Con il provvedimento del 5 dicembre 2020. il Garante Privacy ha aggiornato le Linee Guida in tema di videosorveglianza, in ragione delle nuove previsioni introdotte dal Regolamento 2016/679 e delle Linee guida adottate dal Comitato europeo per la protezione dei dati (EDPB), ma anche delle segnalazioni ricevuti dall’Ufficio.
Il Garante ha confermato l’impianto normativo di base (principi di minimizzazione, pertinenza e non eccedenza) ma in ottica GDPR, tenendo conto del contesto e delle finalità perseguite. Ciò sta a significare che occorre rispettare il principio di responsabilizzazione che impone al titolare del trattamento (azienda, pubblica amministrazione, professionista, condominio) di valutarne liceità e proporzionalità. Proprio per tale ragione, non è prevista alcuna autorizzazione da parte del Garante per installare tali sistemi: la responsabilità è in capo al titolare del trattamento.
Avviso di videosorveglianza
La c.d. informativa semplificata di accesso, cioè la cartellonistica da utilizzare per comunicare alle persone che stanno entrando in un luogo soggetto a videosorveglianza, è stata innovata prendendo come modello quello proposto dal Garante Europeo.
Non è necessario collocare cartelli vicino ad ogni telecamera o pubblicarne la mappa di collocazione ma l’interessato deve comunque poter capire quale zona sia coperta da una telecamera.
Resta anche sempre obbligatorio redigere un’informativa completa, nonché predisporre tutte le opportune politiche ed istruzioni interne per l’utilizzo del sistema di videosorveglianza. A tal proposito, è disponibile un documento in pdf redatto dal Garante, che riporta le FAQ del caso.
Regole per l’uso di telecamere
- In via generale, è obbligatoria l’esecuzione di una valutazione di impatto. Nel contesto lavorativo, inoltre, vi è la necessità a seconda dei casi di un accordo sindacale o di autorizzazione dell’Ispettorato del Lavoro.
- Salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. I dati personali dovrebbero essere cancellati dopo pochi giorni (per esempio 24 ore per una piccola realtà). In ogni caso, quanto più prolungato è il periodo di conservazione, tanto più argomentata deve essere l’analisi di legittimità.
- Possibile utilizzare un sistema di vds per trattare categorie particolari di dati, ad esempio nel contesto medico-sanitario. Come un ospedale che installa una videocamera per monitorare le condizioni di salute di un paziente: il trattamento è consentito se risulta applicabile una delle eccezioni di cui all’art. 9 del Regolamento. Infine, il trattamento di categorie particolari di dati richiede una vigilanza rafforzata e continua su taluni obblighi, ad esempio si richiede un elevato livello di sicurezza e una valutazione d’impatto sulla protezione dei dati.
=> GDPR e videosorveglianza
Riassumendo
Per una corretta gestione di un impianto di videosorveglianza sarà necessario tenere in debito conto:
- le nuove FAQ del Garante Privacy italiano e le vecchie Linee guida 2010, valutando le previsioni ancora vigenti;
- le Linee guida 3/2019 del Garante Europeo sul trattamento dei dati personali attraverso dispositivi video;
- lo Statuto dei Lavoratori;
- il GDPR, in particolare per l’analisi del rischio;
- il provvedimento n. 467/2018 (in particolare l’allegato) sull’esecuzione della DPIA;
- le leggi speciali (per es. D.L. 23/02/2009, n. 11 che si occupa di videosorveglianza nei Comuni).
Insomma, attenzione a tutti gli aspetti: installare un impianto di videosorveglianza (soprattutto in ambito aziendale) non riguarda solo aspetti meramente tecnici.
_________