Videosorveglianza in cloud e trasferimento dei dati all’estero

Sul mercato esistono sistemi di videosorveglianza che consentono di gestire e archiviare i dati in cloud attraverso l’utilizzo in modo virtualizzato di applicativi, infrastrutture o piattaforme.  Chi intende avvalersi di un sistema di videosorveglianza in cloud, così come previsto per qualsiasi sistema che comporti un trattamento di dati personali, deve osservare quanto stabilito dalla normativa privacy di settore (Regolamento UE 2016/679 e D. lgs. 196/2003) e considerare, tra i vari aspetti, quello legato al possibile trasferimento dei dati personali all’estero.

di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy

In alcuni casi, infatti, il servizio cloud scelto può comportare il trasferimento dei dati in un Paese terzo e, come indicato dal nostro Garante privacy nel Vademecum del 2011 “Cloud computing: indicazioni per l’uso consapevole dei servizi”, l’utente, prima di caricare i dati “sulla nuvola” e di consentire il loro eventuale trasferimento in Paesi fuori dall’Unione europea, deve accertarsi che questo spostamento avvenga nel rispetto delle garanzie previste dalla normativa in tema di protezione dei dati personali.

Trasferimento di dati personali all’estero

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite una decisione della Commissione europea (art. 45 del Regolamento UE 2016/679). Le decisioni di adeguatezza ad oggi adottate sono disponibili sul sito del Garante privacy, per cui è possibile verificare autonomamente se il servizio che comporta il trasferimento di dati personali in un Paese estero sia possibile a fronte di una decisione di adeguatezza della Commissione.

In assenza di una tale decisione, l’art. 46 del Regolamento generale sulla protezione dei dati stabilisce che il trasferimento è consentito solo in presenza di garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati. Sulla base della citata disposizione, possono costituire garanzie adeguate

a) senza necessitare di autorizzazione da parte dell’autorità di controllo

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici

• le norme vincolanti d’impresa

• le clausole tipo 

• i codici di condotta 

• i meccanismi di certificazione;

b) previa autorizzazione dell’autorità di controllo

• le clausole contrattuali ad hoc 

• gli accordi amministrativi tra autorità o organismi pubblici. 

In assenza di ogni altro presupposto, infine, rimane possibile trasferire i dati personali in base ad alcune deroghe stabilite dall’art. 49 del Regolamento, che si applicano soltanto in situazioni specifiche, nella maggior parte dei casi riferite a trattamenti occasionali e non ripetitivi, e vanno interpretate in maniera restrittiva.

Cosa fare?

Chi adotta un sistema di videosorveglianza in cloud deve chiedersi se lo stesso comporti un trasferimento di dati all’estero. Nel caso in cui l’impiego del sistema determini un trasferimento extra UE, occorre accertare concretamente verso quale Paese avvenga il trasferimento e accertare che sussista una delle garanzie previste dal Regolamento generale sulla protezione dei dati. Solo in presenza di una delle garanzie individuate nel Regolamento, infatti, il trasferimento sarà legittimo e, di conseguenza, sarà possibile avvalersi del servizio cloud scelto. 

Nota Bene

L’informazione relativa al trasferimento dei dati personali all’estero rileva nella gestione dei dati personali e va riportata all’interno del registro delle attività di trattamento, previsto dall’art. 30 del Regolamento, nella parte dedicata al trattamento effettuato tramite il sistema di videosorveglianza, precisando il Paese terzo verso cui i dati sono trasmessi e, per i trasferimenti che avvengono sulla base dell’art. 49 comma 2, la documentazione delle garanzie adeguate. 

Occorre poi ricordare di inserire l’indicazione sul trasferimento dei dati personali all’estero nell’informativa privacy prevista dall’art. 13 del Regolamento. Le persone cui si riferiscono le immagini gestite tramite un sistema di videosorveglianza in cloud che comporta un trasferimento all’estero, infatti, devono sapere se i loro dati saranno trasferiti in Paesi terzi, se vi è o meno una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti basati sugli articoli 46, 47, o 49, secondo comma, quali siano le garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.