Videosorveglianza urbana: quando è obbligatoria la valutazione d'impatto e come farla in conformità al Gdpr

Il processo di gestione, a cura dei Comuni, di un sistema di videosorveglianza per la sicurezza urbana, volto a prevenire e contrastare i fenomeni di criminalità diffusa e predatoria, deve necessariamente essere disegnato, auspicabilmente ancor prima dell’acquisto del sistema stesso, in modo tale da attuare efficacemente i principi della protezione dei dati e soddisfare i requisiti posti dalla normativa Eurounitaria (GDPR e LED). Questo disegno comprende anche l’esecuzione di una valutazione di impatto sulla protezione dei dati, la c.d. DPIA (Data Protection Impact Assessment).

La valutazione d'impatto è un passaggio fondamentale quando si deve installare un sistema di videosorveglianza per la sicurezza urbana

Vediamo come eseguirla validamente.

1. L’obbligo giuridico di eseguire una DPIA sull’attività di videosorveglianza per la sicurezza urbana - L’art. 35 del GDPR stabilisce che il titolare del trattamento, quando deve sviluppare, attraverso l’uso di nuove tecnologie, un trattamento di dati personali che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere al trattamento, deve effettuare una valutazione di impatto, i.e. quella specifica attività nota con l’acronimo DPIA (Data Protection Impact Assessment).

La stessa norma, in particolare, fissa l’obbligo di eseguire una DPIA a carico del titolare che voglia realizzare la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Quindi, non è revocabile in dubbio che, prima di avviare un processo di gestione di un sistema di videosorveglianza per la sicurezza urbana, anzi, auspicabilmente, ancor prima di predisporre il capitolato di appalto per l’acquisto del sistema stesso, è necessario eseguire una DPIA.

2. Le Linee Guida dei Garanti Europei - I Garanti Europei nelle specifiche Linee Guida WP 248 rev.01 chiariscono che:

I. per svolgere una DPIA vi sono metodologie diverse, ma criteri comuni;

II. spetta al titolare del trattamento scegliere una metodologia che, comunque, deve essere conforme ai criteri fissati nell’allegato 2 alle stesse Linee Guida WP248 rev.01.

Il titolare del trattamento deve quindi pedissequamente seguire le indicazioni fissate in tale allegato 2, per poter sviluppare validamente una DPIA.

Questo allegato descrive 4 fasi di esecuzione della DPIA finalizzate rispettivamente a:

I. descrivere sistematicamente il trattamento,

II. valutare la necessità e la proporzionalità del trattamento in relazione alle finalità;

III. gestire i rischi per i diritti e le libertà degli interessati;

IV. coinvolgere il DPO ed eventualmente gli interessati.

Per proseguire la lettura di questo articolo di Giuseppe Alverone - Data Protection Officer (DPO) dell’Arma dei Carabinieri. Certificato secondo lo standard nazionale UNI 11697:2017 - si rimanda al seguente link