Il provvedimento generale del garante dell’8 aprile 2010 presenta molte novità rispetto al precedente provvedimento del 29 aprile 2004 e obbliga a un check up anche chi ha già operativo un sistema di riprese.
Vediamo che cosa deve fare una impresa per essere in regola:
1)entro il 29 aprile 2011: rendere l'informativa visibile anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
2)entro il 29 ottobre 2010: sottoporre i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali degli interessati, alla verifica preliminare;
3)entro il 29 aprile 2011: adottare le misure di sicurezza a protezione dei dati registrati tramite impianti di videosorveglianza.
L’informativa può essere sintetica e può essere realizzata mediante un cartello contenente un disegno come predisposto dal garante.
Si prevede un disegno diverso nel caso in cui le telecamere siano collegate con le forze di polizia; si prevede una informativa in due tempi e cioè cartello con informatica «minima» e informativa completa disponibile attraverso altri canali; si prevede l’obbligo di rendere visibili i cartelli anche in orario notturno.
La violazione delle disposizioni riguardanti l’informativa, consistente nella sua omissione o inidoneità è punita con la sanzione amministrativa prevista dall’art. 161 Codice della privacy (da 6.000,00 euro a 36.000,00 euro).
La verifica preliminare è effettuata dal garante e deve essere chiesta dall’impresa prima di installare le telecamere.
Nella richiesta di verifica preliminare si devono spiegare le finalità del sistema e le caratteristiche tecniche dello stesso.
Il garante descrive la casistica, in cui è obbligatoria la fase della verifica preliminare, in maniera analitica. Si specifica che la verifica è obbligatoria per la videosorveglianza «intelligente» che si attiva in presenza di condotte anomale, per quella che abbina dati personali diversi (per esempio, immagine e dati biometrici), per la videosorveglianza integrata, per quella che presenta maggiori profili di rischio per la riservatezza delle persone e per i casi in cui si prevede un termine di conservazione delle immagini superiore a sette giorni.
L’impresa deve nominare incaricati e responsabili del trattamento.
Il provvedimento del 2010 conferma che le persone abilitate ad accedere ai locali e ad usare i sistemi di videosorveglianza devono costituire un numero delimitato di soggetti, soprattutto quando il titolare si avvale di collaboratori esterni e che la designazione deve avvenire per iscritto.
Mediante la notificazione telematica al garante l’impresa dettaglia le caratteristiche del trattamento effettuato e si fa «censire» dal garante nel registro dei trattamenti.
Non vanno notificati i trattamenti di dati effettuati per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio ancorché relativi a comportamenti illeciti o fraudolenti, quando immagini o suoni raccolti siano conservati temporaneamente.
La conservazione deve essere limitata a poche ore o, al massimo, alle 24 ore successive alla rilevazione.
Si può allungare il termine in relazione a festività o chiusura di uffici o esercizi, e nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria.
Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell’attività svolta dal titolare del trattamento (per esempio, per alcuni luoghi come le banche può risultare giustificata l’esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare la settimana. Scaduto il termine la cancellazione delle immagini deve essere automatica, anche mediante sovraregistrazione, con modalità tali da rendere non riutilizzabili i dati cancellati.