Lug 18

Privacy: pubblicate le Linee guida in materia di videosorveglianza (EDPB – Guidelines 3/2019 on processing of personal data through video devices)

Con le linee guida 3/2019 (“Linee Guida”) lo European Data Protection Board (“EDPB”) ha fornito importanti indicazioni su come interpretare e applicare le disposizioni del Regolamento (UE) 2016/679 (“GDPR”) in relazione al trattamento di dati personali mediante l’utilizzo di video devices.

Sottolineando l’importanza del principio di minimizzazione dei dati, l’EDPB ritiene che l’utilizzo di video devices debba limitarsi ai soli casi in cui le esigenze del titolare siano prevalenti rispetto ai diritti e le libertà degli interessati e non possano essere egualmente perseguite con soluzioni alternative, che implichino un impatto minore sulla privacy di questi ultimi (ad esempio, mediante l’impiego di personale di sicurezza).

In merito alla base giuridica del trattamento, le Linee Guida chiariscono che il ricorso a strumenti di videosorveglianza dovrebbe avvenire, prevalentemente: (i) in presenza di un legittimo interesse del Titolare, purché sia adeguatamente documentato (ad esempio con riferimento a precedenti incidenti o situazioni di pericolo, sulla base di dati statistici sulla pericolosità della zona interessata, ecc.) ovvero (ii) nei casi in cui il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, e sempre in virtù di una valutazione preventiva di tutte le circostanze del caso concreto (per la determinazione del legittimo interesse si faccia anche riferimento alla Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC – wp217 ). L’Autorità ha peraltro evidenziato che il consenso raramente potrà costituire un’idonea base giuridica del trattamento, in quanto difficilmente conciliabile con l’utilizzo di tecnologie che, per loro essenza, sono finalizzate a monitorare un numero indefinito di persone per volta.

Nell’ottica del principio di trasparenza – e a conferma dei provvedimenti emessi negli anni dal Garante italiano, le Linee Guida prescrivono di rendere un’informativa su due livelli. In particolare, un primo avviso, contenente un’icona grafica esplicativa, dev’essere posizionato ad una distanza adeguata dal sistema utilizzato e fornire le informazioni più rilevanti sul trattamento, inclusi: (i) i dati e i contatti del Titolare e, ove applicabile, del DPO, (ii) alcuni dettagli sulle finalità e il legittimo interesse del Titolare, (iii) i diritti dell’interessato, (iv) informazioni sui maggiori impatti del trattamento, (v) riferimenti alla seconda informativa e su come trovarla (preferendo fonti digitali, come un QRcode, o un link che rinvia ad una informativa online, ecc.). La seconda informativa, più completa, deve essere collocata in un luogo facilmente accessibile per gli interessati e prima dell’accesso all’area videosorvegliata. L’EDPB consiglia, in generale, l’utilizzo di modalità informatiche per fornire agli interessati quante più informazioni possibili, ad esempio mediante l’uso della geolocalizzazione per visualizzare su una mappa il perimetro sorvegliato.

Per quanto attiene, invece, al periodo di conservazione, l’Autorità ha ritenuto che un termine di 1 o 2 giorni sarebbe coerente con l’esigenza di rilevare eventuali danni e/o incidenti e che lo storage per tempi prolungati debba comunque essere adeguatamente motivato in relazione a specifiche finalità (ad esempio per intraprendere un’azione legale).

Un particolare focus è poi dedicato al trattamento di dati biometrici, anche con riferimento ai casi in cui i template creati dai sistemi di riconoscimento consentano una profilazione delle abitudini degli interessati per finalità di marketing. In tali casi, il trattamento presuppone necessariamente il consenso degli interessati, cui dev’essere altresì riconosciuto un diritto di opposizione assoluto.

Le Linee Guida forniscono altresì un’indicazione specifica delle misure di carattere sia tecnico che organizzativo che il Titolare dovrebbe implementare per mantenere costantemente il controllo degli strumenti impiegati e mettere gli interessati nelle condizioni di poter esercitare i propri diritti in qualsiasi momento. In particolare, i sistemi utilizzati dovrebbero, se possibile, essere configurati in modo tale da consentire al Titolare di oscurare parti del video che riprendono anche soggetti diversi dall’interessato, onde permettere a quest’ultimo di ottenere copia delle riprese.

L’EDPB sottolinea, infine, che in caso di richiesta di accesso o di cancellazione delle registrazioni, gli interessati dovrebbero fornire al Titolare alcune indicazione per facilitare l’individuazione dei frame che li riguardano: in particolare, la richiesta dell’interessato dovrebbe quantomeno contenere l’indicazione dell’arco temporale in cui ritiene e di essere stato ripreso, limitato ad un intervallo di poche ore, e un documento di identità o altre informazioni che consentano la sua corretta identificazione in linea con quanto previsto dagli artt. 15 e ss del GDPR.

edpb_Lineeguida_videosorveglianza