Videosorveglianza – Domande e risposte del Garante per la privacy

Regolamentare la videosorveglianza, in particolar modo negli ultimi anni, è diventato fondamentale soprattutto se si considera il bisogno di sicurezza, il rispetto e la tutela della legalità, principi alla base dell’uso e della diffusione delle videocamere. Questa necessità deve essere assicurata sempre nel più attento rispetto dei principi di protezione dati, aiutando così tutti gli operatori a trovare il corretto punto di equilibrio fra sicurezza e libertà. Mentre le persone potrebbero essere a proprio agio con la videosorveglianza installata, ad esempio, per una determinata finalità di sicurezza, occorre assicurare che non ne venga fatto un uso improprio per scopi totalmente diversi e inaspettati per l’interessato (ad esempio, per scopi di marketing, controllo delle prestazioni dei dipendenti, ecc.). Inoltre, attualmente si utilizzano molti dispositivi per sfruttare le immagini acquisite e trasformare le telecamere tradizionali in telecamere intelligenti. La quantità di dati generati da video, unitamente a questi strumenti e tecniche, aumenta i rischi di un uso secondario (correlato o meno allo scopo al quale viene inizialmente destinato il sistema) o, persino, improprio.

Per i motivi di cui sopra, il Garante per la protezione dei dati personali ha pubblicato sul proprio sito Internet www.garanteprivacy.it , in data 05/12/2020, una serie di domande e conseguenti risposte con cui fornisce ai propri utenti i chiarimenti su come gli enti locali debbano comportarsi nel caso in cui vogliano procedere all’installazione di un impianto di videosorveglianza.

Un primo quesito consta, difatti, nel domandarsi quali siano le regole da rispettare per installare sistemi di videosorveglianza.

In merito, il Garante precisa che l’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili: ad esempio, le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, o in materia di controllo a distanza dei lavoratori. Va sottolineato, in particolare, che l’attività di videosorveglianza va effettuata nel rispetto del cosiddetto principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento. I dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite.

È bene ricordare inoltre che il Comitato europeo per la protezione dei dati (EDPB)  ha adottato le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” allo scopo di fornire indicazioni sull’applicazione del Regolamento in relazione al trattamento di dati personali attraverso dispositivi video, inclusa la videosorveglianza.

Molti enti comunali si chiedono, poi, se sia necessario avere una autorizzazione da parte del Garante per installare le telecamere.

La risposta è negativa poiché, in base al principio di responsabilizzazione (art. 5, par. 2, del Regolamento [1]), spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, altresì, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

Le persone che transitano nelle aree videosorvegliate devono essere informate della presenza delle telecamere?

Sì. Nel rispetto del principio di liceità, gli interessati devono sempre essere informati delle finalità del trattamento posto in essere (ex art. 13 del Regolamento[2]). Essi devono essere consapevoli del fatto che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato.

Evidenziata l’importanza secondo cui i soggetti interessati devono essere informati circa la presenza di impianti di videosorveglianza, ci si chiede “quali siano le modalità con le quali fornire l’informativa”.

L’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB e disponibile nell’immagine sotto riportata), che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese).

L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso).

Volendo ivi riassumere il sopracitato articolo 13, rubricato “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”, ciò che deve essere maggiormente attenzionato è che “In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

• l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
• i dati di contatto del responsabile della protezione dei dati, ove applicabile;
• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;                   
• qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f) [3], i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili”.

Inoltre, si ricordi che in aggiunta alle informazioni di cui sopra, “nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:                                                        

• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
• qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a)[4], oppure sull’articolo 9, paragrafo 2, lettera a) [5], l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
• il diritto di proporre reclamo a un’autorità di controllo;
• se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4 [6], e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.           

Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2”.                                                                                                                                         

Di Alessandra Totaro

[1] Per completezza espositiva, si procede alla trascrizione per intero dell’articolo 5, paragrafo 2 del GDPR: “1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”.

[2] L’articolo 13 del GDPR, rubricato “Dati personali raccolti presso l’interessato: informazioni da fornire”, recita quanto segue: “1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:                                                                                               

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;                                           

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; 

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.                                                                                                       

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; 

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni”.

[3] “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: […] f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

[4] “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; […]”.

[5] Per completezza espositiva, si riporta di seguito anche il primo paragrafo dell’articolo 9 del GDPR che dispone quanto segue: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:                                                                                                                      a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1; […]”.

[6] L’articolo 22 paragrafo 1 statuisce che “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.