 |
Lo European Data Protection Board (EDPB), composto dai rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante Europeo, ha adottato in via definitiva le linee guida 3/2019 sulla videosorveglianza. |
Il provvedimento è stato adottato il 29 febbraio, revisionando la prima versione del 10 luglio 2019 che era stata messa in consultazione per recepire commenti ed indicazioni da parte degli addetti ai lavori. E’ possibile consultare a questo indirizzo la versione inglese del provvedimento aggiornato.
Le linee guida si collocano in un contesto normativo piuttosto strutturato in tema di protezione dei dati tramite sistemi di gestione immagini, che comprende il Regolamento UE 2016/679 (RGPD), il D. Lgs. 196/2003, il provvedimento del Garante per la Protezione dei Dati Personali del 2010 sulla videosorveglianza e l’attuale provvedimento dell’autorità europea.
Le linee guida dell’EDPB sulla videosorveglianza non vanno ad abrogare il provvedimento del 2010 del Garante, che deve quindi essere considerato un’integrazione delle stesse: il contesto normativo in ambito privacy prevede che tutti i provvedimenti del Garante mantengano la loro validità ad esclusione delle parti in cui contravvengano la normativa europea.
Pertanto, l’applicazione della norma deve partire nello specifico dalle Linee Guida dell’EDPB ed essere integrata dal provvedimento del Garante del 2010, soprattutto nei casi specifici adottati dal provvedimento.
Le Linee Guida basano la legittimità di un sistema di videosorveglianza sull’accountability, che a sua volta è una delle colonne portanti del Regolamento UE 2016/679: ogni decisione in tema di trattamento deve essere specificamente ponderata e documentata. Ed infatti, all’art. 3 (“Liceità del trattamento”) è specificamente espresso:
Prima dell’uso, le finalità del trattamento devono essere specificate in dettaglio (articolo 5, paragrafo 1, lettera b)). La videosorveglianza può servire a vari scopi, ad es. sostenere la protezione della proprietà e di altri beni, sostenere la protezione della vita e dell’integrità fisica delle persone, raccogliere prove per rivendicazioni civili. Questi scopi di monitoraggio devono essere documentati per iscritto (articolo 5, paragrafo 2) e devono essere specificati per ogni telecamera di sorveglianza in uso. Le telecamere utilizzate per lo stesso scopo da un singolo responsabile del trattamento possono essere documentate insieme. Inoltre gli interessati devono essere informati delle finalità del trattamento ai sensi dell’articolo 13 (vedere la sezione 7, Trasparenza e obblighi di informazione). La videosorveglianza basata sul mero scopo di “sicurezza” o “per la propria sicurezza” non è sufficientemente specifica (articolo 5, paragrafo 1, lettera b)). È inoltre contraria al principio secondo cui i dati personali devono essere trattati in modo lecito, equo e un modo trasparente in relazione all’interessato (cfr. l’articolo 5, paragrafo 1, lettera a)).
Questo articolo prospetta l’adozione di una sorta di “documento delle scelte”, un adempimento previsto dal precedente provvedimento sulla videosorveglianza del 2004 dell’Autorità Garante della Privacy e non ripreso nel provvedimento del 2010. Adesso, con l’adozione delle linee guida, la necessità di documentare preventivamente finalità e modalità del trattamento riprende forma e si allinea con le prescrizioni del RGPD.
Riguardo alle tempistiche previste per la conservazione, l’art. 8 delle linee guida fornisce delle indicazioni e non dei riferimenti precisi, prevedendo dei tempi plausibili necessari per poter visualizzare le immagini in caso di necessità. In particolare, “più è lungo il periodo di conservazione impostato (in particolare quando oltre le 72 ore), più devono essere fornite argomentazioni sulla legittimità dello scopo e sulla necessità di conservazione”. Un’altra indicazione, quindi, che spinge a documentare le modalità del trattamento. Per quanto riguarda la registrazioni per finalità di sicurezza per le PA, fino a prova contraria resta valido il tempo di conservazione di una settimana previsto dal provvedimento del Garante Privacy del 2010 (3.4).
Un’altra indicazione interessante contenuta nelle linee guida è l’informativa semplificata: l’art. 7 par 1 prevede un’informazione di primo livello (segnale di avvertimento) più strutturata rispetto ai cartelli sulla videosorveglianza previsti dal provvedimento del Garante Privacy del 2010. L’informativa semplificata deve contenere, oltre ai dati di contatto del Titolare, anche quelli del Responsabile Protezione Dati, le finalità del trattamento e un breve richiamo ai diritti dell’interessato. Questo è l’esempio grafico riportato sulle linee guida:
E’ molto interessante notare la parte in basso a sinistra: l’informativa dovrebbe rimandare ad un’informativa estesa, ad esempio tramite un codice QR.
Dal punto di vista organizzativo, diventa utile pensare ad un’informativa estesa pubblicata sul sito internet a cui punti il codice QR riportato sull’informativa breve. L’indirizzo dell’informativa estesa dovrà essere sempre fisso, in modo da non dover modificare il link previsto nell’informativa breve. I contenuti della pagina “statica” poi potranno essere modificati secondo necessità.
Sempre in termini di rimandi, visto che il Responsabile Protezione Dati (RPD) può cambiare, onde evitare di rifare la cartellonisitica ad ogni cambio di RPD conviene riportare dei riferimenti di contatto associati al ruolo e non al soggetto che lo ricopre in quel momento (es email: rpd@xxxx.it).
I titolari che ricorrono a SI.net come Responsabile Protezione Dati possono scaricare una traccia da personalizzare dell’informativa estesa e dell’informativa breve nella sezione dedicata alla videosorveglianza (protetta con la medesima password utilizzata nelle altre sezioni protette).
_______________________________________________________
Per informazioni sui servizi di information technology offerti da SI.net per accompagnare aziende private ed enti pubblici nelle continue sfide legate all’innovazione tecnologica, scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter, Facebook, YouTube e LinkedIn
