Privacy by design e by default nella videosorveglianza: quali misure?

L’art. 25 del Regolamento generale sulla protezione dei dati (noto anche come GDPR) individua i principi della privacy by design e by default, la cui osservanza è fondamentale per dimostrare la conformità alla normativa in materia di protezione dei dati personali.

di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy

In materia di Privacy by design, secondo quanto stabilito dall’art. 25, comma 1, del GDPR, il titolare del trattamento, sia al momento di determinare i mezzi del trattamento che all’atto del trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati. 

Privacy by design

Il titolare deve prendere in considerazione i profili privacy e adottare le necessarie misure sia al momento di determinare i mezzi del trattamento che all’atto del trattamento stesso. Occorre cioè considerare il principio di privacy by design nella fase di pianificazione (scegliendo un prodotto e progettando il sistema con misure adeguate a garantire la protezione dei dati e il rispetto della normativa di settore) e poi durante il trattamento effettuato (verificando costantemente l’efficacia delle misure e delle garanzie adottate, sia con riferimento ai profili tecnici che a quelli organizzativi).

Quali misure?

Per determinare ed attuare le misure tecniche e organizzative adeguate ed efficaci per attuare il principio di privacy by design occorre considerare i criteri indicati nello stesso art. 25 del GDPR, ossia:

• lo stato dell’arte (quindi i progressi compiuti dalla tecnologia disponibile sul mercato)

• i costi di attuazione (riferito alle risorse in generale – compresi il tempo e le risorse umane)

• le specifiche del trattamento (natura, ambito di applicazione, contesto, finalità)

•i rischi per i diritti e le libertà delle persone fisiche (che deriverebbero dal trattamento).

Solo considerando tali criteri è possibile adottare le misure adeguate ad attuare in modo efficace i principi di protezione dei dati e a integrare, nel trattamento effettuato tramite la videosorveglianza, le necessarie garanzie per soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.

Privacy by default 

L’art. 25 del GDPR, al comma 2, stabilisce che il titolare debba mettere in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. In base al principio della privacy by default, le misure da adottare sono essenzialmente legate al principio di minimizzazione, che impone al titolare di trattare i soli dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati.

Quali misure?

In concreto, adottare, nel contesto della videosorveglianza, misure che, per impostazione predefinita, consentano di adottare i soli dati necessari per le finalità perseguite significa, ad esempio: 

1) limitare la ripresa (e dunque l’acquisizione dei dati) alle sole aree di interesse; 

2) gestire gli accessi ai dati in modo che gli stessi siano concessi ai soli soggetti autorizzati, configurando, in presenza di differenti competenze specificatamente attribuite ai singoli operatori, diversi livelli di visibilità e trattamento delle immagini; 

3) escludere, di default, l’attivazione di funzioni (come, ad esempio, la captazione audio) non necessarie per le finalità perseguite; 

4) impostare la cancellazione automatica delle immagini allo scadere del termine definito in fase di impostazione del sistema.

Chi deve osservare questi principi?

I principi della privacy by design e by default devono essere osservati da tutti i titolari del trattamento (dalle piccole imprese alle multinazionali, dal libero professionista alla PA). Nell’attuazione di tali principi, come raccomandato dal Comitato europeo per la protezione dei dati nelle linee guida 4/2019 sull’art. 25, i titolari sono chiamati a scegliere produttori o responsabili che offrano hardware, software, servizi o sistemi in grado di consentire o facilitare l’adempimento degli obblighi derivanti dai principi di privacy by design e by default e a richiedere a costoro di dimostrare la conformità e l’efficacia delle tecnologie e misure proposte.

Ecco allora perché anche i responsabili del trattamento, i progettisti e i produttori di sistemi di videosorveglianza, sebbene non siano direttamente destinatari delle disposizioni di cui all’art. 25 del GDPR, rappresentano figure essenziali ai fini dell’applicazione dei principi di privacy by design e by default.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.