento;
- le videoregistrazioni avvengono ad alta quota, quindi non è identificabile un soggetto preciso;
- identica motivazione alla precedente per le videocamere a bassa risoluzione;
- il trattamento di dati personali è effettuato da parte delle autorità competenti ai fini della prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, come disciplinato dalla Direttiva UE 2016/680;
- le riprese sono effettuate per fini personali o domestici, limitati alla vita privata o familiare (escludendo però la diffusione online di tali immagini, oppure una telecamera installata in un giardino privato ma il cui raggio di ripresa comprende anche zone accessibili al pubblico, quali una strada).
Il trattamento deve essere legittimo
Uno dei principi cardine della normativa è il principio di liceità, secondo cui devono essere specificate sia le basi giuridiche sia le finalità del trattamento.
Possono essere considerate come finalità sia la protezione della proprietà e di altri beni sia la raccolta di prove per il diritto di difesa nei processi civili. È necessario che siano documentate per iscritto e specificate in modo chiaro, insieme ad altri elementi tipici dell’informativa (ai sensi dell’art. 13 GDPR).
Secondo le linee guida, la diffusa dicitura “per fini di sicurezza” non sarebbe ammessa in quanto troppo generica rispetto alle basi giuridiche dettate dal Regolamento.
Basi giuridiche
Vediamo allora quali basi giuridiche possono ritenersi valide per l’uso di sistemi di videosorveglianza:
- il consenso dell’interessato, ex art. 6 lett. a) GDPR;
- un obbligo di legge, ex art. 6 lett. c) GDPR;
- la necessità di svolgere un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri, ex art. 6 lett. e) GDPR;
- il legittimo interesse del Titolare, ex art. 6 lett. f) GDPR.
Lo strano caso del consenso
Come recita il Regolamento, il consenso deve essere libero, specifico, informato, attuale e revocabile. Tali presupposti si applicano anche alla videosorveglianza, con la precisazione che tale base giuridica è applicabile solo in casi eccezionali. Risulta infatti complicato per il Titolare sia raccogliere il consenso da parte degli interessati, sia poterlo comprovare, sia poter facilitare il diritto di revoca, poiché la videosorveglianza consente di monitorare contemporaneamente un numero sconosciuto di persone.
Se il Titolare però intende utilizzare tale base giuridica, è suo dovere adempiere a tutte le prescrizioni in materia. Si potrebbe, ad esempio, prevedere un corridoio o un cancello specifici per accedere a un’area monitorata.
Il consenso è di regola escluso nei luoghi di lavoro, in quanto sarebbe difficilmente prestato liberamente.
L’esempio illustrato dal Comitato è il seguente: gli atleti possono richiedere di essere monitorati durante le singole esercitazioni per analizzarne le proprie tecniche e prestazioni; se però il club sportivo prende l’iniziativa di monitorare l’intera squadra per la medesima finalità, il consenso non è valido poiché il singolo atleta o gli atleti possono sentirsi costretti a dare il consenso per evitare che il loro rifiuto possa influire negativamente, anche sugli stessi compagni di squadra.
Il legittimo interesse
La videosorveglianza è lecita se è necessaria a soddisfare la finalità per legittimo interesse perseguito da un Titolare del trattamento o da terzi, a meno che tali interessi non mettano a rischio i diritti e libertà fondamentali dell’interessato.
Per legittimo interesse si intende un interesse di natura legale, economica e immateriale.
Al trattamento sotteso a questa base giuridica è possibile esercitare il diritto di opposizione (art. 21 GDPR), tuttavia in alcuni casi il Titolare può proseguire il trattamento qualora l’interesse legittimo prevalga sugli interessi, i diritti e le libertà dell’interessato o per esercitare il diritto di difesa.
Il legittimo interesse, pertanto, deve essere reale (non immaginario o speculativo) e attuale (non potenziale ma concreto). È evidente che tale base giuridica appare la più complicata, in quanto il legittimo interesse deve essere valutato caso per caso e bilanciato con i diritti dell’interessato.
Il trattamento deve essere altresì necessario e occorre considerare il principio di minimizzazione dei dati, secondo cui, prima di installare un sistema di videosorveglianza, il Titolare dovrebbe verificare che tale misura sia proporzionata alla finalità perseguita.
Il Comitato suggerisce che la videosorveglianza debba essere adottata come extrema ratio. Ad esempio, per prevenire i reati connessi alla proprietà, sarebbe consigliabile adottare misure di sicurezza alternative, come assumere personale di sicurezza.
Quanto al bilanciamento degli interessi, il Titolare deve considerare in quale misura il monitoraggio incida sugli interessi, diritti fondamentali e le libertà degli individui, e se ciò provochi violazioni o conseguenze negative sui diritti dell’interessato.
Ancora una volta, il Comitato suggerisce i seguenti esempi:
- una società di parcheggi ha documentato il ripetersi di episodi di furto delle macchine parcheggiate; l’area di parcheggio è uno spazio aperto e può essere facilmente accessibile da chiunque, seppur debitamente segnalato con cartelli che circondano il perimetro.
Legittimo interesse: prevenire i furti delle auto dei clienti. Diritto degli interessati: non essere monitorati.
Quindi il monitoraggio è limitato solo alla sorveglianza delle auto ma non alla sorveglianza degli stessi clienti.
- L’utilizzo di una dash cam, a seguito di un sinistro stradale, potrebbe comportare la costante registrazione delle persone presenti sulla strada.
Legittimo interesse: raccogliere eventuali prove nel caso di un incidente. Diritto degli interessati, specie terzi non coinvolti: non essere monitorati.
È necessario restringere il raggio di ripresa ai soli soggetti coinvolti nel sinistro.
Il considerando 47 del Regolamento esplicita che l’esistenza di un legittimo interesse richiede un’attenta valutazione anche delle aspettative degli interessati, cioè l’aspettativa ad essere tutelato dal Titolare nella valutazione del caso concreto. Ad esempio, un dipendente nella maggior parte dei casi non si aspetta di essere monitorato dal datore di lavoro, così come un paziente all’interno di una struttura sanitaria; invece, il cliente di una banca o un cittadino nella piazza comunale potrebbero aspettarsi di essere monitorati.
La divulgazione delle immagini a terzi
Il Regolamento disciplina i casi di divulgazione delle registrazioni video a terzi, essendo un’operazione di trattamento in forma di trasmissione (comunicazione individuale), diffusione (la pubblicazione online) o messa a disposizione in altro modo. Per terzi si intendono i soggetti che non siano l’interessato, il Titolare, il Responsabile e le persone autorizzate al trattamento dei dati personali. Le regole delle basi giuridiche viste in precedenza si applicano anche alla divulgazione; in questo caso, la più diffusa potrebbe essere il consenso.
Può accadere che i filmati siano inviati alle Forze dell’Ordine, ad esempio per accertare un evento illecito. Può succedere che siano le Autorità a richiedere le registrazioni (pertanto la base giuridica sarà l’obbligo di legge), oppure il Titolare che le invii per un accertamento (la base giuridica potrebbe essere il legittimo interesse).
Si evidenzia che il trattamento dei dati personali da parte delle Forze dell’Ordine è disciplinato dalla Direttiva UE 2016/680.
Categorie particolari di dati
Può capitare che all’interno delle riprese siano presenti perfino dati particolari, ovvero quei dati elencati all’art. 9 del GDPR. Tuttavia, non sempre consideriamo particolare un dato, nonostante possa farci desumere informazioni sensibili di una persona, come una disabilità, l’appartenenza politica e il culto professato.
Risultano utili alcuni esempi forniti dal Comitato.
Categorie particolari no:
- un soggetto ripreso in sedia a rotelle;
- la videosorveglianza che monitora un luogo di culto, ad esempio una chiesa.
Categorie particolari sì:
- un manifestante prende parte a un evento, come uno sciopero sindacale, nel quale viene identificato e dalle immagini potrebbero essere carpite le sue opinioni politiche;
- un ospedale installa una videocamera per monitorare le condizioni di salute del paziente;
- un ospedale sta monitorando un paziente per ragioni mediche e l’interessato era stato trasferito in ambulanza perché era svenuto.
Quando un sistema di videosorveglianza tratta dati particolari, il Titolare deve porre a base giuridica quanto disposto dall’art. 9, par. 2, lettera c) del Regolamento, secondo cui il trattamento è necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona incapace di fornire il proprio consenso.
È importante che le deroghe elencate all’art. 9 non possono essere utilizzate per giustificare trattamenti ulteriori non leciti. Inoltre, tale trattamento di dati particolari presuppone una vigilanza intensificata e continua, con alti livelli di sicurezza e con la preventiva valutazione dell’impatto sulla protezione dei dati degli interessati ove ciò si renda necessario.
I dati biometrici
Come detto in precedenza, in alcuni casi l’uso di sistemi di videosorveglianza può comportare il trattamento di dati biometrici (ad esempio, il riconoscimento facciale). Tale trattamento può comportare rischi elevati per i diritti degli interessati e, se necessario, il Titolare deve predisporre una Valutazione d’impatto (ex art. 35 GDPR).
Teniamo in considerazione tre criteri per verificare se si sta trattando un dato biometrico:
- la natura dei dati, cioè relativi a caratteristiche fisiche, fisiologiche o comportamentali di una persona;
- mezzi e modalità di trattamento, ovvero se i dati risultano da un trattamento tecnico specifico;
- finalità del trattamento, cioè identificare univocamente una persona.
Di regola, il trattamento necessita del consenso dell’interessato, come disposto dall’art. 9, par. 2, lett. a) del GDPR.
Come per la situazione esposta in precedenza, anche per i dati biometrici si rischia un utilizzo indeterminato e incontrollato. Il Comitato, a tal proposito, osserva che è necessario fornire un’alternativa al riconoscimento facciale.
Ad esempio, qualora un hotel utilizzi la videosorveglianza per avvisare automaticamente il gestore dell’arrivo di un VIP nel momento in cui il volto dell’ospite viene riconosciuto, occorrerebbe prestare attenzione a tutti gli altri ospiti, raccogliendo il consenso di ciascuno.
Occorre poi considerare che questa tipologia di dati merita adeguate misure di sicurezza. Il Titolare deve garantire che i dati estratti da un’immagine digitale siano proporzionati alla finalità perseguita, la conservazione deve avvenire in ambienti altamente sorvegliati, si utilizzino tecniche come la crittografia), sia possibile garantire la disponibilità, l’integrità e la riservatezza dei dati trattati; si consiglia inoltre di procedere alla cancellazione dei dati grezzi (immagini del viso, segnali vocali, l’andatura, ecc.).
I diritti degli interessati
Oltre all’art. 13 del Regolamento, cioè il diritto ad essere informati riguardo al trattamento in essere, la normativa prevede una serie di diritti a tutela dell’interessato, negli artt. 15 e seguenti. Occorrono tuttavia maggiori precisazioni.
Ad esempio, il diritto di avere una copia dei dati oggetto del trattamento (come previsto dall’art. 15, par. 4 del GDPR) può trovare una forte limitazione, in quanto la registrazione conterrebbe sicuramente i dati relativi ad altri soggetti. In questi casi, la soluzione per il Titolare sarebbe adottare strumenti per coprire i volti delle persone (masking o scrambling).
Un’altra limitazione sarebbe quando il Titolare non è in grado di identificare l’interessato (art. 11 GDPR), poiché dal filmato non è semplice ricercare i dati personali richiesti. Una soluzione a tal proposito sarebbe richiedere all’interessato di specificare nella sua richiesta il periodo di riferimento.
Altra fattispecie, qualora le richieste siano eccessive o manifestamente infondate da parte dell’interessato, il Titolare può alternativamente addebitare un compenso ragionevole oppure rifiutare di processare la richiesta (articolo 12, par. 5).
L’interessato ha inoltre diritto alla cancellazione (art. 17) quando i dati personali non sono più necessari per le finalità per la quale sono stati inizialmente memorizzati o quando il trattamento è illecito, nonché il diritto alla limitazione del trattamento (art. 18), ad esempio sfocando le immagini rendendo la modifica irreversibile.
Il diritto all’opposizione (art. 21) sussiste laddove le basi giuridiche siano il legittimo interesse o un interesse pubblico del Titolare, ma occorre sempre effettuare un bilanciamento di interessi. Il Titolare deve essere in grado di interrompere la videoregistrazione una volta richiesto e assicurare che l’area monitorata sia così circoscritta in modo da non coinvolgere i dati personali dell’interessato. Quando si utilizza la videosorveglianza per scopi di marketing diretto, l’interessato ha il diritto di opporsi al trattamento a sua discrezionalità in quanto il diritto di opporsi in tale contesto è assoluto.
Obblighi di informazione e trasparenza
Veniamo ora alla parte applicativa e concreta, probabilmente quella in cui è più facile commettere errori.
La prima informazione da fornire agli interessati riguarda i luoghi in cui avviene la videosorveglianza. Occorre distinguere due diversi livelli di informazione:
- primo livello: è necessario installare un segnale di avvertimento, non troppo distante dalla postazione di videoregistrazione e possibilmente ad altezza degli occhi, posizionato su ogni singola postazione di videoregistrazione (a norma dell’art. 12, par. 7 del GDPR le informazioni possono essere fornite in combinazione con icone standardizzate per dare un quadro d’insieme del trattamento; se presentate elettronicamente, le icone devono essere leggibili da dispositivo automatico). Il cartello deve inoltre contenere i dettagli delle finalità del trattamento, l’identità del Titolare, i diritti dell’interessato, le informazioni sugli impatti del trattamento (come la base giuridica) e, se presente, l’indicazione del DPO.
- secondo livello: superato il primo step generale, occorre informare l’interessato in modo più dettagliato, ad esempio mettendo a disposizione un foglio informativo completo in una zona facilmente accessibile (come la reception). Il Comitato apre anche a soluzioni digitali, quali la scansione del QR Code o il link del sito internet.
È importante sottolineare che l’interessato deve avere la possibilità di visualizzare tali informazioni senza dover accedere all’area videosorvegliata. L’informativa estesa deve riportare tassativamente tutti gli elementi elencati dall’art. 13 del GDPR.
Periodo di conservazione
I dati personali non possono essere archiviati per un tempo eccessivo e non necessario rispetto alle finalità per le quali vengono raccolti. Gli Stati membri adottano regole specifiche, quindi occorre ricordare il Provvedimento del Garante italiano dell’8 aprile 2010, in cui si specifica che la conservazione delle immagini deve essere limitata a poche ore, fino al massimo a 24h successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, oppure nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria, nonché il Titolare abbia la necessità di un periodo maggiore e riesca a motivare tale esigenza (ad esempio una banca).
Misure tecniche e organizzative
Innanzitutto, secondo l’art. 25 del GDPR, il sistema deve rispettare la protezione dei dati personali fin dalla progettazione e deve mantenerla come impostazione di default, dal punto di vista sia organizzativo (politiche e procedure) sia tecnico (verificare le conformità e le misure di sicurezza). Gli standard internazionali ISO/IEC 27000, relativi ai sistemi di gestione della sicurezza delle informazioni, garantiscono misure adeguate.
Inoltre, a norma dell’art. 32 del GDPR, il Titolare deve garantire un elevato standard di misure organizzative e tecniche affinché il trattamento dei dati durante la videosorveglianza sia sicuro.
Tali misure organizzative e tecniche devono essere proporzionali ai rischi per i diritti e le libertà degli interessati, derivanti da distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata, accesso ai dati di videosorveglianza non autorizzato.
Tra le misure organizzative occorre stabilire chi è il responsabile della gestione e del funzionamento del sistema di videosorveglianza, le finalità, l’uso lecito, le informazioni da fornire all’interessato, le modalità e i tempi di conservazione, i soggetti autorizzati ad accedere alle registrazioni, le procedure di gestione degli incidenti e di recupero dei dati.
Quanto alle misure tecniche, devono essere considerati la sicurezza e l’integrità fisica di tutti i componenti del sistema e il controllo degli accessi. Occorre poi ricordare che la sicurezza dei dati si misura rispetto ai parametri della riservatezza, dell’integrità e della disponibilità. Importanti anche le misure atte a prevenire furti, atti vandalici, calamità naturali, danni accidentali, nonché utili alla protezione della trasmissione di filmati con canali di comunicazione sicuri contro l’intercettazione, attraverso la crittografia dei dati e l’utilizzo di firewall, antivirus o sistemi di rilevamento intrusioni contro gli attacchi informatici.
DPIA
Infine, l’art. 35 del Regolamento prescrive che il Titolare debba effettuare una Valutazione d’impatto quando un determinato trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche. Questo può certamente avvenire qualora si verifichi una sorveglianza sistematica su larga scala di una zona accessibile al pubblico, nonché in alcune ipotesi elencate in uno specifico provvedimento del Garante, tra cui:
- i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
i trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.