Videosorveglianza, PA e privacy: regole generali

di Avv. Marco Soffientini, Docente Università degli Studi di Roma UnitelmaSapienza; esperto di Privacy e Diritto delle Nuove Tecnologie; Privacy Officer Certified in accordo a ISO/IEC 17024:2003; Coordinatore Nazionale Comitato Scientifico Federprivacy; membro dell’Istituto Italiano per la Privacy;- membro Comitato di Delibera TUV Italia per lo schema CDP e docente Ethos Academy www.academy.ethosmedia.it

Recentemente, l’Autorità Garante della Protezione dei dati personali si è occupata (provv. 10 novembre 2016, doc. web n. 5796716) di un’istanza di verifica preliminare ai sensi dell’art. 17 del Codice, avanzata dalla Città Metropolitana di Roma Capitale in relazione ad un sistema di videosorveglianza c.d. intelligente, da attivare presso gli accessi e le uscite di emergenza dell’edificio che ospita la sede dell’Amministrazione, per finalità di sicurezza degli accessi e di tutela del patrimonio. L’occasione è quindi propizia per parlare di videosorveglianza, PA e privacy.

L’impianto, costituito da telecamere collocate in corrispondenza dei tornelli e delle uscite di emergenza, si attiverebbe nei soli casi in cui dei sensori rilevino un tentativo di accesso non autorizzato all’interno dell’edificio, per effetto dello scavalcamento dei tornelli o dell’effrazione delle uscite di emergenza. Al verificarsi di uno di questi eventi, le telecamere avvierebbero una registrazione dell’evento e contemporaneamente farebbero scattare un allarme alla control room. Come evidenziato dal Garante, la richiesta di verifica preliminare ha ad oggetto un sistema di videosorveglianza idoneo a rilevare automaticamente, segnalare e registrare un comportamento o evento anomalo, quale può considerarsi lo scavalcamento dei tornelli e l’effrazione delle uscite di emergenza, e pertanto rientra tra quelli per i quali l’Autorità, nel provvedimento generale in tema di videosorveglianza del 2010 (pubblicato in G.U. n. 99 del 29 aprile 2010 doc. web n. 1712680), ha previsto l’obbligo di richiesta di verifica preliminare.

SOGGETTI PUBBLICI

Il caso ci fornisce lo spunto per richiamare il § 5 del Provv. 08.04.2010, in base al quale i soggetti pubblici, in qualità di titolari del trattamento (art. 4, comma 1, lett. f), del Codice), possono trattare dati personali nel rispetto del principio di finalità, perseguendo scopi determinati, espliciti e legittimi (art. 11, comma 1, lett. b, del Codice), soltanto per lo svolgimento delle proprie funzioni istituzionali. Ciò vale ovviamente anche in relazione a rilevazioni di immagini mediante sistemi di videosorveglianza (art. 18, comma 2, del Codice). Inoltre, i soggetti pubblici sono tenuti a rispettare, al pari di ogni titolare di trattamento, qualora il trattamento sia effettuato tramite sistemi di videosorveglianza, i principi enunciati nel provvedimento 08.04.2010. Così, tornando al caso in esame, la Città Metropolitana di Roma Capitale può, in qualità di titolare del trattamento, trattare dati personali nel rispetto del principio di finalità, perseguendo scopi determinati, espliciti e legittimi (cfr. artt. 4, comma 1, lett. f); 11, comma 1, lett. b) del Codice). Alla luce delle esigenze di tutela della sicurezza, che trovano particolare riscontro in considerazione delle specifiche caratteristiche dell’edificio, e della sua destinazione, che lo espongono ad un livello di rischio elevato, con conseguente necessità di contrastare efficacemente eventuali intrusioni da parte di soggetti non autorizzati, l’Autorità Garante ha ritenuto proporzionato e, quindi, ammissibile il trattamento dei dati personali sottoposto a verifica per le finalità di sicurezza degli accessi alla sede, delle persone e dei beni.

VERIFICA PRELIMINARE E CARTELLI

Dalla lettura del caso, si evince che anche i soggetti pubblici sono tenuti a presentare istanza di verifica preliminare ai sensi dell’articolo 17 del Codice Privacy, qualora intendano installare, ad esempio, impianti c.d. intelligenti e cioè quei sistemi di videosorveglianza in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli e, all’occorrenza, registrarli. Si tratta di sistemi particolarmente invasivi, capaci di incidere nella sfera di autodeterminazione dell’individuo e, quindi, sui suoi comportamenti. Per questi motivi, il sistema deve essere sottoposto a verifica preliminare ed è consentito solo in casi particolari, tenendo «conto delle finalità e del contesto in cui essi sono trattati, da verificare caso per caso sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza» (artt. 3 e 11 del Codice). Ovviamente, come accennato, i soggetti pubblici devono rispettare l’intero provvedimento in tema di videosorveglianza e così i cittadini, che transitano in aree sorvegliate, devono essere informati con “cartelli” (informative) visibili al buio, se il sistema di videosorveglianza è attivo in orario notturno, e qualora il sistema di videosorveglianza installato dal soggetto pubblico sia collegato alle forze di polizia, è necessario uno specifico cartello informativo, sulla base del modello elaborato dal Garante nel provvedimento sulla videosorveglianza del 2010. Pertanto, i Comuni, che installano telecamere per fini di sicurezza urbana, hanno l’obbligo di apporre cartelli che ne segnalino la presenza, salvo che le attività di videosorveglianza siano riconducibili a tutela della sicurezza pubblica, prevenzione, accertamento o repressione dei reati. La conservazione dei dati non potrà superare i 7 giorni, fatte salve speciali esigenze.

VIDEOSORVEGLIANZA DI STRUTTURE PUBBLICHE

Il caso affrontato e in generale l’attività di videosorveglianza svolta da soggetti pubblici ci fornisce lo spunto per evidenziare come esistano diverse attività, svolte da soggetti pubblici, che non sono tecnicamente qualificabili come “compiti”, ed è questo proprio il caso, sottolineano i Garanti europei, dell’attività di videosorveglianza di strutture pubbliche. In questi casi, premesso che non si tratta di veri e propri compiti, c’è da domandarsi quale sia la condizione di liceità che consente ai soggetti pubblici di svolgere attività di videosorveglianza. Il gruppo dei Garanti Europei, già nell’aprile 2014, affrontò il problema con riferimento alla Direttiva 95/46/Ce, stabilendo che tale attività risultava lecita quando rispondeva ad un interesse pubblico riconducibile ai punti e) o f) dell’articolo 7 della suindicata direttiva. A questa considerazione, oggi, si può aggiungere quanto indicato dal regolamento europeo in tema di dati sensibili, che consente lo svolgimento di attività, che non possono qualificarsi come veri e propri compiti, in tutti quei casi in cui il relativo trattamento sia “necessario per motivi di interesse pubblico rilevante”. (art. 9, comma 2, lett. g) Reg. UE.).