10 regole per la videosorveglianza

L´adozione di sistemi di videosorveglianza è in continua crescita ed implica, come noto, il trattamento di immagini che, se riferiti ad una persona identificata o identificabile, rientrano nella categoria dei dati personali, disciplinati dal Regolamento UE 2016/679 (GDPR) e, naturalmente, anche del nostro D.lgs. 196/2003 post riforma dell’agosto 2018 (Codice Privacy italiano) .

Le dimensioni assunte dal fenomeno – soprattutto a seguito delle possibilità offerte dalle attuali tecnologie di riconoscimento delle immagini, di intelligenza artificiale e di machine learning – portano ad un cospicuo incremento dell’incisività e della pervasività degli apparati video con un aumento esponenziale dei potenziali rischi per le nostre libertà individuali, ben oltre le originarie preoccupazioni che avevano spinto il nostro Garante ad intervenire per fissare un punto di equilibrio tra esigenze di sicurezza, prevenzione e repressione dei reati, e diritto alla riservatezza ed alla libertà delle persone.

Le tappe fondamentali dell’evoluzione normativa e giurisprudenziale sul tema della videosorveglianza nel nostro Paese sono così sintetizzabili:

  • nel luglio del 2000 è stata portata a termine la prima indagine sulla presenza di telecamere visibili in Italia;
  • nel novembre 2000 il nostro Garante ha emanato delle linee guida contenenti gli indirizzi generali per garantire che l´installazione di dispositivi per la videosorveglianza rispettassero le norme sulla privacy e sulla tutela della libertà delle persone, assicurando la proporzionalità tra mezzi impiegati e fini perseguiti;
  • la materia è stata, poi, oggetto di due provvedimenti generali del Garante, rispettivamente del 2004 e del 2010, contenenti prescrizioni vincolanti per tutti coloro che intendessero avvalersi di sistemi di videosorveglianza e precise garanzie per la privacy degli interessati;
  • il provvedimento del 2010 ha, in particolare, integrato quello del 2004 per tenere conto delle possibilità offerte dalle nuove tecnologie, con una speciale attenzione dedicata alle garanzie sul fronte dell´informazione a tutti i soggetti che transitano in aree videosorvegliate (con l’obbligo di esporre sempre i cartelli informativi) ed ai limiti per la conservazione delle immagini raccolte.

A questi provvedimenti di carattere generale di natura nazionale si aggiungono, oggi, le recentissime Linee Guida 3/2019 dell’European Board of Data Protection (EDPB), varate durante la dodicesima sessione plenaria del 9-10 luglio 2019, al momento in consultazione pubblica (potete trovare il testo ufficiale, disponibile solo in inglese, nella sezione documenti utili del Blog – documento n. 39 – cliccando qui).

Le linee guida dell’EDPB tengono conto del fatto che, nel corso dei dieci anni trascorsi dall’ultimo provvedimento generale del nostro Garante, la tecnologia è ulteriormente (e rapidamente!) cambiata ed i dispositivi di videosorveglianza spesso sono diventati sistemi “intelligenti”, combinando tra loro ingenti quantità di dati che aumentano il rischio di utilizzi secondari (collegati o meno alle finalità originarie) o anche di utilizzi illeciti.

L’EDPB invita, quindi, tutti i Paesi membri a garantire che i sistemi di videosorveglianza siano utilizzati sempre nel rispetto dei principi generali di cui all’art. 5 del GDPR e che la videosorveglianza venga effettuata solo quando non vi siano altre modalità, meno intrusive, per ottenere il medesimo scopo.

Senza addentrarmi nel dettaglio delle 29 pagine del documento dell’EDPB, che potete facilmente consultare voi stessi al link segnalato sopra e di cui potete leggere un dettagliato commento anche su cybersecurity360.it (rivista on-line con la quale anch’io ho il piacere di collaborare) nell’ottimo articolo di Luigi Mischitelli (videosorveglianza e GDPR. I consigli e gli esempi nelle linee guida EDPB), richiamo qui solo alcuni aspetti di carattere generale delle Linee Guida che evidenziano la rapida evoluzione tecnologia avvenuta in materia.

L’EDPB, infatti, preso atto che il monitoraggio sistematico e automatizzato di uno spazio specifico mediante dispositivi audiovisivi (principalmente per la protezione della proprietà o per la tutela della vita e della salute dell’individuo) è diventato un obiettivo significativo in tutto il territorio europeo, si preoccupa dell’ampliamento esponenziale del numero di informazioni e di dati personali raccolti e richiede, pertanto, come misura necessaria:

  • dove vi sia una “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”, la valutazione di impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35, comma 3 lett. c) del GDPR;
  • quando il trattamento delle immagini comporti per sua natura un controllo regolare e sistematico degli interessati su larga scala, anche la nomina di un Responsabile della Protezione dei Dati (RPD o, come preferisco, DPO) in base all’art. 37, comma 1, lett. b) del GDPR.

Fanno eccezione a queste regole le ipotesi in cui gli interessati non possono essere identificati, direttamente o indirettamente e, quindi:

  • in caso di telecamere finte;
  • in caso di registrazioni ad un’altitudine elevata che non permetta l’identificazione dei soggetti (in linea, peraltro, con le regole già applicabili ai droni di cui mi sono occupato nel mio precedente articolo “Droni: istruzioni dai Garanti Europei”);
  • in caso di telecamere da park assist, a condizione che le stesse non raccolgano alcuna informazione relativa a persone fisiche identificate o identificabili (ad esempio non raccolgano dati relativi a targhe o informazioni che potrebbero identificare i passanti).

Interessante è anche il principio espresso dall’EDPB quale diretta applicazione della regola di minimizzazione dei dati: la scelta tra il monitoraggio in tempo reale (la cosiddetta ripresa “live”) e la registrazione deve essere fatta tenendo conto dello scopo perseguito e, quindi, la prima soluzione deve considerarsi inadatta se lo scopo perseguito è solo quello di conservare le prove. E’ un principio che potrebbe implicare, per molti, una revisione delle attuali modalità di videosorveglianza, dato che spesso le due forme (registrazione e monitoraggio “live“) convivono.

Le linee guida dell’EDPB svolgono senz’altro un quadro organico, omogeneo e aggiornato della disciplina della videosorveglianza all’interno dell’Unione ma confermano anche la permanente validità del decalogo di principi enucleato sulla materia dal nostro Garante fin dagli inizi del secolo per un corretto uso degli impianti di videosorveglianza e, cioè:

  1. l’acquisizione di immagini tramite sistemi di videosorveglianza costituisce un trattamento di dati personali a tutti gli effetti;
  2. i titolari del trattamento devono determinare esattamente le finalità perseguite attraverso la videosorveglianza e verificarne la liceità in base alle norme vigenti;.
  3. il trattamento dei dati deve avvenire secondo correttezza e per scopi determinati, espliciti e legittimi;
  4. si devono fornire alle persone che possono essere riprese indicazioni chiare, anche se sintetiche, che avvertano della presenza di impianti di videosorveglianza, fornendo loro le informazioni necessarie soprattutto quando le apparecchiature non siano immediatamente visibili;
  5. occorre rispettare scrupolosamente il divieto di controllo a distanza dei lavoratori e le precise garanzie previste al riguardo (art. 4 legge 300/1970);
  6. occorre rispettare i principi di pertinenza e di non eccedenza, raccogliendo solo i dati strettamente necessari per il raggiungimento delle finalità perseguite, registrando le sole immagini indispensabili, limitando l’angolo visuale delle riprese, evitando – quando non indispensabili – immagini dettagliate, ingrandite o dettagli non rilevanti, stabilendo in modo conseguente la localizzazione delle telecamere e le modalità di ripresa;
  7. occorre determinare con precisione il periodo di conservazione delle immagini e prevedere la loro conservazione solo in relazione a illeciti che si siano verificati o a indagini delle autorità giudiziarie o di polizia;
  8. occorre designare per iscritto i soggetti che possono utilizzare i sistemi di videosorveglianza e prendere visione delle registrazioni, avendo cura che essi accedano ai soli dati personali strettamente necessari e vietando rigorosamente l’accesso di altri soggetti (salvo che si tratti di indagini giudiziarie o di polizia);
  9. i dati raccolti per determinati fini non possono essere utilizzati per finalità diverse o ulteriori;
  10. i dati raccolti per determinati fini non possono essere diffusi o comunicati a terzi.

Sono, questi, principi cardine della materia che hanno trovato, nel tempo, nuove declinazioni ed applicazioni ma che restano gli imprescindibili baluardi a tutela dei diritti degli individui.

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Digital life, Privacy, Strumenti per il business e contrassegnata con , , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!