Videosorveglianza e privacy: nuove Linee Guida europee

di Gianluca Sivieri - Ufficiale di Polizia Locale, Esperto di Polizia Giudiziaria e di controllo del territorio con sistemi di videosorveglianza e tecnologie evolute, Docente Ethos Academy

Lo scorso 29 Gennaio 2020 è stata adottata la versione 2.0 delle “Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, da parte del Comitato europeo per la protezione dei dati – European Data Protection Board (1). In realtà il documento in questione costituisce un adattamento della prima versione, già emanata il 10 Luglio 2019.

Il Comitato, istituito dall’art. 68 del G.D.P.R. (2), con queste linee guida affronta il tema della protezione dei dati personali per mezzo della videosorveglianza, al fine di indirizzare ed uniformare a livello sovranazionale le procedure di tutela della privacy richieste dall’odierna tecnologia, caratterizzata da prestazioni sempre più performanti.

Campo di applicazione 

In prima battuta, le linee guida affrontano il tema del campo di applicazione del Regolamento UE, escludendo i casi di riprese video che di fatto non trattano dati personali o che li gestiscono per scopi particolari. Vanno esclusi innanzitutto i trattamenti per “motivi di polizia”, soggetti alla Direttiva UE 2016/680 e, in Italia, al D.Lgs. 51/2018; così come devono essere esclusi quelli che – pur riprendendo dati personali altrui – per il loro contenuto e la limitata divulgazione, sono finalizzati a scopi domestici (esenzione per le famiglie); devono poi essere esclusi i sistemi che non effettuano riprese (telecamere finte) o le riprese che per qualità o tipologia delle immagini non consentono di risalire ai soggetti ritratti.

Bilanciamento degli interessi

Il documento si sofferma quindi sulla necessità di porre alla base dei sistemi di videosorveglianza l’opportuno bilanciamento degli interessi di chi effettua il trattamento e dei terzi i cui dati personali possono venire trattati, da valutare in modo concreto tenendo conto delle effettive esigenze di tutti soggetti coinvolti. In questo senso si inserisce tra l’altro uno dei principi cardine – da sempre – della protezione dei dati personali in genere: la liceità del trattamento non può essere solo presunta o supposta, ma deve invece essere sempre documentata in modo concreto e dettagliato, al fine di consentire in qualsiasi momento di legare il trattamento mediante videosorveglianza e l’esigenza concreta. In questo contesto, il comitato non dimentica di ribadire la necessità di limitare al minimo la gestione dei dati personali, che in ogni trattamento devono essere adeguati, pertinenti e limitati.

Divulgazione di filmati 

La divulgazione di filmati a soggetti terzi è un altro nodo cruciale in materia di videosorveglianza affrontato dalle linee guida in esame: se la divulgazione viene definita come qualsiasi modalità di messa a disposizione (comprese la trasmissione, la comunicazione e la diffusione dei dati personali), è importante specificare che tale operazione costituisce di per sé un trattamento distinto da quello di esecuzione delle riprese. In questo senso, la liceità del trattamento si deve ricercare non già nelle motivazioni legate all’installazione dell’impianto, ma piuttosto alla base giuridica per cui i dati vengono forniti a terzi. La divulgazione di filmati alle forze dell’ordine viene presa in particolare considerazione dal Comitato: qualora la “consegna” dei filmati alla polizia avvenga per finalità istituzionali di indagine, saranno proprio queste finalità a costituire la base giuridica – nel caso specifico un “obbligo giuridico” – che rende lecita la divulgazione alla polizia. Il conseguente trattamento eseguito dalle forze dell’ordine sarà invece soggetto alla Direttiva UE 2016/680 e al D.Lgs. 51/2018.

Dati sensibili e biometrici

Secondo le linee guida, particolare attenzione deve inoltre essere posta nel trattamento mediante videosorveglianza di particolari categorie di dati. Tra questi vi sono i dati sensibili, ossia quelli capaci di tracciare le inclinazioni e le abitudini di un individuo, nonché i dati biometrici (in particolare il riconoscimento facciale). In queste ipotesi, il Comitato ribadisce e rafforza l’esigenza di porre alla base del trattamento adeguate e stringenti valutazioni in ordine ai principi di legalità, di necessità, di proporzionalità, di minimizzazione dei dati e di bilanciamento degli interessi, senza le quali la gestione dei dati personali non solo sarebbe inopportuna, ma addirittura illecita.

Note:

(1) https://edpb.europa.eu/

(2) Articolo 68 – Comitato europeo per la protezione dei dati 1. Il comitato europeo per la protezione dei dati («comitato») è istituito quale organismo dell’Unione ed è dotato di personalità giuridica. 2. Il comitato è rappresentato dal suo presidente. 3. Il comitato è composto dalla figura di vertice di un’autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati, o dai rispettivi rappresentanti. 4. Qualora, in uno Stato membro, più autorità di controllo siano incaricate di sorvegliare l’applicazione delle disposizioni del presente regolamento, è designato un rappresentante comune conformemente al diritto di tale Stato membro. 5. La Commissione ha il diritto di partecipare alle attività e alle riunioni del comitato senza diritto di voto. La Commissione designa un rappresentante. Il presidente del comitato comunica alla Commissione le attività del comitato. 6. Nei casi di cui all’articolo 65, il garante europeo della protezione dei dati ha diritto di voto solo per decisioni che riguardano principi e norme applicabili a istituzioni, organi, uffici e agenzie dell’Unione che corrispondono nella sostanza a quelli del presente regolamento.

Per visualizzare la versione completa dell'articolo apri il pdf allegato.