Il nostro avvocato Gianluca Pomante, esperto in Data Protection, risponde alle lettere dei nostri lettori. Questo mese, il punto su videosorveglianza, perimetri esterni e DPIA, ossia la valutazione di impatto per la privacy
PERIMETRI ESTERNI
La videosorveglianza deve essere considerata un trattamento di dati personali anche se lo scopo è riprendere semplicemente dei perimetri esterni?
U. P., Trieste
La valutazione di un trattamento va sempre effettuata sulla base della finalità cui è destinato. La videosorveglianza è solitamente considerata un trattamento di dati personali perché la finalità delle riprese, anche nell’ipotesi di perimetri esterni, è quella di riuscire a riconoscere i soggetti che si sono resi responsabili di eventuali illeciti (furto, danneggiamento, ecc.) o di individuare comportamenti non corretti a tutela della salute e dei lavoratori. Si può eccepire che, per esigenze organizzative e produttive, l’impianto di videosorveglianza potrebbe inquadrare solo linee di produzione ma è difficile ipotizzare che nessun individuo entri mai nel raggio d’azione delle telecamere.
Per questo motivo il trattamento deve essere valutato alla stregua di qualsiasi altra gestione di dati personali e occorre, affinché sia conforme al GDPR, realizzare tutta l’attività di analisi e messa in sicurezza prevista dal Regolamento. È necessario, quindi, censire il trattamento e indicarlo nell’apposito registro, se attivato, valutare chi sono i soggetti autorizzati al trattamento dei dati, chi ne è referente all’interno dell’azienda e se vi sono dei responsabili ex art. 28, qualora l’impianto sia stato affidato in gestione e/o manutenzione ad una realtà esterna.
Occorrerà individuare i soggetti interessati dal trattamento, cioè quelli che potrebbero entrare, anche accidentalmente, nel raggio d’azione delle telecamere per le ordinarie attività quotidiane, adottare e gestire le misure di sicurezza idonee ad evitare che i dati perdano le caratteristiche di riservatezza, integrità e disponibilità, valutare eventuali vulnerabilità del sistema e adottare le opportune contromisure.
A tutti gli effetti, quindi, il trattamento relativo alla videosorveglianza va gestito come qualsiasi altro trattamento in ambito aziendale: l’Autorità Garante per la Tutela dei Dati Personali ha infatti dato precise disposizioni e sono state anche pubblicate le linee guida del Comitato Europeo per la Protezione dei Dati. Bisogna dunque attenersi anche a tali specifiche istruzioni. Da rammentare, infine, l’apposizione di cartelli informativi conformi ai modelli proposti, affinché siano visibili prima che il soggetto interessato entri nel raggio d’azione della telecamera, la visibilità degli stessi anche nelle ore notturne, la conservazione delle registrazioni per un massimo di 24 ore (salvo che non ci siano altre esigenze connesse ad una maggiore durata, che dovranno essere adeguatamente motivate e documentate) e l’uso di credenziali di accesso diverse per utilizzatori e manutentori del sistema di videosorveglianza.
VALUTAZIONE D'IMPATTO
Il sistema di videosorveglianza deve essere assoggettato a valutazione di impatto per la privacy (DPIA) in base al nuovo Regolamento Europeo?
E. T., Torino
La valutazione d’impatto è obbligatoria soltanto per i trattamenti che presentano rischi specifici per i diritti e le libertà degli interessati, che l’articolo 35 del Regolamento Europeo 679/2016 individua in trattamenti che riguardano valutazioni di aspetti personali, inclusa la profilazione, il monitoraggio sistematico e su larga scala di una zona accessibile al pubblico e il trattamento su larga scala di dati particolari o penali.
Occorre poi tener conto anche del provvedimento numero 467 dell’11 ottobre 2018, che ha individuato ulteriori e specifiche tipologie di trattamento che devono essere assoggettate alla valutazione di impatto: profilazione o scoring; trattamenti automatici con effetti giuridici; monitoraggio sistematico degli interessati; trattamento di dati estremamente personali; controllo a distanza dei dipendenti; trattamento riguardante soggetti vulnerabili; trattamenti con tecnologie innovative; scambio tra titolari di grandi database; interconnessione, raffronto e combinazione di informazioni; trattamento di dati particolari o penali interconnessi con altri dati; trattamento di dati biometrici o genetici.
È opportuno chiarire che la valutazione di impatto deve essere realizzata focalizzando l’attenzione non sugli interessi dell’azienda ma sui diritti e le libertà degli interessati che potrebbero essere minacciati dal trattamento dei dati ed è obbligatoria soltanto nel caso vengano soddisfatti i requisiti elencati dai due testi già citati
È quindi opportuno, nel momento in cui si inizia un trattamento o si deve analizzare per la prima volta un trattamento già esistente presso l’azienda, effettuare una pre-valutazione dei requisiti, in assenza dei quali si potrà accertare (e documentare, in vista di eventuali controlli) che la valutazione di impatto non è necessaria. In tutti gli altri casi si dovrà eseguire la procedura descritta dall’art. 35 del Regolamento Europeo 679/2016 e dalle linee guida pubblicate dal Comitato Europeo per la Protezione dei Dati, che forniscono importanti elementi di indirizzo e riflessione.
Sul sito dell’Autorità Garante per la Tutela dei Dati Personali, peraltro, sono ormai presenti molte risposte ai quesiti formulati per comprendere meglio la portata delle norme e delle linee guida, e anche un collegamento al sito dell’Autorità Francese che ha sviluppato un software che semplifica l’esecuzione della DPIA.
