Dai negozianti, ai ristoratori, all’ambito familiare, siamo sempre più interessati ad avere maggiore protezione e spesso la soluzione più immediata che ci viene in mente è quello di installare un impianto di videosorveglianza.
Ma sappiamo anche come vanno gestiti e conservati i dati?
Il GDPR (Regolamento Generale sulla Protezione dei Dati) è stato stilato dall’Unione Europea per garantire e rafforzare la protezione dei dati personali dei cittadini della UE e dei suoi residenti sia all’interno che all’esterno di essa.
È entrato in vigore il 24 maggio del 2016 ed è operativo a partire dal 25 maggio 2018.
Difatti oggi siamo esposti ad un mondo che si amplifica tramite l’uso di tecnologie avanzate e internet.
Se con l’uso delle telecamere di sorveglianza da un lato ci sentiamo più sicuri e protetti, dall’altro ci possiamo sentire limitati nella nostra privacy e potrebbe interferire con la nostra scelta di non essere ripresi. È inoltre possibile “associare” altre finalità come ricerche di marketing o le analisi delle prestazioni lavorative dei dipendenti.
Proprio in questi ultimi casi, i dispositivi di videosorveglianza possono trasformarsi in sistemi “intelligenti” che combinano tra loro molteplici quantità di dati che aumentano il rischio di utilizzi secondari, ovvero ad utilizzi illeciti.
Il Comitato Europeo per la Protezione dei Dati (EDPB), spiega come gestire e conservare i dati personali in modo idoneo attraverso esempi concreti.
Esso ritiene necessario operare in due modi:
valutazione di Impatto sulla Protezione dei Dati ai sensi dell’Art. 35.3 lett. c) del GDPR;
nominare un Responsabile della Protezione dei Dati (DPO) in base all’Art. 37.1 lett. b) del GDPR, qualora il trattamento comporti, un controllo regolare e sistematico su larga scala.
Ci sono però casi in cui non serve applicare il GDPR; per esempio non viene applicato alle telecamere del park assist (sempre che non raccolgano dati relative a persone fisiche identificate o che possono essere identificate, per esempio targhe). Sono escluse dal GDPR anche le telecamere finte in quanto non possono raccogliere alcun dato personale (anche se ogni Stato Membro dell’UE potrebbe adottare disposizioni differenti). Le registrazioni con i droni o ad altezza elevata possono rientrare nell’applicazione del GDPR solo se i dati possono essere ricollegati ad una persona specifica.
Nelle Linee Guida il Comitato ribadisce ciò che è disposto nel GDPR: ossia che prima di procedere ad un trattamento di videosorveglianza è necessario specificare nel dettaglio tutte le finalità del trattamento, a norma del principio di “limitazione della finalità” (Art. 5.1, lett. b del GDPR), la videosorveglianza basata su una semplice “finalità di sicurezza” non è infatti sufficientemente specifica, è inoltre contrario al principio di “liceità, correttezza e trasparenza”. In linea di principio, ogni base giuridica potrebbe essere utilizzata in ambito di videosorveglianza: basterà che il titolare del trattamento giustifichi la scelta. Tra le basi giuridiche utilizzabili in materia di videosorveglianza più idonee il Comitato mette al primo posto il legittimo interesse. È possibile procedere con tale base giuridica a condizione che il legittimo interesse del titolare prevalga sugli interessi, i diritti e le libertà delle persone interessate (per esempio per proteggere la propria attività da furti o vandalismi, anche il personale verrà filmato di conseguenza). Se l’interesse legittimo è soddisfatto si può procedere alla attivazione del sistema di videosorveglianza ma sempre limitando il raggio d’azione alla proprietà interessata.
Per quanto riguarda la diffusione a terzi, qualsiasi divulgazione di dati personali ha una sua base giuridica nel GDPR.
In conformità al principio di minimizzazione dei dati, i titolari del trattamento devono garantire chei dati estratti da un’immagine digitale contengano solo le informazioni necessarie per lo scopo perseguito.
Di base, per essere a norma, basterà seguire i passaggi seguenti che andremo ad elencare punto per punto:
Prima di montare il vostro impianto di videosorveglianza, bisogna verificare che le finalità perseguite siano proporzionate a questa misura adottata.
Bisognerà poi indicare la base giuridica attraverso la quale si rende lecito il trattamento, potrebbe però non essere sufficiente durante l’ispezione del Garante, dovrete quindi compilare una LIA (Legitimate Interests Assessment) la quale è uno strumento utile per fornire una sintesi dei principi applicati nel bilanciamento effettuato fra i diritti fondamentali e le libertà degli interessati. La LIA potrebbe essere preliminare alla stesura di una DPIA.
La DPIA è necessaria in presenza di almeno due criteri:
il monitoraggio sistematico
dati relativi a soggetti vulnerabili.
Qualora vi siano dei dipendenti, il Titolare deve premunirsi di un accordo sindacale o richiedere l’autorizzazione alla sede territoriale dell’Ispettorato Nazionale del Lavoro (ITL).
Gli interessati devono essere a conoscenza di videosorveglianza con segnaletica informativa prima di entrare nel raggio di azione delle telecamere, con un formato che garantisca visibilità anche in orario notturno.
Bisognerà inoltre verificare:
i tempi di conservazione;
che le telecamere siano sprovviste di audio, zoom e brandeggio;
che gli incaricati a visionare le immagini siano nominati soggetti autorizzati al trattamento di esse;
qualora si necessiti dell’esportazione delle immagini, bisognerà proteggerle con un sistema di crittografia;
la visione delle immagini dovrebbe essere effettuata solo fuori dagli orari di lavoro;
gli Access Log sono da conservare per almeno 6 mesi;
andrebbero realizzate le procedure per far valere i diritti degli interessati.
La sanzione, per chi non rispetta tali norme, può essere eseguita da il personale del Garante o per loro mandato la Guardia di Finanza. L’ammenda va da
€ 154,00 a € 1.549,00 o nell’arresto da 15 giorni ad un anno. Nei casi più gravi, potrebbero applicare entrambe le cose.
Dunque non basta installare delle telecamere, bisogna anche conoscere bene il GDPR per non incorrere in brutte sorprese e garantire una sicurezza a 360° per noi stessi e per gli altri
