Linee Guida sui trattamenti di videosorveglianza

13 Febbraio 2020

A seguito del periodo di consultazione pubblica della bozza emanata nel luglio 2019 il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato il 29 gennaio 2020 la versione definitiva delle Linee Guida sui trattamenti di videosorveglianza.

Obiettivo delle Linee Guida è favorire la corretta applicazione del GDPR con l’obiettivo di non configurare un trattamento illecito dei dati personali.

Di seguito sono riportati i principali punti delle Linee Guida che hanno subito modifiche rispetto alla precedente versione del luglio 2019.

 

Area di applicazione del GDPR

L’EDPB fornisce i seguenti casi nei quali il GDPR non trova applicazione:

  • La persona ripresa dalla videocamera non è identificabile, direttamente o indirettamente (ad esempio: telecamere false, videoregistrazioni ad alta quota, videocamere a bassa risoluzione integrate nelle auto per il parcheggio);
  • Il trattamento dei dati è effettuato dall’autorità competente ai fini di prevenzione, indagine, accertamento perseguimento di reati o esecuzione di sanzioni penali (casi disciplinati dalla Direttiva EU 2016/680);
  • Il trattamento avviene nel corso di attività puramente personali o domestiche che possono includere anche attività on-line, solo se i dati non siano accessibili ad un numero indefinito di persone (l’Household exception, deve essere sempre interpretata in modo restrittivo), e non riprendano, anche parzialmente, uno spazio pubblico o una proprietà vicina (ad esempio: un turista col cellulare e con una telecamera che registra video delle proprie vacanze per mostrarlo solo ad amici e parenti; soggetto che installa una telecamera che riprende solo il proprio giardino).

Legittimità del trattamento

I Titolari del trattamento, prima di utilizzare sistemi di videosorveglianza, devono sempre specificare le finalità che stanno perseguendo. Oltre la protezione della proprietà e di altri beni e la raccolta di prove per l’esercizio del diritto di difesa in sede civile, l’EDPB ha aggiunto la finalità di protezione della vita e dell’integrità fisica.

Dette finalità devono essere documentate per iscritto (art.5.2 GDPR) e specificate per ogni sistema video in uso. Le telecamere utilizzate per medesime finalità possono essere documentate insieme.

Secondo l’EDPB la finalità “per motivi di sicurezza” non è sufficientemente specificante e non si collega alle varie basi giuridiche ex art. 6 GDPR.

Quanto alle basi giuridiche, le più applicate sono:

  • Il legittimo interesse (art. 6.1. lett. f) che deve essere reale e attuale (concreto, come per situazioni intrinsecamente pericolose quali, ad esempio, le banche, la vendita di preziosi o le stazioni di rifornimento), valutato caso per caso prima dell’inizio della sorveglianza e bilanciato con i diritti e libertà dell’interessato.

L’EDPB, infatti, dando rilevanza al principio di minimizzazione dei dati (art. 5.1 lett. c) sostiene che l’utilizzo della videosorveglianza debba limitarsi ai casi in cui le esigenze del titolare prevalgano sui diritti e le libertà degli interessati e non siano raggiungibili con mezzi meno invasivi per la privacy quali, ed esempio, l’utilizzo di personale di sicurezza o il black box. La videosorveglianza è l’estrema ratio!

Le nuove Linee Guida specificano come l’esistenza di un interesse legittimo e la necessità del monitoraggio dovrebbero essere rivalutate ad intervalli periodici (ad esempio annualmente, valutate le circostanze).

  • L’esecuzione di un compito di interesse pubblico o nell’esercizio di pubblici poteri (art. 6. lett. e).
  • Il consenso (art. 6.1. lett. a) trova applicazione in casi eccezionali, poiché poco conciliabile con l’utilizzo di tecnologie finalizzate a monitorare contemporaneamente un numero indefinito di persone, ma è necessario in caso di trattamento di dati particolari.

 

Trattamento di categorie particolari di dati (ad esempio: dati biometrici)

La videosorveglianza non sempre configura un trattamento di categorie particolari di dati personali. Tuttavia, in caso di elaborazione del filmato per trarre categorie particolari di dati, trova applicazione l’art. 9.2 lett. c GDPR (ad esempio: l’installazione in un ospedale di videocamere per monitorare le condizioni dei pazienti).

Inoltre, il trattamento di dati particolari richiede una vigilanza intensificata e continua, con livelli di sicurezza elevati e con la preventiva valutazione di impatto sulla sicurezza e sulla protezione dei dati, ove necessario.

Particolare attenzione è stata data al trattamento dei dati biometrici (in particolare il riconoscimento facciale), tale trattamento comporta elevati rischi per gli interessati e richiede il rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati e degli adempimenti ex GDPR.

Il trattamento dei dati biometrici mediante videosorveglianza (ad esempio per finalità di marketing, statistiche o sicurezza) vuole:

  • Una valutazione dell’impatto sulla protezione dei dati (DPIA).
  • Il consenso esplicito di tutti degli interessati (art. 9.2. lett. a), cui deve riconoscersi il diritto di opposizione.
  • L’adozione di misure di sicurezza idonee a preservare la disponibilità, l’integrità e la riservatezza dei dati trattati (ad esempio: utilizzo della crittografia, policy per la crittografia e gestione delle chiavi, firma o hash, divieto di accesso esterno ai dati biometrici, … ). L’EDPB specifica che tali misure dovranno evolversi con l’avanzamento delle tecnologie.
  • Se non esiste più una base legale per l’elaborazione, i dati grezzi (immagini del viso, segnali vocali, andatura..) devono essere eliminati immediatamente e in modo sicuro.

 

Diritti degli interessati

Diritto di accesso

Sussistono alcuni casi di limitazione all’esercizio di tale diritto:

  • L’art. 15.4 GDPR può incidere negativamente sui diritti di terzi. Poiché una videoregistrazione potrebbe contenere anche dati personali di altri soggetti, la richiesta di aver copia del materiale, potrebbe influire negativamente sui diritti e le libertà di altre persone presenti nel filmato. Per ovviare a tale possibilità e allo scopo di rispondere alla richiesta di accesso, il titolare potrebbe implementare misure tecniche  utilizzando strumenti per celare i volti, ed esempio, mediante la modifica delle immagini con funzione di mascheramento (masking) o di annebbiamento (scrambling). L’EDPB osserva che i titolari non sono obbligati ad implementare tali misure se riescono ad assicurare in altro modo di poter rispondere alla richiesta dell’interessato.
  • L’art. 11.2 GDPR: il titolare non riesce ad identificare l’interessato. Se, per la vastità di immagini registrate, non sia facilmente individuabile il filmato oggetto della richiesta di accesso, l’interessato dovrebbe specificare l’arco temporale (circa un’ora) e/o il luogo in cui pensa di essere stato ripreso. L’EDPB osserva che se il titolare non riuscisse ad adempiere alla richiesta dovrà informare l’interessato dell’esito negativo della ricerca indicando nella risposta l’area esatta del monitoraggio e il numero delle telecamere in uso per permettere all’interessato di comprendere quali dati personali siano stati processati.
  • 12 GDPR: richieste eccessive. Richieste eccessive o manifestamente infondate potrebbero portare il titolare ad addebitare un costo ragionevole ex art. 12.5 lett. a o a respingere la richiesta ex art. 12.5. lett. b. L’eccessività deve poter esser dimostrata e motivata dal titolare.

Diritto di opposizione

Se la videosorveglianza trova base in un legittimo interesse ex art. 6.1. lett. f GDPR o in un interesse pubblico ex art. 6.1 lett. e GDPR l’interessato può, in qualsiasi momento, opporsi al trattamento ex art. 21 GDPR. Il titolare, senza ritardo o entro un mese, dovrà rispondere motivando le ragioni per cui ritiene prevalenti le basi giuridiche sul diritto di opposizione dell’interessato. Questa opposizione, nel contesto videosorveglianza, potrebbe essere fatta quando il soggetto entra nell’area monitorata, durante la permanenza o all’uscita dall’area.

 

Trasparenza del trattamento

In considerazione delle numerose informazioni che il titolare deve fornire agli interessati, l’EDPB prescrive di rendere un’informativa a più livelli.

In particolare, l’affissione di un segnale/cartello (primo livello) che dev’essere posizionato prima di entrare nell’area monitorata (non si parla più quindi di “distanza adeguata” dal sistema di videosorveglianza) e deve fornire, in modo facile e intuitivo) le informazioni più rilevanti sul trattamento.

Il nuovo cartello di avviso della videosorveglianza prevede più informazioni di quelle contenute nel modello attuale quali:

  • Dati e contatti del titolare e, ove applicabile, del DPO.
  • Dettagli sulle finalità del trattamento (è stata eliminata la menzione della base giuridica).
  • Elencazione dei diritti dell’interessato.
  • Indicazione dei trattamenti che hanno maggior impatto sugli interessati (ad esempio: retention period, live, pubblicazione e trasmissione dei dati a terzi).
  • Riferimenti alla informativa di secondo livello e su come trovarla preferendo una fonte digitale (ad es.: QRcode o un link che rinvia ad un’informativa on line).

 

L’informativa di secondo livello dev’essere collocata in un luogo facilmente accessibile agli interessati (ad esempio reception, casse, banco informazioni, …). L’EDPB osserva che dovrebbe essere possibile accedere a detta informativa senza entrare nell’area monitorata, ciò specialmente se fornita mediante un link, ad esempio, tramite un collegamento o altro mezzo idoneo come un numero telefonico.

L’EDPB promuove, in generale, l’utilizzo di modalità informatiche per fornire agli interessati più informazioni, ad esempio tramite l’uso della geolocalizzazione per visualizzare su una mappa il perimetro sorvegliato.

Periodo di conservazione

Se gli Stati membri non hanno previsto delle specifiche disposizioni, per i periodi di conservazione riferiti alla videosorveglianza trova applicazione il principio di minimizzazione dei dati e di limitazione della conservazione ex art. 5 GDPR per i quali si ritiene che un termine di uno o due giorni sia idoneo a rispettare l’esigenza di rilevare eventuali danni e/o incidenti. La conservazione oltre detti termini deve essere adeguatamente motivata con riferimento a specifiche  finalità (ad esempio intraprendere un’azione legale).

L’EDPB specifica che, per facilitare la dimostrazione della conformità al GDPR, il titolare deve porre in essere tutte le azioni organizzative necessarie come, ad esempio, nominare un incaricato alla videosorveglianza.

Il titolare deve inoltre definire il periodo di conservazione considerando i principi di necessità/proporzionalità e dimostrare la conformità con le disposizioni GDPR.

Misure tecniche ed organizzative

Le Linee Guida sottolineano come il titolare dovrebbe adottare idonee misure tecniche e organizzative che consentano di mantenere costantemente il controllo degli strumenti impiegati (infrastruttura hardware e software del sistema di monitoraggio) e garantiscano integrità, disponibilità e riservatezza dei dati in ogni fase del trattamento (memorizzazione, trasmissione e elaborazione). Come stabilito dall’art. 25 GDPR, i titolari dovrebbero scegliere tecnologie in grado di difendere la privacy, ad esempio, sistemi che possono essere configurati in modo da consentire al titolare di oscurare o sfocare parti del video che riprendono anche soggetti diversi dall’interessato, onde permettere loro di esercitare i diritti ex art. 15 e ss.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci