Lo scorso 5 dicembre, l’Autorità Garante per la protezione dei dati personali (l’“Autorità”) ha messo a punto delle FAQ (“Frequently Asked Questions”) riguardanti i trattamenti di dati personali effettuati da soggetti pubblici e privati mediante l’uso di impianti di videosorveglianza.
I chiarimenti dell’Autorità tengono conto di quanto introdotto dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (c.d. “GDPR”) e dalle Linee Guida adottate dal Comitato Europeo per la protezione dei dati (“EDPB”) sul punto.
Le FAQ chiariscono, innanzitutto, che (i) i trattamenti svolti mediante l’uso di sistemi di videosorveglianza devono essere effettuati nel rispetto del principio di minimizzazione, ciò in relazione alla scelta delle modalità di ripresa e alla dislocazione dell’impianto, e (ii) i dati trattati devono essere pertinenti e non eccedenti rispetto alle finalità perseguite.
Sulla base del principio di accountability (c.d. “principio di responsabilizzazione”), è compito di ciascun Titolare del trattamento effettuare delle valutazioni circa la liceità e la proporzionalità del trattamento, tenendo conto del contesto e delle relative finalità, nonché del rischio per i diritti e le libertà degli interessati.
A parere dell’Autorità, ciascun Titolare del trattamento deve valutare se sussistono i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati (“DPIA”) prima di iniziare il trattamento.
In merito all’informativa da fornire agli interessati, le FAQ precisano che può essere adottato il modello semplificato (c.d. cartello) messo a punto dall’EDPB e diffuso con le sue Linee Guida. Il cartello deve contenere (i) i dati di contatto del Titolare del Trattamento e, qualora presente, del Responsabile della protezione dei dati (DPO); (ii) il periodo di conservazione delle informazioni raccolte nonché (iii) le finalità dei trattamenti effettuati. Il cartello deve essere collocato prima dell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera, e deve rinviare ad una informativa completa recante tutte le informazioni di cui all’articolo 13 del GDPR, comprese le indicazioni circa le modalità di presa visione.
L’Autorità ribadisce, altresì, che le immagini registrate dovrebbero essere cancellate dopo pochi giorni (24/48 ore) e che quanto più prolungato è il periodo di conservazione previsto, maggiormente argomentata dovrà essere l’analisi sulla legittimità dello scopo e sulla effettiva necessità di una conservazione più lunga.
Infine, viene ribadito che nei luoghi di lavoro è possibile installare sistemi di videosorveglianza esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nel rispetto delle garanzie previste dall’ articolo 4 della legge n. 300/1970.
◊◊◊◊
In conclusione, le FAQ, disponibili sul sito dell’Autorità (www.garanteprivacy.it), contengono indicazioni sui requisiti necessari affinché il trattamento di dati personali effettuato attraverso l’utilizzo di sistemi di videosorveglianza sia lecito.
Le FAQ superano, seppur parzialmente, il precedente “Provvedimento in materia di videosorveglianza dell’8 aprile 2010”, adeguando le previsioni ivi contenute a quanto introdotto dal GDPR e dalle Linee Guida dell’EDPB.
Altri insights correlati:
EDPB: versione preliminare delle linee guida n. 3/2019 sulla videosorveglianza
