Videosorveglianza, privacy e soluzioni tecnologiche: criteri normativi per l’installatore
La continua evoluzione della tecnologia disponibile in tema di videosorveglianza unitamente alla crescente diffusione di detti impianti, rendono la materia piuttosto variegata e complessa ma nel contempo rappresentano un continuo stimolo per gli operatori al fine di riuscire a conciliare soluzioni utili e disciplina legale – specialmente in tema di privacy. Di seguito parleremo degli elementi fondamentali che caratterizzano un impianto di videosorveglianza sotto il profilo legale, ovviamente, soffermandoci con particolare attenzione sul sempre attuale tema della Privacy.
Prendiamo le mosse da un punto fondamentale: sebbene non utilizzata in quanto tale in termini di diritto, l’espressione “privacy” viene adoperata come riferimento ad un ampio compendio di disposizioni normative che – sebbene abbiano come fattore comune il diritto alla riservatezza – trovano origine in fonti normative differenti e si rivolgono alla tutela di situazioni anche notevolmente diverse tra loro. Tale termine, infatti, viene a spaziare in numerosi campi: dalla tutela dei dati personali alla protezione della vita privata sotto il profilo penale, dal diritto civilistico alla riservatezza all’utilizzo della biometria.
Risulta di palmare evidenza che la videosorveglianza può assumere specifica rilevanza in tutti questi contesti, posto che la sua caratteristica appare essere proprio quella di riprendere, trasmettere e conservare immagini di persone fisiche mentre transitano ovvero si soffermano nel raggio d’azione della telecamera. Un aspetto oggettivo questo, che impone all’installatore di procedere con la corretta competenza e cautela al fine di evitare di realizzare impianti in contratto con le disposizioni normative, specialmente alla luce della particolare attenzione che viene posta su questo tema sia dai privati che dalle Autorità pubbliche competenti in materia.
Ricordiamolo: l’immagine di un soggetto costituisce indubbiamente un dato personale (cfr. ex plurimis, Provvedimento del Garante n. 122 del 13 aprile 2023) e pertanto procedere al relativo trattamento mediante un sistema di videosorveglianza rappresenta un’attività oggetto della disciplina contenuta nel Reg. UE 2016/679 “GDPR” (nonché – per quanto applicabile – del DLgs. 196/2003, “Codice della Privacy”). E proprio con riferimento a dette disposizioni normative procederemo nel nostro approfondimento.
Occorre qui rammentare un principio cardine della data protection: ogni trattamento di dati personali deve essere legittimo ed avvenire in funzione di una base giuridica precisa e determinata. Introduciamo quindi sin da subito il principio di accountability (o “responsabilizzazione”) di cui all’art. 5 GDPR, in base al quale spetta al titolare del trattamento valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche – tanto è vero che l’installazione di sistemi di videosorveglianza pur dovendosi conformare al dettato normativo non richiede autorizzazione alcuna da parte del Garante.
Per stabilire l’effettiva liceità del trattamento che ci si appresta a porre in essere, sarà necessario confrontarsi con l’elenco tipico (vale a dire predeterminato ed esclusivo) presente all’art. 6(1) GDPR, che possiamo sinteticamente riassumere come segue: (a) l’interessato ha espresso il consenso, (b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte, (c) il trattamento è necessario per adempiere un obbligo legale, (d) il trattamento è necessario per interessi vitali, (e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico, (f) il trattamento è necessario per il perseguimento di un legittimo interesse a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
E proprio quest’ultima appare la base giuridica cui di regola si fa riferimento nell’installazione di un impianto di videosorveglianza, posto che lo scopo principale perseguito è la tutela della sicurezza di persone, beni e luoghi (ovviamente in specifiche ipotesi può trovare rilevanza anche la necessità di svolgere un compito di interesse pubblico di cui è investito il titolare del trattamento, mentre appare sostanzialmente residuale l’ipotesi del consenso dell’interessato). Posto che il legittimo interesse impone la previa verifica della reale sussistenza dello stesso, nel caso delle telecamere il rischio di criticità che si intende prevenire dovrà essere effettivo, come ad esempio l’effettiva presenza di precedenti eventi rilevanti ovvero la sussistenza situazioni di reale pericolo. E, una volta che il titolare ha valutato positivamente la reale sussistenza della valida base giuridica, dovrà procedere ad informarne gli interessati.
L’informativa
E’ noto che l’art. 13 GDPR in termini generali impone al titolare di fornire agli interessati informazioni piuttosto dettagliate in merito alla tipologia, finalità e modalità del trattamento dei loro dati personali.
Nel caso di un impianto di videosorveglianza, l’attuazione di questo principio necessita di alcuni accorgimenti che, tenendo conto delle peculiarità del contesto che sostanzialmente non rende possibile fornire un’informativa esaustiva prima dell’accesso alle aree sottoposte a monitoraggio, consentano comunque il raggiungimento dello scopo imposto dalla norma, possibilmente in modo quanto più agevole e completo. Innanzitutto, la presenza delle telecamere deve essere segnalata. Vogliamo rammentarlo anche in questa occasione: non è sufficiente che gli interessati siano comunque a conoscenza della presenza del sistema di videosorveglianza, ovvero che le telecamere siano posizionate in modo talmente evidente da renderle immediatamente riconoscibili in quanto tali. E’ richiesto che vi sia un apposito segnale posto nelle adiacenze dell’area sorvegliata e comunque visibile prima di entrare nella zona interessata nel quale potranno essere inserite anche le informazioni principali quali ad esempio il nome del titolare, le finalità del trattamento, i diritti dell’interessato, rendendo invece disponibili le informazioni ulteriori in un diverso documento, conoscibile mediante l’informativa semplificata e che sia comunque facilmente accessibile all’interessato. Sul punto si raccomanda attenzione nella scelta della cartellonistica, ad esempio evitando di utilizzare segnaletica con riferimenti normativi obsoleti o simili.
E’ opportuno rammentare che laddove tra i soggetti ripresi fossero presenti lavoratori dipendenti, a questi dovrà essere data adeguata ed ulteriore informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli in conformità alle disposizioni di settore, come previsto dalla normativa che ci accingiamo a riassumere in sintesi, come segue.
Videosorveglianza e lavoratori
Ai sensi dell’art. 4 dello Statuto dei Lavoratori, gli impianti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, e possono essere installati solo previo accordo sindacale ovvero autorizzazione dell’Ispettorato nazionale del lavoro.
Tali ultime condizioni, alternative tra loro, rappresentano un passaggio necessario per la legittimità del trattamento, ed in mancanza il datore di lavoro si espone al rischio di sanzioni anche di natura penale (cfr. art. 171 Codice Privacy).
Inoltre, è fondamentale tenere a mente che tra i trattamenti di dati personali che richiedono il previo svolgimento di una specifica valutazione di impatto (Data Protection Impact Assessment – DPIA) ai sensi dell’art. 34 GDPR per come identificati dal Garante nel proprio provvedimento n. 467 del 11 ottobre 2018, rientrano espressamente anche quelli effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici quali la videosorveglianza dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.
Biometria ed altre categorie di dati “particolari”
Il tema della videosorveglianza spesso viene associato a quello dell’utilizzo di soluzioni biometriche per l’identificazione di singoli soggetti. La materia è in continua evoluzione, e più volte sulle pagine di questo Giornale si è avuta occasione di trattarla con riferimento ad ipotesi specifiche (e pertanto rinviamo a tali contributi per eventuali approfondimenti). In questa sede ci basti rammentare che a fronte di soluzioni tecnologiche che consentono un sempre maggiore utilizzo di tale opzione, occorre comunque valutarne la liceità per ogni singolo caso alla luce della normativa in materia di privacy, anche per gestire correttamente la scelta della tipologia di prodotti da fornire al cliente finale – che in merito a tali profili dovrà essere debitamente informato.
Ma cosa intendiamo per “biometria” nel contesto normativo? La risposta è fornita dall’art. 4 GDPR, laddove tra le definizioni indica i dati biometrici quali “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Detta nozione viene poi ripresa nel successivo art. 9 GDPR, che include tra le categorie “particolari” di dati personali i dati biometrici “intesi a identificare in modo univoco una persona fisica”. Tale precisazione ha rilevanza fondamentale, posto che delimita il contesto di rilevanza normativa del dato biometrico: l’univocità dell’identificazione. La peculiarità dei rischi associabili al trattamento di simili dati risulta evidente anche sotto il profilo del rischio per i diritti e le libertà dell’interessato, e proprio in tal senso la normativa (con la relativa interpretazione) si fa maggiormente stringente: trattandosi di dati “particolari” meritevoli pertanto della specifica tutela di legge, il relativo trattamento è di regola vietato – restando consentito esclusivamente a livello di eccezione per come espressamente indicato nella norma. E questo con le necessarie implicazioni in termini di svolgimento di una DPIA (v. sopra) per valutare la possibilità di utilizzare mezzi meno intrusivi per raggiungere le medesime finalità, nonché accorgimenti tecnici da parte del titolare del trattamento (ad esempio per garantire la cancellazione di tutti i template intermedi realizzati per ogni risultato di match / non-match prima della generazione del template biometrico finale) e comunque mediante l’adozione di dispositivi che garantiscano un elevato livello di affidabilità in termini di protezione dell’integrità, disponibilità e confidenzialità dei dati trattati. Sul punto, è stato poi notato che spesso il consenso espresso si presenta quale base giuridica fondamentale per la maggior parte dei trattamenti di dati biometrici (il che rende il tutto ancora maggiormente complesso da attuare nel contesto lavorativo, ove il consenso del dipendente al trattamento dei dati di regola non rappresenta una solida base giuridica, posta la condizione di disparità rispetto al proprio datore di lavoro).
L’utilizzo di sistemi di videosorveglianza può inoltre includere il trattamento di altre categorie “particolari” di dati personali di cui all’art. 9 GDPR (sono tali i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona). Anche in questo caso è importante rammentare che il trattamento di simili dati può essere ammesso esclusivamente nelle ipotesi previste dalla legge – rammentando tuttavia che detto trattamento si configura solo nel caso in cui la videoripresa sia destinata a raccogliere e trattare esattamente tale tipologia di dati (ad esempio, il fatto che tra i vari soggetti ripresi dal sistema ve ne sia uno evidentemente invalido, non è di per se stesso sufficiente a costituire un trattamento di dati particolari, se la finalità della raccolta non ha rilevanza con tale informazione).
La conservazione
Ulteriore elemento fonte di potenziali criticità è il periodo di conservazione dei dati personali oggetto di ripresa – fattore questo che si manifesta di immediata rilevanza al momento del setting dei parametri dell’impianto di videosorveglianza. Per definire correttamente le tempistiche di conservazione delle registrazioni, occorre partire dalla premessa per cui tale attività è da ricollegarsi strettamente con le effettive finalità del trattamento perseguite dal titolare, e di conseguenza i dati raccolti non potranno essere archiviati per un periodo eccedente quello necessario per il perseguimento delle stesse – anche alla luce del principio di minimizzazione.
Sul punto specifico, il Garante italiano ha fornito alcune indicazioni di sintesi, rammentando che sebbene spetti al titolare del trattamento il compito di definire i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche (salvo eventuali previsioni normative che dispongano un periodo di conservazione determinato), generalmente è possibile individuare eventuali danni entro uno o due giorni e pertanto tenendo conto dei principi di minimizzazione dei dati e limitazione della conservazione, i dati personali dovrebbero essere cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici. Ovviamente a fronte di un periodo prolungato di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.
L’esempio classico di riferimento è quello del piccolo esercizio commerciale, per cui si ritiene sufficiente di regola un periodo di conservazione di 24 ore, prolungabile nei giorni di chiusura nei fine settimana o in periodi festivi più lunghi. E’ appena il caso di rammentare che comunque in casi specifici (e.g. richiesta dell’autorità giudiziaria o della polizia giudiziaria) potrà essere necessario (e legittimo) prolungare i tempi di conservazione delle immagini rispetto a quanto inizialmente definito dal titolare del trattamento.
Si noti che anche con riferimento alla conservazione, il trattamento dei dati personali mediante sistemi di videosorveglianza deve essere valutato secondo parametri oggettivi, per cui una conservazione ulteriore rispetto a quanto previsto anche se dovuta ad errore (e.g. nel settaggio della telecamera) potrebbe comunque comportare un trattamento illecito di dati, con una conseguente esposizione del titolare sotto il profilo sanzionatorio.
La comunicazione a terzi delle riprese
Le riprese operate dall’impianto di videosorveglianza di regola sono oggetto di trattamento da parte del solo titolare. Tuttavia non è escluso che vi possano essere casi in cui un terzo (persona fisica, giuridica, autorità pubblica…) estraneo all’organizzazione del titolare possa accedere ai dati personali oggetto del trattamento. In queste ipotesi occorre distinguere tra la “semplice” comunicazione (che si concretizzarsi nella trasmissione a soggetti specifici) e la diffusione (che si rivolge invece ad un numero indefinito di soggetti). Appare palese che per essere legittima tale attività esiga la sussistenza di una valida base giuridica, la cui valutazione dovrà tenere conto anche della corretta valutazione del contesto in cui avviene ed una verifica di compatibilità rispetto alle finalità per cui il dato era stato raccolto. Anche il ruolo del terzo destinatario dovrà essere oggetto di attenta indagine, posto che l’accesso alle immagini dovrà avvenire nel contesto di un preciso rapporto giuridico (e.g. un soggetto nominato responsabile del trattamento ex art. 28 GDPR, una pubblica autorità nel rispetto del contesto normativo applicabile).
La videosorveglianza “domestica”
Come noto, l’art.2 GDPR prevede il medesimo Regolamento non si applichi ai trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. E tra questi può rientrare anche l’installazione di un sistema di videosorveglianza finalizzato alla sicurezza della propria abitazione. Ovviamente l’esclusione dall’applicazione delle disposizioni del GDPR deve essere valutata con grande attenzione e caso per caso, e soprattutto questo non significa che la posizione giuridica del soggetto ripreso rimanga priva di tutela.
Innanzitutto, occorre predisporre il sistema in modo tale che l’utilizzo di questo non possa venire a configurare ipotesi di interferenze illecite nella vita privata (reato previsto dall’art. 615-bis c.p.), e pertanto si dovrà avere cura che l’angolo visuale delle riprese sia comunque limitato ai soli spazi di propria esclusiva pertinenza e sia esclusa ogni forma di ripresa relativa ad aree comuni (e.g. pianerottoli, scale, parti comuni delle autorimesse, cortili…) ovvero a zone di pertinenza di persone terze, come pure non si potranno riprendere aree pubbliche o di pubblico passaggio. Si noti che con riferimento a tali ipotesi il Garante ha ritenuto irrilevante il fatto che le videoriprese consentano o meno la registrazione delle immagini. Nel caso in cui fosse inevitabile per la conformazione dei luoghi riprendere parzialmente anche aree di terzi, sarà quindi opportuno attivare misure tecniche che consentano l’oscuramento delle porzioni non di esclusiva pertinenza del titolare.
E’ inoltre importante rammentare che laddove negli ambienti domestici avessero accesso collaboratori o dipendenti del titolare (e.g. personale di servizio) questi dovranno comunque essere informati dell’esistenza dell’impianto di videosorveglianza e delle finalità del relativo trattamento.
Infine, è evidente che tali riprese non dovranno essere finalizzate alla comunicazione ovvero alla diffusione: in caso contrario, l’esimente dell’utilizzo strettamente privato e personale delle immagini oggetto di trattamento potrebbe venire a cadere, con la conseguente riconducibilità della situazione specifica alla generale disciplina normativa in materia di trattamento dei dati personali.
Attenzione alla sicurezza!
Dulcis in fundo, il titolare del trattamento che decide di installare un sistema di videosorveglianza, dovrà avere particolare cura dei presìdi di sicurezza per evitare un utilizzo scorretto od un accesso illegittimo alle relative immagini. I criteri fondamentali in merito possono essere rinvenuti nelle disposizioni di cui agli artt. 25 e 32 GDPR. Il primo – dedicato alla data protection by default e by design – cristallizza il principio in base al quale il titolare mette in atto misure tecniche e organizzative adeguate per la protezione dei dati sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, e che siano anche idonee a garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento. Questo implica che dovranno essere adeguatamente protetti tutti i componenti del sistema in ogni fase della sua operatività, includendo quindi i trattamenti di dati in fase di raccolta (ripresa), transito (trasmissione), utilizzo ed archiviazione. Risulta di notevole rilevanza osservare che accanto ai presidi tecnici dovranno poi essere attuati quelli di natura organizzativa, identificando correttamente le responsabilità, i soggetti autorizzati al trattamento ed all’ accesso alle registrazioni (incluso il complesso tema della gestione delle credenziali), le finalità della videosorveglianza e gli utilizzi consentiti dei dati raccolti, modalità e durata dell’archiviazione, avendo poi un particolare occhio di riguardo – in considerazione della peculiare tipologia del trattamento – alla gestione degli incidenti ed alle procedure di recovery. Tali tematiche impongono riflessioni anche sulle scelte in termini di acquisto dell’impianto, laddove i requisiti di sicurezza garantiti dal fornitore acquistano rilevanza sotto il profilo dell’accountability, come ad esempio l’adozione di soluzioni che consentano la crittazione dei dati piuttosto che l’utilizzo di hardware e software idonei alla protezione da attacchi esterni.
31 ottobre 2023
