• admin

Trattamento di dati personali mediante sistemi di videosorveglianza, linee guida dell’EDPB: il testo

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il testo definitivo delle Linee guida relative al trattamento di dati personali mediante sistemi di videosorveglianza. Ecco tutte le nuove regole per la compliance al GDPR


Lo scorso 29 gennaio il Comitato europeo per la protezione dei dati (EDPB) ha adottato il testo definitivo delle Linee guida relative al trattamento di dati personali mediante sistemi di videosorveglianza, dopo la fase di consultazione pubblica conclusasi il 9 settembre 2019.

Rispetto al testo già noto, in questa nuova versione il Comitato si è limitato a precisare alcuni concetti o esempi, senza apportare modifiche sostanziali.


Campo di applicazione

Si ribadisce che la normativa sulla tutela dei dati personali non si applica all’ipotesi di telecamere finte (“fake cameras”), pur riconoscendo che in alcuni stati membri potrebbero essere soggette a normativa specifica, nonché le riprese effettuate dalle telecamere integrate negli autoveicoli per assistenza al parcheggio, purché siano impostate in modo da non riprendere le targhe o comunque da non consentire l’identificazione dei passanti.

Quanto alla “household exception”, la stessa deve essere interpretata in modo restrittivo: ad esempio, non vi può rientrare un sistema di videosorveglianza il cui cono di ripresa sia orientato in modo da riprendere anche parzialmente uno spazio pubblico, fuoriuscendo dal perimetro privato.


Criteri di liceità del trattamento

La videosorveglianza può essere funzionale a varie finalità, che dovranno essere documentate in modo specifico e per iscritto, per ciascun sistema in uso. I sistemi utilizzati dallo stesso titolare del trattamento per la medesima finalità, possono essere documentati congiuntamente.


I criteri di liceità da privilegiare per fondare questo tipo di trattamento sono il legittimo interesse ai sensi dell’art. 6.1. lett. f) GDPR ovvero l’adempimento di un obbligo di legge ai sensi dell’art. 6.1. lett. c) GDPR. Quanto al primo, dovrà consistere in un interesse, del titolare del trattamento o di un terzo, di tipo legale, economico o non-materiale.

Ai fini del rispetto del principio di accountability, l’esistenza di un legittimo interesse reale ed attuale potrà essere documentata facendo riferimento ad episodi verificatisi ovvero a dati statistici sulla criminalità relativi alla zona in considerazione.


Nel decidere il “quando” e “dove” del sistema, dovrà essere rispettato il principio di minimizzazione: generalmente la necessità di utilizzare il sistema per proteggere la proprietà del titolare del trattamento finisce ai confini della stessa e, ove in casi eccezionali sia necessario estendere le riprese nelle immediate vicinanze, dovranno essere implementate apposite misure di sicurezza fisiche e tecniche.


Il principio di minimizzazione dovrà essere rispettato anche nella scelta tra registrazione delle immagini o visione in tempo reale (quest’ultima modalità, infatti, in determinati casi potrebbe risultare addirittura più intrusiva).


La sussistenza del legittimo interesse deve essere valutata caso per caso e deve tenere in considerazione le ragionevoli aspettative dell’interessato di essere ripreso. Queste devono essere intese non come percezioni soggettive dell’interessato, bensì come aspettative oggettive, che potrebbero sussistere per un qualsiasi interessato (ad esempio, in certe situazioni è esclusa la ragionevole aspettativa del lavoratore di essere ripreso nei luoghi di lavoro, oppure è esclusa in giardini privati o all’interno delle aree ricreative quali ristoranti, parchi, cinema, palestre).


Infine, è chiarito che l’affissione di cartelli che rendono nota la presenza del sistema di videosorveglianza non ha alcun rilievo nel determinare se un interessato potrebbe oggettivamente aspettarsi quel trattamento.


Su questo specifico aspetto, la nuova versione delle linee guida aggiunge un esempio: il titolare di un esercizio commerciale non potrà fare affidamento sul fatto che i clienti abbiano oggettivamente una legittima aspettativa di essere ripresi solo perché un cartello all’ingresso del negozio informa gli utenti dell’esistenza del sistema.


Quanto al consenso, lo stesso potrà essere utilizzato come criterio di liceità solo in casi eccezionali, e purché in linea con tutti i requisiti di cui all’art. 7 GDPR: ad esempio, potrebbe non costituire una dichiarazione o una chiara azione positiva il fatto di entrare in una zona sorvegliata seppure delimitata (a cui si debba accedere tramite percorso o cancello dedicato), qualora non siano rispettati i criteri di cui agli articoli 4 e 7 del GDPR, come descritti nelle linee guida del WP 29 in materia di consenso.


Trasmissione delle riprese video a soggetti terzi

Il Comitato chiarisce che la trasmissione dei filmati a terzi costituisce un’operazione di trattamento distinta rispetto alla registrazione stessa e che, conseguentemente, deve basarsi su un proprio criterio di liceità (ad esempio, ove si vogliano pubblicare le immagini sul web sarà necessario il consenso dell’interessato). Il soggetto terzo ricevente deve a sua volta effettuare un’analisi per individuare il criterio di liceità del proprio trattamento di dati personali (ricezione dei filmati).


Fonte: https://www.cybersecurity360.it/legal/privacy-dati-personali/trattamento-di-dati-personali-mediante-sistemi-di-videosorveglianza-linee-guida-delledpb-il-testo-definitivo/

0 visualizzazioni

©2019 by Enigma Defense Srl. All rights reserved.

Enigma Defense S.r.l.

P.IVA 10609041008 | +39 06 8881 6605 | info@enigmadefense.it | enigmadefense@messaggipec.it

Sede Legale: Via Gino Capponi, 116 - 00179 Roma RM

Sede Operativa: Via Appia Nuova, 669 - 00179 Roma RM