«Un impianto d’allarme con diversi sensori, che permette di capire se ci sono persone in casa e in quali stanze si trovano, dev’essere valutato anche per quanto riguarda il trattamento dei dati personali?», chiede un lettore di Sicurezza.
Il panorama tecnologico attuale, in continua evoluzione, consta anche di sistemi d’allarme basati su sensori, in grado di monitorare costantemente un ambiente e identificare le attività che si svolgono all’interno e all’esterno delle abitazioni. È essenziale valutare le tipologie di dati acquisiti e comprendere se il trattamento nel caso specifico rientra tra quelli individuati dal Regolamento generale sulla protezione dei dati (GDPR) 2016/679.
Nel caso di sistemi d’allarme basati su sensori, il Regolamento entra in gioco nel momento in cui sussiste la possibilità - anche solo teorica - di individuare e identificare il soggetto che sta svolgendo determinate attività, (incluso l’accesso all’abitazione); devono essere adottati i conseguenti adempimenti dal punto di vista formale.
Il GDPR prevede condizioni di liceità e trasparenza nella gestione dei dati. Ne consegue che, nell’informativa privacy allegata al contratto di installazione/manutenzione, dovrà essere chiaramente indicata la possibilità di venire informati, attraverso l’analisi dei dati rilevati dai sensori, sulla presenza di persone all’interno dell’abitazione, sui loro movimenti tra le stanze e anche sulle loro attività materiali. Sempre più di frequente, infatti, i sistemi d’allarme sono integrati da sistemi di domotica in grado di verificare se sono accesi altri dispositivi (televisione, climatizzatore, forno o lavatrice ecc.) che connotano attività umane.
I sensori di umidità e temperatura, oltre a prevenire infiltrazioni e incendi, possono essere indicativi dello svolgimento di attività sportive o di preparazione del cibo in una stanza, mentre l’accensione della smart TV e del climatizzatore lasciano presumere che qualcuno stia vedendo un film in uno dei locali adibiti a tale scopo.
Teoricamente, se l’utente sblocca l’impianto d’allarme e attiva l’impianto di domotica con un chip RFID, assegnato al singolo individuo, è possibile identificarlo puntualmente. Analogamente, è possibile risalire alla sua identità tramite il sistema di videosorveglianza interno o esterno. Questo vale anche e soprattutto per gli uffici e le realtà produttive, nelle quali le attività e la posizione dei dipendenti possono oggi essere agevolmente rilevate tramite vari sensori, con la possibilità di impattare con l’art.4 della L. 300/1970 e il divieto di controllo a distanza del lavoratore.
Occorre quindi, anche durante l’installazione di un impianto d’allarme relativamente complesso, eseguire una valutazione dei rischi e degli impatti che incidono sui diritti e sulle libertà degli interessati, che devono essere informati delle potenzialità dei dispositivi. Si potrebbero altrimenti creare problemi, per esempio, per il datore di lavoro (anche nell’ipotesi in cui costui ignorasse l’esistenza di tali funzioni “significative”), poiché eventuali sanzioni colpirebbero l’azienda sulla base degli accertamenti effettuati dall’autorità sul concreto funzionamento degli impianti e non su quello presunto.