Videosorveglianza e GDPR, le linee guida dell’EDPB

Videosorveglianza e GDPR, le linee guida dell’EDPB

Il 9 settembre u.s. si è conclusa la consultazione pubblica proposta sulle nuove Linee Guida 3/2019 in tema di Videosorveglianza adottate il 12 luglio 2019 dall’European Data Protection Board (EDPB).

Le linee guida in commento risultano essere molto interessanti considerato l’utilizzo, a volte intensivo, dei sistemi di videosorveglianza che ha di fatto modificato il comportamento dei cittadini Europei, “the intensive use of video devides has an impact on citizen’s behaviour”.

Di fatto, questa tecnologia limita la possibilità per l’individuo di rimanere “unnoticed” e le implicazioni sulla protezione dei dati sono innumerevoli, considerato altresì che le tecnologie legate alla videosorveglianza sono diventate notevolmente più performanti in conseguenza della nascita della “intelligent video analisys”.

Lo scopo delle Linee Guida emanate dall’EDPB è pertanto quello di fornire uno strumento utile al fine di evitare che una legittima acquisizione di video registrazioni possa sfociare in un trattamento illecito di dati personali non conforme alla disciplina di cui al GDPR.

Più è estesa la videosorveglianza e maggiore è il rischio.

La raccolta massiva di informazioni relative a persone fisiche monitorate da un sistema di videosorveglianza (di seguito, VDS) consente l’elaborazione di numerosi dati personali riferibili alla presenza di una persona in un determinato luogo e di valutarne i comportamenti da questa tenuti. Il pericolo legato all’abuso che potrebbe derivare dalla raccolta di tali informazioni è alto.

In questo senso, l’EDPB richiama infatti l’art. 35, par. 3, GDPR che stabilisce l’obbligo per il Titolare di effettuare una preventiva Valutazione d’Impatto Privacy (DPIA) nel caso in cui il monitoraggio sistematico avvenga su larga scala di una zona accessibile al pubblico e l’art. 37, par. 1, GDPR che impone la nomina di un Data Protection Officer, nel caso in cui il trattamento, per sua natura, richieda il monitoraggio regolare e sistematico su larga scala, quale fonte di mitigazione del rischio conseguente a tale trattamento.

Prima che inizi il trattamento derivante dall’utilizzo di un sistema di videosorveglianza, devono essere specificate nel dettaglio le finalità (art. 5, par. 1 lett. b), GDPR). Le finalità di trattamento a seconda che il Titolare sia un soggetto pubblico o privato, ricorda l’EDPB, devono essere documentate per iscritto e devono essere specifiche per ogni sistema di videosorveglianza in uso. “Video surveillance based on the mere purpose of “safety” or “for your safety” is not sufficiently specific” ed è altresì contrario ai principi di legalità, correttezza e trasparenza di cui all’art. 5, par. 1 lett. a), GDPR.

Base giuridica: legittimo interesse o consenso?

Per essere lecito, il trattamento di dati conseguente all’utilizzo di un impianto di VDS deve essere sempre sorretto da una base giuridica di cui all’art. 6 GDPR.

La videosorveglianza è lecita se è necessaria a soddisfare le finalità per un legittimo interesse perseguito da un Titolare o da terzi, a meno che l’interesse perseguito non pregiudichi i diritti e le libertà dell’interessato.

Il legittimo interesse può derivare da un interesse legale, economico o non patrimoniale del Titolare e deve essere reale, non deve essere immaginario o speculativo, e attuale, cioè concreto e non potenziale. Il legittimo interesse del Titolare deve essere valutato caso per caso tramite uno specifico bilanciamento degli interessi in gioco (Legitimate Interest Assessment).

Il bilanciamento deve considerare in che misura il monitoraggio incida su interessi legittimi, diritti fondamentali e libertà degli interessati e se questo provochi violazioni o ripercussioni negative sui diritti dell’interessato. A mente del Considerando 47, l’esistenza di un legittimo interesse richiede un’attenta valutazione (assessment) anche sulle aspettative degli interessati ad essere tutelati dalle valutazioni e misure di sicurezza predisposte dal Titolare per il caso concreto.

A differenza del legittimo interesse, il consenso dell’interessato si pone come base giuridica alternativa e residuale in materia di videosorveglianza.

Difficilmente un Titolare del trattamento sarà in grado di dimostrare che un’interessato ha prestato il proprio consenso prima dell’inizio del trattamento. Un caso particolare sarebbe quello di un Titolare che a ogni soggetto chiede la prestazione di un consenso prima dell’accesso ad un’area videosorvegliata.

Il consenso deve comunque soddisfare le condizioni di cui all’art. 7 GDPR quindi una manifestazione di volontà libera, specifica, informata e inequivocabile.

Le categorie di dati trattati e il riferimento ai dati biometrici

L’EDPB continua la propria disamina evidenziando che i dati personali trattati da un sistema di VDS devono essere adeguati, pertinenti e limitati in relazione alle finalità per i quali sono trattati. In questo senso, un sistema di videosorveglianza dovrebbe essere adottato da un Titolare quale extrema ratio per il perseguimento delle finalità di trattamento: “Video surveillance measured should only be chosen if the purpose of the processing could not reasonably be fulfilled by other means which are less intrusive to the fundamental rights and freedoms of data subject”.

La divulgazione (disclosure) delle immagini mediante comunicazione, diffusione o la messa a disposizione in altro modo è definito dall’art. 4 GDPR quale tipologia di trattamento. Per questo, qualsiasi divulgazione di filmati contenenti dati personali deve essere legittimata da una specifica base giuridica per tale trattamento. Anche la divulgazione delle immagini alle Forze dell’Ordine è un trattamento specifico che richiede una legittima base giuridica ai sensi dell’art. 6 GDPR.

Mediante un sistema di videosorveglianza potrebbero inoltre essere trattate particolari categorie di dati. L’EDPB ricorda che l'immagine di un soggetto con gli occhiali o in sedia a rotelle possa non essere considerata di per sé un dato particolare, ma dipende dal contesto e dalla natura del trattamento di tale immagine. In ogni caso, il trattamento di categorie particolari di dati personali mediante un sistema di videosorveglianza deve essere legittimato da una delle deroghe di cui all’art. 9 GDPR. Ad esempio, un ospedale monitora i pazienti di una specifica area per ragioni mediche e tale trattamento è reso legittimo dalla necessità di tutelare un interesse vitale dell’interessato (art. 9, par. 1 lett. c), GDPR).

Il Comitato Europeo include nelle Linee Guida una specifica sezione afferente al trattamento dei dati biometrici, quali ad esempio il riconoscimento facciale. Una videoripresa non rappresenta di per sè un dato biometrico se non è stata specificamente trattata tecnicamente al fine di contribuire all’identificazione di un individuo.

Dal combinato disposto degli artt. 4 e 9 GDPR, devono essere considerati i seguenti criteri per verificare se un Titolare stia effettuando o meno un trattamento di dati biometrici: 

  1. La natura dei dati: devono essere trattati dati relativi a caratteristiche fisiche, fisiologiche o comportamentali di una persona; 
  2. I mezzi e modalità di trattamento: il dato risulta da un trattamento tecnico specifico; 
  3. Le finalità di trattamento: la finalità è quella di identificare univocamente una persona fisica.

Il Garante Europeo suggerisce alcune misure per minimizzare i rischi derivanti dal trattamento di dati biometrici. Il Titolare deve considerare il luogo più appropriato, in ottica di accountability, per lo storage dei dati. Lo storage dovrebbe poi essere effettuato mediante un database crittografato e con accesso limitato ad un numero strettamente necessario di soggetti. In ogni caso, il Titolare deve garantire la disponibilità, l’integrità a la riservatezza dei dati trattati.

Diritti degli interessati ed eventuali limitazioni

Ogni individuo, indipendentemente dal sistema di VDS utilizzato, deve essere in grado di esercitare i diritti stabiliti dagli artt. 15-22 GDPR.

L’interessato ha il diritto di ottenere la conferma dal Titolare che sia o meno in corso un trattamento dei propri dati personali.

L’European Board ricorda però alcune limitazioni all’esercizio del diritto di accesso

  1. La richiesta potrebbe influire negativamente sui diritti e libertà di altri soggetti interessati dallo stesso trattamento (per evitare tale aspetto, il Titolare dovrebbe essere in grado di evitare l’identificazione di altri soggetti nel video, ad esempio oscurandoli); 
  2. Il Titolare non è in grado di identificare l’interessato (quest’ultimo dovrà specificare il periodo di riferimento); 
  3. Richiesta eccessiva da parte dell’interessato o manifestamente infondata.

Nel momento in cui i dati personali trattati non sono più necessari al perseguimento delle finalità per cui sono raccolti e il Titolare persevera nel trattamento oltre al termine di conservazione indicato, l’interessato può chiedere la cancellazione dei propri dati personali ex art. 17 GDPR laddove venga revocato il consenso e non sia presente altra legittima base giuridica di trattamento e, in caso di legittimo interesse, l’interessato abbia esercitato il proprio diritto di opposizione al trattamento.

In caso di opposizione al trattamento da parte di un’interessato, il Titolare deve effettuare un bilanciamento degli interessi per verificare che i motivi addotti dalla persona fisica, legati alla propria situazione particolare, prevalgono sull’interesse del Titolare alla videosorveglianza ed in caso affermativo, interrompere il trattamento. Nel contesto della videosorveglianza, l’opposizione al trattamento potrebbe essere sollevata dall’interessato prima di entrare all’interno e dopo aver lasciato l’area sorvegliata. In pratica questo significa che il monitoraggio di un’area in cui le persone fisiche potrebbero essere identificate è lecito solo se il Titolare è in grado di interrompere immediatamente il trattamento a meno che non sussistano validi motivi legittimi oppure l’area sorvegliata sia ad accesso limitato e l’interessato non ha diritto di accedere.

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...

Come rispettare l'obbligo informativo previsto all'art. 12?

L’EDBP si sofferma inoltre sugli obblighi di trasparenza ed informazione a cui è soggetto il Titolare per i quali il soggetto ripreso deve essere informato nel dettaglio in merito al trattamento che viene effettuato.

Le informazioni dovrebbero essere rese accessibili mediante un primo segnale di avvertimento (warning sign – first layer information) mentre gli ulteriori dettagli obbligatori dovrebbero essere facilmente accessibili con altri mezzi (second layer information).

Il Comitato fornisce un esempio di warning sign per un sistema di videosorveglianza dal quale si possa evincere, in modo facile e intuitivo, una panoramica significativa del trattamento effettuato.

Il segnale di avviso dovrebbe essere posizionato a ragionevole distanza dall’area monitorata.

Le informazioni contenute nel segnale di avvertimento sono:

  • L’identità del Titolare;
  • I dati di contatto del DPO
  • Le finalità di trattamento
  • La base giuridica di trattamento 
  • L’esistenza dei diritti dell’interessato

Il segnale di avvertimento dovrebbe inoltre fare specifico riferimento alle informazioni di secondo livello, le quali dovrebbero essere altresì accessibili senza dover accedere all’area videosorvegliata. Il Garante Europeo suggerisce lo strumento del QR Code inserito nel segnale di avvertimento per avere accesso all’informativa dettagliata sul trattamento. Il secondo livello di informazione dovrebbe essere facilmente reperibile dall’interessato ad esempio esposta in una zona accessibile da quest’ultimo.

Ad ogni modo, l’informazione di secondo livello deve possedere tutte le informazioni richieste obbligatoriamente dall’art. 13 GDPR.

Le Linee Guida dell’EDPB proseguono con una disamina inerente al periodo di conservazione e agli obblighi di cancellazione.

I dati personali trattati da un video surveillance system (VSS) devono essere archiviati per il tempo necessario alla finalità per le quali vengono raccolti. Sul punto, è lasciata alla legislazione di ogni Stato membro la delimitazione di tale termine (in Italia, ad esempio, varia dalle 24 ore ai 7 giorni).

L'importanza delle misure di sicurezza

Il Titolare, ai sensi dell’art. 32 GDPR, deve garantire un elevato standard di misure organizzative e tecniche affinché il trattamento risulti sicuro.

I componenti di un sistema di videosorveglianza possono essere raggruppati nelle seguenti categorie:

1. Ambiente video: acquisizione di immagini, interconnessioni e gestione delle immagini

  • La finalità dell’acquisizione delle immagini è la generazione di un’immagine del mondo reale in un formato tale che possa essere utilizzato dal resto del sistema;
  • Le interconnessioni descrivono tutte le trasmissioni di dati all’interno dell’ambiente video (es. connessioni: cavi, reti digitali e trasmissioni wireless; e comunicazioni: descrivono tutti i video e i controlli dei segnali dei dati, che potrebbero essere digitali o analogici);
  • La gestione delle immagini include analisi, memorizzazione e presentazione di un’immagine o di una sequenza di immagini.

2. Dal punto di vista della gestione del sistema, un VSS ha le seguenti funzioni logiche:

  • Gestione dei dati e gestione delle attività, che include l’operatore di gestione dei comandi e attività generate dal sistema (procedure di allarme, avvisi degli operatori).
  • Le interfacce con altri sistemi potrebbero includere la connessione ad altri sistemi di sicurezza (controllo degli accessi, allarme antincendio) e sistemi non di sicurezza.(building management systems, riconoscimento automatico di targhe).
  • La sicurezza VSS comprende riservatezza, integrità e disponibilità dei sistemi e dei dati.
  • La sicurezza del sistema include la sicurezza fisica di tutti i componenti del sistema e il controllo di accesso al VSS.
  • La sicurezza dei dati include la prevenzione della perdita o la manipolazione dei dati.

Indipendentemente dalla soluzione VSS prescelta, il Titolare deve proteggere adeguatamente tutti i componenti del sistema in tutte le fasi di trattamento:

  • dati a riposo (storage)
  • dati in transito (trasmissione)
  • dati in uso (trattamento)

Il Titolare deve inoltre predisporre policy e procedure organizzative specifiche a garanzia del sistema di VSS.

Deve essere necessariamente stabilito:

  1. chi è responsabile della gestione e del funzionamento del sistema di videosorveglianza;
  2. le finalità e l’ambito del progetto di videosorveglianza;
  3. l’utilizzo del sistema e le informazioni da dare agli interessati;
  4. come vengono registrati i video e per quale durata, inclusa l’archiviazione dei filmati e messa in sicurezza in caso di incidenti;
  5. chi deve essere sottoposto alla formazione specifica nelle tempistiche previste;
  6. chi ha accesso alle registrazioni video e per quali finalità;
  7. procedure operative (ad es. da chi e da dove viene monitorata la videosorveglianza, che cosa fare in caso di un data breach);
  8. quali procedure devono seguire i soggetti esterni per richiedere registrazioni video e procedure per negare o assecondare tali istanze;
  9. procedure per l’acquisizione, l’installazione e la manutenzione di VSS;
  10. procedure di gestione degli incidenti e di recupero dati.

Inoltre, il Titolare deve predisporre specifiche misure tecniche per garantire la resilienza del proprio sistema VSS da interferenze intenzionali o non intenzionali. Questo significa che dovrà essere garantita la sicurezza fisica di tutti i componenti, l’integrità e controllo degli accessi.

Per sicurezza fisica si intende la protezione fisica dell’infrastruttura VSS da furto, atti vandalici, calamità naturali, catastrofi dovute all’uomo e danni accidentali (ad es. da picchi elettrici, temperature estreme).

Le misure di sicurezza dei sistemi e dei dati possono includere:

  • protezione dell’intera infrastruttura VSS (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni e furti;
  • protezione della trasmissione di filmati con canali di comunicazione sicuri contro l’intercettazione;
  • crittografia dei dati;
  • utilizzo di soluzioni hardware e software come firewall, antivirus o sistemi di rilevamento intrusioni contro gli attacchi informatici;
  • rilevamento di guasti di componenti, software e interconnessioni;
  • ripristino della disponibilità di accesso al sistema in caso di problemi fisici o tecnici dovuti a incidente.

Il controllo degli accessi, infine, garantisce che unicamente le persone autorizzate possano accedere al sistema e ai dati.

Le misure di controllo fisico e logico includono:

  • garantire che tutti i locali in cui il monitoraggio della videosorveglianza o i filmati vengano archiviati siano protetti da accessi non autorizzati di terzi;
  • posizionare i monitor in modo che solo gli operatori autorizzati possano vederli;
  • definire in maniera specifica e rigorosa le procedure di concessione, modifica e revoca degli accessi fisici e logici;
  • implementare i metodi e mezzi per l’autenticazione e l’autorizzazione dell’utente, compresa la durata e la modifica delle password;
  • rivedere periodicamente le azioni eseguite dall’utente e loro registrazione;
  • monitorare ed individuare i guasti di accesso in modo continuativo ed individuare le relative carenze il prima possibile.

In conclusione, il Comitato Europeo, richiamando l’art. 2 lett. c), GDPR, conferma che il Regolamento Europeo non si applica al trattamento di dati personali effettuati da una persona fisica nell’esercizio di attività a carattere esclusivamente personale o domestico. Come sancito dalla Corte di Giustizia Europea nel Caso C-101/01, l’esenzione in ambito domestico riguarda unicamente le attività che vengono svolte nel corso della vita privata o familiare delle persone. Questo escluderebbe, ad esempio, il trattamento di dati personali che consistono nella pubblicazione di informazione in Internet in modo che le stesse siano accessibili ad un numero indefinito di persone. La Corte ha inoltre statuito che un sistema di VDS che riprende anche parzialmente uno spazio pubblico non può essere considerato alla stregua di un’attività puramente personale o domestica, con conseguente applicazione del GDPR.

Infine, l’EDPB elenca tre esempi ove il GDPR non trova applicazione in merito al trattamento delle immagini, ovvero in tutti quei casi in cui una persona non possa essere identificata, direttamente o indirettamente:

  1. Telecamere finte: una telecamera non funzionante non raccoglie e tratta dati personali;
  2. Registrazioni ad una altitudine elevata (ad es. tramite l’utilizzo di droni): rientrano nell’ambito di applicazione del GDPR solo se i dati personali raccolti possono essere collegati ad una persona specifica;
  3. Telecamere da Park Assist: a condizione che non raccolgano alcuna informazione relativa a persone fisiche, ivi inclusi i numeri della targa.
 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.