Oggi l’uso di dispositivi video è sempre più diffuso, ma il potenziale rischio di un loro uso improprio è una questione seria con rischio di sanzioni.
Per questo l’European Data Protection Board (EDPB) lo scorso anno ha adottato Le Linee guida sul trattamento dei dati personali attraverso dispositivi video con importanti novità per chi intende installare un impianto di videosorveglianza. Vediamo in maniera sintetica le novità e i punti salienti.
Indice
QUANDO NON SI APPLICA
Il GDPR e le linee guida non si applicano in caso di:
● telecamere finte che, in quanto tali, non elaborano dati personali;
● registrazioni effettuate da un’altitudine elevata se i dati elaborati non sono collegati a una persona specifica;
● videocamere integrate in un’auto per l’assistenza al parcheggio se non raccoglie informazioni relative a una persona fisica;
● attività puramente personale o domestica, che come chiarito dalla Corte UE: “deve essere interpretata come relativa solo alle attività che si svolgono nell’ambito della vita privata o familiare delle persone.”
FINALITA’ e BASE GIURIDICA
Le Linee guida chiariscono che le finalità del trattamento devono essere specificate e dettagliate per ogni telecamera, prima dell’attivazione del sistema. Circa poi la base giuridica ai sensi dell’articolo 6, paragrafo 1, del GDPR, mentre il consenso potrebbe essere applicabile in casi straordinari, una probabile base giuridica può essere il legittimo interesse che deve essere di reale esistenza. Per applicare il legittimo interesse sarà necessario effettuare il bilanciamento degli interessi, da farsi caso per caso, includendo nel bilanciamento le ragionevoli aspettative dell’interessato.
In altri casi, il trattamento potrà essere effettuato in base alla necessità di svolgere un compito di interesse pubblico o di autorità ufficiale.
DATI PARTICOLARI
Il trattamento di dati particolari (ovvero che rivelano l’origine razziale o etnica, le opinioni politiche) deve necessariamente avvenire sulla base di un’idonea base giuridica ai sensi dell’articolo 9, da valutarsi caso per caso. Nei sistemi più evoluti la videosorveglianza potrebbe essere integrata con l’uso di dati biometrici, che rientrano nella categoria di dati particolari, si pensi, ad esempio al riconoscimento facciale, che comporta rischi maggiori, per cui richiede un elevato livello di sicurezza.
In tali casi, facilmente sarà il consenso ad essere la base giuridica più idonea per autorizzare il trattamento dei dati.
INFORMATIVA
Gli interessati devono essere informati in modo dettagliato sui luoghi sorvegliati.
L’EDPB consiglia di adottare un approccio a più livelli. Il primo, attraverso un segnale di avvertimento che contiene le informazioni più importanti (primo livello), con un chiaro riferimento al secondo livello (di solito in modo digitale, ad esempio attraverso un QR Code).
Nel secondo livello l’informazione (c.d. informativa estesa) all’interessato sarà completa e dovrà essere facilmente accessibile senza che i singoli individui entrino nell’area monitorata, disponibile sia in forma digitale che non digitale.
DIRITTI DEGLI INTERESSATI
Le Linee guida stabiliscono che tutti i diritti (accesso, cancellazione, opposizione) concessi agli interessati sono ugualmente applicabili a tutti gli scenari, vi sono alcune eccezioni. Ad esempio, il soggetto che richiede l’accesso potrebbe venire in contatto con dati relativi ad altri interessati.
Il titolare, quindi, dovrà implementare delle misure tecniche di editing come il masking o lo scrambling delle immagini e deve informare l’interessato relativamente a quali dati necessita esattamente per soddisfare le sue richieste.
Affinchè lo stesso possa dirsi rispettato è sufficiente che il titolare oscuri le immagini o le sfuochi a mezzo di una procedura irreversibile.
CONSERVAZIONE
I dati personali non possono essere conservati più a lungo di quanto necessario ai fini del trattamento, ma in alcuni Stati membri del SEE possono esistere disposizioni specifiche. In ogni caso un periodo idoneo per soddisfare la necessità di individuare eventuali danni o incidenti è 72 ore. Resta inteso che quanto più lungo è il periodo di conservazione, tanto maggiore è la necessità di argomentare la legittimità dello scopo e la necessità di conservazione.
MISURE DI SICUREZZA E DPIA
Il titolare deve individuare le misure tecniche e organizzative che assicurino la sicurezza del trattamento dati anche nel caso della videosorveglianza, in applicazione del principio della privacy by design .
Per citare alcuni esempi di misure di sicurezza: la gestione del sistema di accessi (chi può accedere e monitorare i video), la cifratura dei dati, i firewall o il rilevamento di virus e misure fisiche. In ogni caso, devono essere configurati in modo tale da consentire al Titolare di oscurare parti del video che riprendono anche altri soggetti, per darne una copia al soggetto interessato.
L’EDPB consiglia vivamente la realizzazione di una Valutazione di Impatto Privacy (DPIA) in quanto si tratta di un monitoraggio sistematico di un’area accessibile al pubblico – almeno potenzialmente – su larga scala. Certamente il titolare, anche attraverso il proprio DPO, potrà accertare la sussistenza di un caso di esclusione previsto dalle Autorità Nazionali.
COORDINAMENTO CON L’ART. 4 STATUTO DEI LAVORATORI
In relazione ai controlli a mezzo di videosorveglianza effettuata dal titolare dell’azienda si continua ad applicare l’art. 4 della Legge n. 300/1970 (cd. Statuto dei Lavoratori), così come modificato dal D.Lgs. n. 151/2015.
Il datore di lavoro, quindi, può utilizzare lo strumento della videosorveglianza solo “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” (cfr. art. 4 co. 1).
Resta fermo:
● o il previo necessario accordo collettivo stipulato con la RSU o RSA;
● o, in mancanza, la previa necessaria autorizzazione della sede territoriale dell’Ispettorato Nazionale del Lavoro.
In ogni caso, l’utilizzabilità delle immagini richiede, oltre all’attuazione della normativa (europea e nazionale) l’obbligo per il datore di lavoro di informare il dipendente, ad esempio utilizzando l’informativa estesa di cui si è parlato sopra.