Body Cam: principali adempimenti a tutela della privacy – parte 2

Nel presente articolo si cercheranno di fornire le informazioni principali in tema privacy in relazione alle Body Cam, telecamere portatili utilizzate da diversi anni negli Stati Uniti dagli agenti di polizia e che, da svariato tempo, si stanno lentamente diffondendo anche in Italia.

Quali sono gli adempimenti privacy in materia di Body Cam?

1. Informativa ai dipendenti e agli addetti alla security

Nel sopracitato provvedimento, l’Autorità ha indicato altresì la necessità di fornire ai dipendenti coinvolti nel trattamento dei dati, un’informativa che contenga quanto previsto dagli articoli 13, paragrafo 1, e 14, paragrafo 1 del Regolamento UE (tipologia di dati, finalità e modalità del trattamento, tempi di conservazione, soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati del trattamento).

Per quanto riguarda il personale non legato da rapporto di lavoro con il Titolare del trattamento (ad esempio gli addetti alla “security” sui treni), chi intende adottare le Body Cam dovrà fare in modo che anche questo riceva, in forma individualizzata, l’informativa di cui agli articoli sopra enunciati.

2. Registro dei trattamenti

Altro adempimento sancito in materia privacy consiste nella istituzione e stesura del Registro dei trattamenti, documento fondamentale previsto dall’articolo 30 del Regolamento UE, che permette di raggiungere piena consapevolezza degli ambiti operativi propri dell’attività professionale svolta. Esso, difatti, costituisce uno dei principali elementi di accountability del Titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e, dunque, preliminare rispetto a tali attività. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante privacy. Pertanto, il trattamento inerente la raccolta di immagini mediante Body Cam dovrà essere inserito nel sopra citato documento.

3. Valutazione di impatto

In base all’articolo 24 del Regolamento UE, il Titolare del trattamento “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, […] mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”. Ciò evidenzia il fatto che il Titolare deve valutare autonomamente la conformità alla disciplina europea del trattamento che intende effettuare, verificando il rispetto di tutti i principi in materia nonché la necessità di redigere, in particolare, una valutazione di impatto privacy ex articolo 35 del citato regolamento, oppure attivare la consultazione preventiva ai sensi dell’articolo 36 dello stesso. Siffatta precisazione specifica che chi ha interesse all’utilizzo delle Body Cam non dovrà chiedere più un’autorizzazione al Garante privacy (avvalendosi della procedura della verifica preliminare), bensì dovrà elaborare atti di documentazione delle scelte e conservarli nella propria documentazione amministrativa. Si assiste, quindi, al passaggio ad un regime di svincolo dal nulla osta dell’Autorità garante in virtù di una maggiore responsabilizzazione del Titolare del trattamento.

4. Pertinenza e non eccedenza dei dati trattati

Il Titolare del trattamento deve individuare la concreta tipologia di eventi in presenza dei quali è prevista l’attivazione delle Body Cam indossabili da parte degli operatori. La visualizzazione delle immagini raccolte deve essere consentita unicamente al personale autorizzato, esclusi gli operatori che effettuano le riprese.

Bisogna individuare tempi di registrazione congrui rispetto alle finalità perseguite (una settimana) e custodire i dati trattati fino al termine di prescrizione con cancellazione automatica delle informazioni allo scadere del termine previsto per la conservazione dei dati.

5. Consenso e legittimo interesse

I trattamenti possono essere effettuati, nei confronti dei dipendenti e degli utenti, senza il consenso. La decisione del Garante privacy del 22 maggio del 2018 è, infatti, un provvedimento di bilanciamento di interessi, per mezzo del quale l’Autorità autorizza un certo tipo di trattamento. Il legittimo interesse (trattamento dati senza consenso), è una base giuridica slegata dal consenso, ma ancorata a una assunzione di responsabilità del Titolare del trattamento. Se il trattamento è basato sui legittimi interessi non occorre il consenso dell’interessato, purché, però, non prevalgano gli interessi o i diritti e le libertà fondamentali dello stesso, tenuto conto delle ragionevoli aspettative dello stesso in base alla relazione col Titolare del trattamento. Occorre, però, informare l’interessato del fatto che i suoi dati sono trattati in base ai legittimi interessi, senza però che sia necessario spiegare come il Titolare operi il bilanciamento tra i diritti.

6. Tutela degli interessati: disciplinare e regolamento interno

Il Titolare del trattamento deve predisporre un apposito disciplinare relativo all’uso consentito delle «Body Cam», finalizzato ad individuare le condizioni in presenza delle quali potranno essere attivati i dispositivi (prevedibile concreto pericolo di danni a persone e cose), nonché i casi in cui l’attivazione non è consentita. Inoltre, dovranno essere chiaramente indicate le modalità di utilizzo dei dispositivi stessi, con particolare riferimento alla necessità di adottare particolari cautele nel caso in cui le riprese video possano riprendere (anche) vittime di reati, testimoni, minori di età o luoghi assistiti da particolari aspettative di riservatezza.

Con il regolamento interno il Titolare deve fornire specifiche istruzioni ai soggetti autorizzati alla visualizzazione delle immagini in tempo reale. Inoltre, deve essere individuato un procedimento in base al quale i soggetti a ciò autorizzati, muniti di specifiche credenziali, procedono a verificare che le immagini raccolte siano relative a fatti effettivamente rilevanti rispetto alle finalità perseguite; è necessario che la conservazione per un tempo superiore ai sette giorni sia disposta solo previa verifica da parte di soggetti autorizzati della rilevanza delle immagini raccolte rispetto alle finalità perseguite. Le operazioni di accesso ed estrazione dei dati raccolti effettuate dai soggetti a ciò specificamente autorizzati devono essere tracciate.

Pertanto, mediante il provvedimento del 22 maggio del 2018, il Garante per la protezione dei dati personali ha legittimato l’uso delle Body Cam a patto che, chi è intenzionato di adottarle, predisponga un regolamento interno in cui indicare, nel rispetto del Codice privacy e del GDPR europeo, le regole sull’utilizzo, sulla raccolta, sul trattamento e la conservazione e cancellazione dei dati reperiti per mezzo di tali dispositivi.

7. Misure da adottare

È necessario predisporre misure affinché gli operatori che hanno in dotazione le Body Cam non possano effettuare operazioni di modifica, cancellazione e duplicazione delle immagini raccolte. Le registrazioni video devono essere conservate in forma cifrata, utilizzando tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. Una volta decorso il tempo di conservazione previsto, le registrazioni devono essere cancellate irreversibilmente utilizzando meccanismi di cancellazione automatica. Infine, è necessario predisporre adeguati strumenti di comunicazione per avvisare gli utenti, con linguaggio semplice e sintetico, della presenza del sistema di videosorveglianza mobile e le sue caratteristiche, specificando anche che una spia accesa sul dispositivo indossabile indica che la funzionalità di videoripresa è attiva.

Smart Cam e Dash Cam: altri dispositivi di videosorveglianza mobile

Oltre alle Body Cam esistono altri dispositivi di videosorveglianza mobile: Smart Cam e le Dash Cam.

Le prime sono telecamere di sorveglianza ad uso casalingo connesse e in cloud che permettono a tutti i membri di un nucleo familiare di collegarsi in qualsiasi momento al device e di guardare cosa sta succedendo all’interno o all’esterno della propria casa.

Le Dash Cam (abbreviazione di “dashboard camera”) sono piccole videocamere (una sorta di scatola nera) concepite per essere posizionate all’interno dell’automobile (generalmente sul cruscotto o mediante ventosa sul parabrezza dell’auto) e in grado di fornire immagini e video di ciò che accade all’interno, ma soprattutto all’esterno dell’abitacolo. Sfruttando questi dispositivi è possibile registrare gli eventi nel caso dovesse accadere un incidente stradale o si riceva una multa che si intende contestare. La maggior parte delle Dash Cam sono dotate anche di localizzazione GPS in modo da poter registrare l’orario e le coordinate del punto in cui è avvenuto un sinistro.

In riferimento a queste due tipologie di dispositivi possono tuttavia insorgere delle problematiche dal punto di vista privacy. In merito alle Smart Cam, il Garante per la protezione dei dati personali fornisce il suo benestare affermando che il trattamento dei dati personali mediante l’uso di telecamere installate nella propria abitazione per finalità esclusivamente personali di controllo e sicurezza, rientra tra quelli esclusi dall’ambito di applicazione del Regolamento. In questi casi, i dipendenti o collaboratori eventualmente presenti (babysitter, colf, etc.) devono essere, comunque, informati dal datore di lavoro. Sarà, però, necessario evitare il monitoraggio di ambienti che ledano la dignità della persona (ad esempio i bagni), proteggere adeguatamente i dati acquisiti (o acquisibili) tramite le Smart Cam con idonee misure di sicurezza (in particolare quando le telecamere sono connesse a Internet) e non diffondere i dati raccolti.

Per quanto riguarda le Dash Cam, dal punto di vista privacy sembra abbastanza evidente nonché lecito pensare che un utilizzo costante di una telecamera rivolta in direzione della strada possa ledere la riservatezza delle persone riprese a loro insaputa. Proprio per questo motivo l’utente non deve pubblicare online le immagini riprese da tali dispositivi ove nei fotogrammi siano distinguibili i volti di altre persone o le targhe dei veicoli. Diversamente, i video registrati all’interno dell’abitacolo possono essere diffusi in rete, ovviamente previo consenso degli eventuali altri soggetti presenti nel filmato.

di Alessandra Totaro