La videosorveglianza è largamente diffusa, nei piccoli Comuni come nelle città metropolitane, ma il quadro normativo sulla protezione dei dati personali impone per la sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi obblighi di attenta valutazione di impatto sulla protezione dei dati (DPIA) e per i Comuni la redazione di un rigoroso Regolamento per la disciplina del sistema di videosorveglianza.

Per i Comuni che si sono adeguati al GDPR, il Responsabile della protezione dei dati è il soggetto preposto alla supervisione della corretta attuazione di un sistema di gestione e di controllo del sistema di videosorveglianza conforme alla normativa.

Ing. Pietro Collevecchio

Ingegnere gestionale, esperto di valutazione, trasparenza e protezione dei dati nella PA, contitolare dello Studio Collevecchio di PA Management Consulting di Pescara. Data protection officer e consulente di Comuni, Province, società partecipate e Istituti scolastici.

PREMESSA

Il ricorso a sistemi di videosorveglianza deriva dall’equilibrio di due interessi contrapposti:

  •  esigenze di sicurezza: tutela del patrimonio e delle persone
  • esigenze di protezione dei dati personali: limitazione della possibilità di muoversi ed agire restando anonimi

Si tratta di un contesto in cui gli interessati sono disposti a sacrificare la privacy a fronte dei benefici attesi in termini di sicurezza, ma occorre garantire la salvaguardia dei propri diritti di protezione dei dati personali.

Gli impianti di videosorveglianza, infatti, possono suscitare sia un senso di maggior sicurezza, sia il timore di limiti alla libertà e altri diritti fondamentali.

In riferimento al Provvedimento del Garante dell’8 aprile 2010, la videosorveglianza è consentita a condizione che siano rispettati alcuni principi:

  • La videosorveglianza deve essere lecita; è da considerarsi tale se è funzionale allo svolgimento delle funzioni istituzionali (per quanto concerne i Comuni).
  • La videosorveglianza deve essere necessaria e proporzionata; non si possono utilizzare sistemi di videosorveglianza se l’obiettivo può essere raggiunto con modalità diverse. L’uso di telecamere è da considerarsi come misura ultima di controllo e cioè idonea soltanto quando altre misure meno invasive si siano rivelate insufficienti, ovvero inattuabili. In ogni caso, occorre accertarsi che i dati personali raccolti con le riprese siano pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati.
  • La videosorveglianza deve avere finalità chiare, prestabilite e legittime.

Altri obblighi presenti nel Provvedimento:

  • Informativa con indicazioni chiare sul trattamento dei dati personali
  • Designazione dei soggetti che possono utilizzare gli impianti e prendere visione delle registrazioni con determinate procedure
  • Termine di conservazione delle immagini

Il ruolo della videosorveglianza è un tema di primaria importanza nell’ottica del rispetto dell’attuale normativa sulla protezione dei dati composta dal Regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation – GDPR) n. 679 del 2016, operativo a partire dal 25 maggio 2018, e dal decreto legislativo 30 giugno 2003 n. 196 recante il “Codice in materia di protezione dei dati personali” novellato dal decreto legislativo n. 101 del 10 agosto 2018 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR”.

Inoltre, il tema videosorveglianza e GDPR è trattato dalle linee guida “Guidelines 3/2019 on processing of personal data through video devices” adottate dall’European Data Protection Board (EDPB) che superano i provvedimenti adottati dell’Autorità Garante per la protezione dei dati personali precedenti.

Il GDPR identifica come titolare del trattamento il soggetto fisico o giuridico che stabilisce le modalità e i mezzi di trattamento dei dati personali.

Il titolare deve assolutamente rispettare i principi stabiliti dall’art. 5 (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione) oltre alle basi giuridiche previste dall’art. 6 (consenso, esecuzione di un contratto o di misure precontrattuali, obbligo legale, salvaguardia di interessi vitali, interesse pubblico e legittimo interesse).

Il GDPR prevede all’articolo 25 che il titolare del trattamento debba implementare prima dell’inizio del trattamento e all’atto del trattamento misure tecniche e organizzative adeguate alla protezione dei dati (privacy by design e by default)

L’art. 32 del GDPR dispone che per approntare delle adeguate misure di sicurezza bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Il tutto per garantire un livello di sicurezza adeguato al rischio.

La valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA) è un processo che il titolare del trattamento deve effettuare quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 GDPR).

L’EDPB, organo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati nell’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE ha adottato, il 29 gennaio 2020 le linee guida 3/2019 con l’obiettivo di dare indicazioni su come applicare il GDPR al trattamento dei dati personali effettuato tramite dispositivi video.

Novità introdotte rilevanti per i sistemi di videosorveglianza dei Comuni:

  • Il GDPR non si applica quando l’utilizzo di un sistema di videosorveglianza non comporta il trattamento di dati personali, ovvero quando un individuo non può essere identificato, né direttamente, né indirettamente
    I dati devono essere:
    • trattati in modo lecito, corretto e trasparente (liceità, correttezza e trasparenza)
    • raccolti per finalità determinate, esplicite e legittime (limitazione delle finalità)
    • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite (minimizzazione)

Le finalità devono essere specificate in dettaglio, descritte in modo “granulare” e documentate per iscritto. Non è sufficiente fare riferimento a locuzioni generiche come “installazione per ragioni di sicurezza”. Se le telecamere sono installate per scopi diversi (protezione dei beni e del patrimonio, tutela della vita e incolumità delle persone, raccolta di mezzi di prova) il titolare dovrebbe documentare le diverse finalità perseguite.

  • La trasmissione di dati personali a terzi è permessa esclusivamente per la necessità di adempiere ad un obbligo di legge, per esempio la trasmissione delle immagini alle forze dell’ordine per lo svolgimento di indagini.
  • Informativa: approccio a due livelli
  • Le informazioni più importanti dovrebbero essere fornite attraverso un segnale di avvertimento (primo livello) corredato da un’icona.

I segnali di avvertimento dovrebbero essere posizionati ad una distanza ragionevole dai luoghi monitorati in modo tale che l’interessato possa facilmente comprendere che l’area in cui sta per accedere è videosorvegliata prima di effettuare l’accesso. Questo consentirebbe all’interessato di evitare di essere ripreso o di adeguare il suo comportamento, se lo ritiene opportuno.

Il segnale di avvertimento previsto dalle linee guida EDPB è il seguente:

Le ulteriori informazioni obbligatorie ai sensi dell’art.13 GDPR mediante un’informativa estesa (secondo livello) da rendere facilmente accessibili all’interessato attraverso modalità cartacee o digitali (es. QR Code sul segnale di avvertimento)

La valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA) è una procedura di analisi approfondita che ha lo scopo di descrivere un trattamento di dati per valutarne la necessità e la proporzionalità così come tutti gli altri principi fondamentali del GDPR.

La DPIA è un processo volto a:

  • descrivere i trattamenti
  • valutarne la necessità e la proporzionalità e aiutare a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento, valutandoli e determinando le misure per indirizzarli

La DPIA è di ausilio ai titolari obbligati a rispettare i requisiti del GDPR e a dimostrare che sono state adottate misure appropriate per garantire il rispetto del Regolamento. E’ quindi uno strumento importante in termini di responsabilizzazione (accountability) del titolare.

Nelle linee guida i Garanti suggeriscono che al fine di fornire un insieme più concreto di operazioni di elaborazione che richiedono una DPIA a causa del loro intrinseco alto rischio, dovrebbero essere considerati diversi criteri. Tra questi, nel caso della videosorveglianza, consideriamo:

  • Monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o “la sorveglianza sistematica di un’area accessibile al pubblico” (art. 35, paragrafo 3, lettera c). Questa tipologia di monitoraggio costituisce un criterio, ai fini della DPIA, in quanto la raccolta di dati personali può avvenire in circostanze tali da non consentire agli interessati di comprendere chi stia procedendo e per quali finalità. Inoltre, è talora impossibile per gli interessati sottrarsi a questa tipologia di trattamenti in aree pubbliche (o pubblicamente accessibili).
  • I trattamenti di dati su larga scala: il Regolamento non definisce cosa costituisca larga scala, anche se il considerando 91 fornisce alcune indicazioni.

L’effettuazione della DPIA dovrebbe collocarsi quanto più a monte possibile nella fase di progettazione di un trattamento, anche se non tutte le operazioni di tale trattamento sono già delineate. L’aggiornamento della DPIA nel corso dell’intero ciclo di vita di un determinato progetto garantisce la dovuta considerazione delle tematiche di privacy e protezione dei dati favorendo l’individuazione di soluzioni che ne promuovano l’osservanza.

Lo svolgimento della DPIA è un processo continuativo e non un’attività una tantum.

L’EDPB ha ribadito l’obbligo di Valutazione d’impatto – DPIA in tutti i casi di videosorveglianza di aree pubbliche previsto dal GDPR.

Secondo il principio di privacy by design (art. 25 GDPR), prima di procedere a un trattamento di dati personali è necessario il coinvolgimento dei ruoli e delle figure che progettano processi, servizi e applicazioni. Il principio si applica, prima dell’avvio del trattamento dei dati, in corrispondenza al momento della determinazione dei trattamenti e dei relativi strumenti di gestione.

Al momento della scelta del sistema da installare, come anche nel definire le funzionalità dello stesso, è necessario rispettare il principio di privacy by design e privacy by default, garantendo che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento e mettendo in atto sin dalla progettazione (cioè al momento di determinare i mezzi del trattamento) misure tecniche ed organizzative adeguate ai rischi individuati.

A questo fine è fondamentale la DPIA preventiva che attraverso un processo di analisi che concorra alla mitigazione del rischio per le libertà fondamentali dei cittadini e per l’utilizzo improprio degli impianti di videosorveglianza, concorra alla gestione delle attività di trattamento legate al sistema di videosorveglianza, secondo le regole fissate nel Regolamento del sistema di videosorveglianza del Comune.

E’ quindi indispensabile per i Comuni provvedere tempestivamente all’aggiornamento del Regolamento del sistema di videosorveglianza secondo quanto richiesto dal nuovo quadro normativo.

Il Regolamento per la disciplina del sistema di videosorveglianza nel territorio comunale disciplina le modalità di raccolta, trattamento e conservazione dei dati personali mediante sistemi di videosorveglianza gestiti, nell’ambito del proprio territorio, dal Comune.

Il Regolamento garantisce che il trattamento dei dati personali, effettuato mediante l’attivazione di sistemi di videosorveglianza gestiti e impiegati dal Comune nel proprio territorio, si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale.

Ai fini delle definizioni di cui al Regolamento si fa riferimento al Regolamento generale sulla protezione dei dati dell’Unione Europea 2016/679, al D. Lgs. n.101/2018, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e all’art 2 del D. Lgs. n. 51/2018, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

Punti fondamentali del Regolamento del sistema di videosorveglianza del Comune sono:

  • Principi e finalità del Regolamento
  •  Soggetti: titolare del trattamento, responsabili del trattamento e soggetti designati e autorizzati al trattamento
  • Informativa: approccio a due livelli
  •  Finalità dei sistemi, architettura degli impianti e ubicazione impianti
  • Trattamento e conservazione dei dati
  • Modalità di raccolta dati
  •  Accesso ai filmati
  • Sicurezza dei dati

LA SITUAZIONE NEI COMUNI

La videosorveglianza nei Comuni è un fenomeno che ha registrato negli ultimi anni una crescita esponenziale per rispondere alla domanda di sicurezza dei cittadini. Sono spesso i Sindaci che promuovono l’installazione di telecamere di videosorveglianza per diverse finalità, incoraggiati anche da finanziamenti pubblici di progetti per la videosorveglianza urbana. I sistemi di videosorveglianza sono infatti tra gli strumenti privilegiati per la prevenzione e il contrasto dei fenomeni di criminalità diffusa.

Ma non sempre, però, l’attività di progettazione, acquisto, installazione e gestione dei sistemi di sorveglianza è preceduta da una valutazione d’impatto che, tenendo conto del nuovo quadro normativo sulla protezione dei dati, agevoli la redazione di un rigoroso Regolamento per la disciplina del sistema di videosorveglianza.

Ormai sono passati quasi tre anni dall’applicazione del Regolamento n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR), e molti Comuni hanno provveduto alla nomina del Responsabile della protezione dei dati (obbligatoria per gli enti pubblici) e all’adeguamento al Regolamento.

Nella fase di assessment si sarebbe dovuto provvedere a “formare” il personale, “mappare” i processi, operare un’analisi di sicurezza dei sistemi e a mettere in atto quegli strumenti richiesti per l’adeguamento:

  • registri delle attività di trattamento
  • nomina Responsabili del trattamento e soggetti autorizzati con istruzioni operative
  • informative chiare per ogni servizio erogato
  • misure previste per colmare il gap in fase di analisi di sicurezza dei sistemi
  • istruzioni operative in caso di data breach

La gestione dei sistemi di videosorveglianza è uno dei trattamenti più “critici” rilevati nell’attività di Responsabile della protezione dei dati dei Comuni.

Ricordo che compiti del Responsabile della protezione dei dati sono, tra gli altri:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento in merito agli obblighi derivanti dal GDPR
  • sorvegliare l’osservanza del GDPR compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento

Il Responsabile della protezione dei dati nominato dal Comune, che deve avere competenze in ambito normativo, organizzativo ed informatico, è quindi il soggetto individuato dal GDPR per promuovere la gestione del sistema di videosorveglianza secondo quanto richiesto dal nuovo quadro normativo, che si innesta nel nuovo Regolamento sulla protezione dei dati che dovrebbe essere ormai per ogni Comune approvato e pubblicato.

Il Garante per la protezione dei dati personali vigila sull’assolvimento degli obblighi previsti dal GDPR e può punire, senza alcun favore per gli enti pubblici, con sanzioni fino a 10 milioni di euro.

Le indicazioni delle regole da seguire, dei soggetti coinvolti e delle sanzioni previste appaiono piuttosto chiare, ma per i Comuni, per una corretta attenzione alla protezione dei dati, la strada da percorrere nel passare dalla teoria alla pratica è ancora lunga.