Videosorveglianza e valutazione di impatto sulla protezione dei dati

A distanza di poco più di 10 anni dal provvedimento generale dell’8 aprile 2010, il 5 dicembre 2020 il Garante per la protezione dei dati personali (il “Garante” o “Autorità”) ha pubblicato le FAQ in materia di videosorveglianza, dove emerge la centralità del principio cardine del Regolamento UE n. 2016/679 (“GDPR”), il principio c.d. di responsabilizzazione (o accountability), unitamente alla valutazione del rischio.
In tale contesto, l’Autorità ricorda che è il titolare del trattamento a dover verificare, di volta in volta, se e in che misura, al ricorrere delle condizioni che sono in grado di determinare la sussistenza di un rischio elevato per i diritti e le libertà delle persone fisiche, si inneschi l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (artt. 35 e 36 del GDPR).

Le FAQ relative al tema della videosorveglianza sono state sviluppate partendo dalle risposte fornite dall’Autorità a reclami, segnalazioni e quesiti ricevuti nel tempo, e tengono conto anche delle recenti Linee guida 3/2019, sul trattamento dei dati personali attraverso dispositivi video, pubblicate il 10 luglio 2019 e adottate il 29 gennaio 2020 dal Comitato europeo per la protezione dei dati (EDPB) nonché del provvedimento dell’11 ottobre 2018 concernente l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del GDPR.

Riguardo ai presupposti legittimanti l’installazione dei sistemi di videosorveglianza, il Garante chiarisce all’interno delle FAQ che non è prevista alcuna autorizzazione dell’Autorità stessa prodromica e necessaria all’installazione di tali sistemi.
Tuttavia, alla luce dei principi di accountability, l’Autorità ricorda altresì come sia necessario, in ogni caso, un preventivo e concreto scrutinio del titolare del trattamento ai sensi degli articoli 35 e 36 GDPR, per valutare se e in che misura sussista una probabilità di rischio elevato per i diritti e le libertà degli interessati a fronte del trattamento dei loro dati personali per il tramite di sistemi di videosorveglianza.
È necessario, pertanto, valutare in concreto il rischio sotteso al trattamento, considerandone tutte le variabili del caso, come ad esempio la natura, l’oggetto, il contesto del trattamento e le finalità che si intendono perseguire, oltre che lo stato dell’arte delle misure tecniche e organizzative approntate dal titolare.

Ad una lettura combinata delle fonti citate, di seguito si individuano alcune ipotesi di trattamento di dati personali tramite sistemi di videosorveglianza per parrebbe necessario procedere a una valutazione d’impatto:

  1. il trattamento consiste nella sorveglianza sistematica di una zona accessibile al pubblico su larga scala: ad esempio, i sistemi di videosorveglianza implementati su autostrade e porti nonché in luoghi aperti al pubblico e con un’alta densità di frequentazione, come le università e gli ospedali
  2. il titolare intende trattare categorie particolari di dati personali su larga scala oppure il sistema di videosorveglianza presuppone anche il trattamento di dati biometrici (nei casi, ad esempio, delle c.d. “sistemi intelligenti”): sul punto occorre valutare le modalità di raccolta tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
    trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati e/o lo svolgimento di attività predittive;
    trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, soprattutto laddove si acceda a banche dati contenenti informazioni personali relative a condanne penali e a reati di cui all’art. 10 GDPR
  3. il trattamento comporta lo scambio tra diversi titolari di dati personali su larga scala con modalità telematiche: si assiste con sempre maggior frequenza alla previsione di sistemi di videosorveglianza definiti e cogestiti da più titolari del trattamento in zone geografiche attigue o con finalità differenti;
    nei trattamenti non occasionali di dati relativi a soggetti vulnerabili come minori, disabili, anziani, infermi di mente e pazienti: in via esemplificativa e non esaustiva, le strutture sanitarie, scolastiche e le RSA in alcuni casi potrebbero essere obbligate ad effettuare valutazioni di impatto in merito ai propri sistemi di videosorveglianza
  4. infine, laddove il trattamento sia effettuato attraverso l’uso di tecnologie innovative (e.g., sistemi intelligenti capaci di analizzare ed elaborare le immagini raccolte, come nel caso della rilevazione automatica, segnalazione ed eventuale registrazione di comportamenti o eventi anomali).

In conclusione, date le finalità che tipicamente si intende perseguire con l’installazione di un sistema di videosorveglianza – e.g., tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione di incendi, sicurezza del lavoro, individuazione, prevenzione e controllo di reati, raccolta di elementi di prova, identificazione biometrica degli individui –, in determinati casi e a seconda dell’oggetto, del contesto e delle modalità di trattamento, nonché della tipologia di dati trattati, l’installazione di un sistema di videosorveglianza richiederebbe una preventiva valutazione d’impatto sulla protezione dei dati.

È pertanto obbligo del titolare, in simili casi, effettuare un vaglio di legittimità del trattamento (anche) ai sensi degli articoli 35 e 36 GDPR.
A tal fine, l’implementazione di checklist di verifica e rendicontazione interna potrebbe di fatto rappresentare uno strumento utile per raccogliere e documentare le valutazioni effettuate dal titolare del trattamento in merito al rischio specifico che possa derivare dall’uso dei sistemi di videosorveglianza.

Condividi

Condividi

Foto del docente D'Ottavio Adriano

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche