linee guida 3/2019

GDPR e videosorveglianza, pubblicate le linee guida EDPB. L’analisi punto per punto

di |

Le linee guida si prefiggono lo scopo di fornire gli strumenti utili per evitare che la legittima acquisizione di video registrazioni scivoli poi in un trattamento illecito o non conforme al GDPR. (All'interno dell'articolo è possibile scaricare il pdf completo con le linee guida tradotte).

Sono state rese note dall’European Data Protection Board (EDPB) le linee guida 3/2019 del 12 luglio 2019 sul trattamento dei dati personali in merito ai servizi di videosorveglianza.

Le linee guida in commento sono interessanti perché l’utilizzo intensivo dei sistemi di video sorveglianza ha modificato il comportamento dei cittadini che, sentendosi osservati, modificano il loro atteggiamento, diverso da quello che avrebbero avuto nel caso fossero rimasti anonimi.

Le linee guida si prefiggono lo scopo di fornire gli strumenti utili per evitare che la legittima acquisizione di video registrazioni scivoli poi in un trattamento illecito o non conforme al GDPR.

Di seguito una rielaborazione di quanto descritto nelle linee guida 3/2019.

  1. L’analisi del trattamento dati nei casi di Videosorveglianza a mente dell’Articolo 5 GDPR.

Per identificare le finalità del trattamento si deve verificare quanto prescritto dall’Articolo 5 del GDPR.

Invero, le finalità possono cambiare a seconda che il titolare sia pubblico o privato, che la video sorveglianza abbia la finalità di migliorare la sicurezza, per fornire strumenti di pubblicità mirata.

A volte poi le tecniche di video sorveglianza hanno carattere altamente intrusivo (es. tecnologie biometriche complesse) o meno intrusive (ad esempio semplici algoritmi di conteggio delle persone in un locale).

Sul punto l’EDPB fa notare come gli algoritmi spesso non siano totalmente affidabili e che i titolari e responsabili della videosorveglianza devono mantenere un grado minimo di affidabilità dei sistemi di video sorveglianza per evitare scelte giuridiche affidate a tali sistemi (come l’identificazione facciale o il riconoscimento) abbia risultati errati e quindi deleteri.

Inoltre l’EDPB afferma che la videosorveglianza non è l’unico strumento da adottare per alcune finalità perseguite dal titolare del trattamento.

2. L’area di applicazione del GDPR nel trattamento dei dati nella video sorveglianza.  

2.1 I Dati personali raccolti

È di tutta evidenza che una volta entrato in un locale videosorvegliato, si raccolgono così tante immagini e video correlate ad un interessato.

La raccolta di tutte le informazioni relative alle persone monitorate consente l’elaborazione di dati personali riferibili alla presenza della persona in un determinato luogo e permette di valutarne il comportamento o estrapolarne dettagli che a prima vista non sarebbero percepibili ad occhio nudo.

L’abuso che potrebbe derivarne da tali informazioni è evidente.

Più è ampia la sorveglianza più è alto il rischio.

Sul punto basti evidenziare che l’articolo 35, paragrafo 3, lettera c) del GDPR prescrive la DPIA in caso di monitoraggio sistematico su larga scala di un’area accessibile al pubblico (si veda il paragrafo 10 in calce).

Inoltre è degno di nota quanto prescritto all’articolo 37, paragrafo 1, lettera b) GDPR che in questi casi impone la nomina di un DPO.

Tuttavia, il GDPR non si applica quando la persona non è in alcun modo identificabile, direttamente o indirettamente.

Qui di seguito gli esempi forniti dall’EDPB in cui non si applica il GDPR:

  1. telecamere false (cioè quelle che non registrano video o immagini) poiché non vengono elaborati dati personali;
  2.  video registrazioni ad alta quota (perché le immagini non possono essere agganciate ad un soggetto preciso);
  3. videocamera a bassa risoluzione, non in grado di raccogliere alcuna informazione relativa ad una specifica persona fisica (come targhe o informazioni che potrebbero identificare i passanti).

2.2 Direttiva EU2 016/680

Ogni trattamento dei dati personali (anche da video registrazione) da parte delle autorità competenti ai fini della prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, non è disciplinato dal GDPR ma dalla Direttiva EU 2016/680

2.3 Eccezioni per fini domestici

Ai sensi dell’articolo 2, paragrafo 2, lettera c), il trattamento di dati personali da parte di una persona fisica nel corso di attività puramente personali o domestiche, che possono includere anche attività online, è da considerarsi fuori dal campo di applicazione del GDPR (si veda anche il considerando n.18).

Questa eccezione – specie nel contesto della videosorveglianza – deve essere interpretato restrittivamente.

Sul punto, la Corte di Giustizia (sentenza nella causa C-101/01, caso Bodil Lindqvist , 6 novembre 2003, paragrafo 47) afferma che tale eccezione si riferisce solo alle attività svolte nel corso della vita privata o familiare, e tale non può essere la condivisione su Internet di tali dati, che di conseguenza sono resi accessibili a un numero indefinito di persone.

Inoltre, se un sistema di videosorveglianza registra ed archivia immagini, anche parzialmente, di uno spazio pubblico, non può più essere considerata tale attività come privata o familiare (Corte di giustizia europea, sentenza nella causa C-212/13, František Ryneš v Úřad pro ochranu osobních údajů , 11 dicembre 2014, par. 33.)

Esempio: un turista sta registrando un video sia attraverso il suo telefono cellulare che attraverso una videocamera per documentare le sue vacanze.

Mostra il filmato ad amici e parenti ma non lo rende accessibile ad un numero indefinito di persone. Questo ricadrebbe nell’eccezione richiamata.

Esempio: un mountainbiker vuole registrare la sua discesa con una actioncam. Le registrazioni verranno visionate per il suo intrattenimento. Anche questa circostanza ricade nell’eccezione.

Esempio: qualcuno ha installato un sistema di video sorveglianza nel proprio giardino.

La proprietà è recintata e solo il titolare stesso e la sua famiglia hanno accesso regolarmente nel giardino. Questo rientrerebbe nell’eccezione a condizione che la videosorveglianza non monitori, anche parzialmente, uno spazio pubblico o una proprietà altrui.

3 LEGITTIMITÀ DEL TRATTAMENTO

Prima di ogni trattamento effettuato con dispositivi video devono essere specificate nel dettaglio le sue finalità (Articolo 5, paragrafo 1, lettera b), GDPR).

Le finalità della video sorveglianza possono essere diverse:

  • la protezione della proprietà e di altri beni;
  • la raccolta di prove per il diritto di difesa nei processi civili.

Per questa ragione, le finalità devono

  • essere documentate per iscritto (articolo 5, paragrafo 2, GDPR);
  • essere specifiche per ogni sistema di video sorveglianza in uso (cioè raggruppate per scopi comuni);
  • devono fornire informazioni agli interessati in modo da far comprendere le finalità e gli scopi del trattamento conformemente all’articolo 13 del GDPR.

Secondo l’EDPB la semplice finalità per fini di “sicurezza” non è sufficientemente specificata poiché non si aggancia alle diverse base giuridiche di cui all’art. 6.

3.1 Le basi giuridiche

Ad esempio, si applica l’articolo 6, paragrafo 1, lettera c), GDPR quando è la stessa legge a prevedere l’obbligo di video sorveglianza.

Comunque le basi giuridiche più comuni sono quelle fondate:

· sull’Articolo 6, paragrafo 1, lettera f), GDPR (legittimo interesse).

· sull’Articolo 6, paragrafo 1, lettera e), GDPR (necessità di svolgere un compito svolto nell’interesse pubblico o nell’esercizio di autorità ufficiale)

· sull’Articolo 6, paragrafo 1, lettera a), GDPR (consenso).

3.1.1 Legittimo interesse

La videosorveglianza è lecita se è necessaria a soddisfare la finalità per legittimo interesse perseguito da un titolare del trattamento o da terzi, a meno che tali interessi non mettano a rischio i diritti e libertà fondamentali dell’interessato (articolo 6, paragrafo 1, lettera f), GDPR).

Per legittimo interesse si intende un interesse:

  1. legale;
  2. economico;
  3. immateriale.

Tuttavia, l’interessato può opporsi (ai sensi dell’art. 21 GDPR) al trattamento dei dati (anche per i sistemi di videosorveglianza) e ciononostante il titolare può procedere con la videosorveglianza laddove il legittimo interesse prevalga sugli interessi, i diritti e le libertà dell’interessato o per esercitare il diritto di difesa.

Invero, in una situazione realmente pericolosa, la finalità di proteggere la proprietà ad es. da un furto può costituire un legittimo interesse per giustificare la videosorveglianza.

Il legittimo interesse deve essere pertanto:

  • reale (cioè non deve essere immaginario o speculativo); e,
  • attuale (cioè non potenziale ma concreto, ad esempio una situazione di pericolo imminente può costituire una base giuridica da legittimo interesse; ad esempio le gioiellerie o le stazioni di benzina).

Del pari il legittimo interesse non può essere desunto in re ipsa ma deve essere valutato caso per caso e bilanciato con i diritti dell’interessato.

3.1.2 Necessità del trattamento.

I dati personali devono essere adeguati, pertinenti e limitati in relazione alle finalità per i quali sono trattati (“minimizzazione dei dati“), a mente dell’Articolo 5, paragrafo 1, lettera c), GDPR.

Prima di installare un sistema di videosorveglianza il titolare dovrebbe verificare che tale misura è proporzionata alla finalità perseguita.

Invero la videosorveglianza dovrebbe essere adottata come extrema ratio.

Ad esempio, l’EDPB suggerisce che se la finalità è quella di prevenire i reati connessi alla proprietà, invece di installare un sistema di videosorveglianza, il titolare potrebbe anche adottare misure di sicurezza alternative come sistemi di sorveglianza quali assumere personale di sicurezza.

Esempio: il proprietario di un negozio desidera aprire un nuovo esercizio commerciale e desidera installare una sistema di videosorveglianza. A base del legittimo interesse, egli può riferirsi alle statistiche di atti di vandalismo in quel quartiere o riferirsi ad esperienze dei locali commerciali dei negozi vicini.

Tuttavia, non è sufficiente per giustificare un legittimo interesse basarsi su statistiche nazionali o generali senza analizzare l’area in questione o i pericoli specifici inerenti il negozio.

Inoltre, secondo l’EDPB, prima di installare un sistema di video sorveglianza il titolare è obbligato a valutare dove e quando le telecamere di sorveglianza sono strettamente necessarie (per esempio di notte e situate nel perimetro della proprietà).

Esempio: una libreria vuole proteggere i suoi locali contro atti di vandalismo.

In generale, le fotocamere dovrebbero solo filmare i locali interni perché non è necessario installare telecamere nei luoghi attigui o aree pubbliche nelle vicinanze.

Pertanto, per minimizzare i dati e per evitare una eccessiva raccolta, viene spesso utilizzato il black box in cui il filmato viene automaticamente eliminato dopo un certo periodo di archiviazione e accessibile solo in caso di incidente.

3.1.3 Bilanciamento degli interessi

Dando per assodato che la videosorveglianza sia necessaria per proteggere i legittimi interessi di un titolare, come detto è necessario sempre bilanciare gli interessi contrapposti dell’interessato.

In particolare, il titolare deve considerare:

  1. in che misura il monitoraggio incide sugli interessi, diritti fondamentali e le libertà degli individui; e
  2. se ciò provochi violazioni o conseguenze negative sui diritti dell’interessato.

Tale bilanciamento di interessi è obbligatorio:

da una parte, i diritti fondamentali e libertà dell’interessato; dall’altra, gli interessi legittimi del titolare.

Esempio: una società di parcheggi ha documentato il ripetersi di episodi di furto delle macchine parcheggiate. L’area di parcheggio è uno spazio aperto e può essere facilmente accessibile da chiunque, seppur debitamente segnalato con cartelli che circondano il perimetro.

Il legittimo interesse è prevenire i furti delle auto dei clienti.

Dall’altro gli interessati hanno diritto a non essere monitorati, nonostante che la videoregistrazione avvenga per la prevenzione dei furti e sia effettuata anche a loro vantaggio. Quindi il monitoraggio è limitato solo alla sorveglianza delle auto ma non alla sorveglianza degli stessi clienti.

Esempio: un ristorante decide di installare delle videocamere nei servizi igienici per controllare la loro pulizia. In questo caso i diritti degli interessati hanno chiaramente la precedenza sul legittimo interesse del titolare, quindi le telecamere non possono essere installate nei servizi igienici.

3.1.3.1 Bilanciamento case-by-case

Seguendo l’impostazione data dall’Articolo 6, paragrafo 1, lettera f), GDPR, il bilanciamento degli interessi è obbligatorio e deve essere concreto ed attuale (quindi non formale).

Il titolare, ad esempio, deve valutare il peso (numero dei dati e delle persone o le dimensioni dell’area monitorata) ed i rischi dei diritti e delle libertà degli interessati coinvolti; nonché la possibilità di disporre di valide alternative alla videosorveglianza.

Esempio: se viene installata una dash cam (ad es. per raccogliere eventualmente prove nel caso di un incidente), è importante assicurarsi che anche questa telecamera non stia registrando costantemente le persone presenti sulla strada. Altrimenti la finalità andrebbe fuori dal perimetro del legittimo interesse alla video registrazione e cioè si trasformerebbe nella finalità di monitorare i dati di terzi in generale.

3.1.3.2 Ragionevoli aspettative degli interessati

Secondo il considerando 47 del GDPR, l’esistenza di un legittimo interesse richiede un’attenta valutazione anche delle aspettative degli interessati, per tale intendendosi l’aspettativa dell’interessato ad essere tutelato dal titolare nella valutazione del caso concreto.

Ad esempio, un dipendente sul posto di lavoro nella maggior parte dei casi non si aspetta che sia monitorato dal suo datore di lavoro.

Allo stesso modo, non è ragionevole aspettarsi di essere monitorati in strutture sanitarie o altre aree che per definizione sono riconosciute come zone private.

Esempio: nei servizi igienici ci si aspetta di non essere monitorati.

Di contro, il cliente di una banca potrebbe aspettarsi che venga monitorato all’interno della stessa banca.

L’aspettativa di essere monitorati può esserci anche nei luoghi pubblici, dove il legittimo interesse è declinazione dell’Articolo 6, paragrafo 1, lettera e), GDPR, per svolgere quelle attività nell’interesse pubblico (come salute e sicurezza per la protezione di dipendenti e visitatori).

3.3 Base giuridica tramite consenso ai sensi dell’Articolo 6, paragrafo 1, lettera a), GDPR.

Come noto il consenso deve essere

  1. libero;
  2. specifico;
  3. informato;
  4. attuale;
  5. revocabile.

Tali presupposti si applicano anche alla videosorveglianza, con la precisazione che il consenso può costituire valida base giuridica solo in casi eccezionali a mente dell’Articolo7 GDPR (cfr. considerando 43).

Infatti, per sua natura la videosorveglianza consente di monitorare contemporaneamente un numero sconosciuto di persone.

Il titolare difficilmente sarà in grado di provare che l’interessato abbia dato il proprio consenso prima del trattamento dei propri dati personali (Articolo 7, paragrafo 1, GDPR).

Come del resto sarebbe difficile che in caso di revoca del consenso, il titolare sia in grado di non trattare più quei dati riferibili a quel singolo interessato (Articolo 7, paragrafo 3, GDPR).

Tuttavia, se il titolare intende giovarsi della base giuridica del consenso, è suo dovere assicurarsi che ogni persona interessata conferisca il suo esplicito consenso (per esempio quando si attraversa un’area particolare come un corridoio o un cancello specifico per entrare in un luogo monitorato).

Oppure, nel caso di videosorveglianza nei luoghi di lavoro, ove dato lo squilibrio di potere tra datore di lavoro e dipendenti, nella maggior parte dei casi i datori di lavoro dovrebbero non fare affidamento sul consenso, in quanto è improbabile che venga dato liberamente (sul punto si rimanda a quanto previsto dall’art. 4 dello Statuto dei lavoratori).

Esempio: gli atleti possono richiedere di essere monitorati durante le singole esercitazioni per analizzarne le proprie tecniche e prestazioni. Tuttavia, se un club sportivo prende l’iniziativa di monitorare un’intera squadra per la medesima finalità, il consenso spesso non è valido poiché il singolo atleta o gli atleti possono sentirsi costretti a dare il consenso per evitare che il loro rifiuto possa influire negativamente, anche sugli stessi compagni di squadra.

4 Divulgazione di filmati a terzi

In linea di principio, il GDPR disciplina i casi di divulgazione di registrazioni video a terzi.

4.1 Divulgazione di riprese video a terzi in generale

La divulgazione come “trattamento dati” è definita all’articolo 4, paragrafo 2, GDPR, come trasmissione (ad es. comunicazione individuale), diffusione (ad esempio, la pubblicazione online) o la messa a disposizione in altro modo.

I terzi sono definiti all’articolo 4, paragrafo 10, GDPR (inoltre, il WP Group 29 ha adottato delle specifiche linee guida al riguardo).

Ad ogni modo, qualsiasi divulgazione di filmati contenenti dati personali deve avere una specifica base giuridica (Articolo 6, paragrafo 4, GDPR).

Esempio: un titolare che desideri caricare una registrazione su Internet deve fare affidamento su una base giuridica per tale trattamento, ad esempio ottenendo il consenso dell’interessato secondo Articolo 6, paragrafo 1, lettera a), GDPR.

La stessa valutazione deve essere effettuata dal destinatario che, in particolare, dovrà identificare la sua base giuridica ai sensi dell’Articolo 6 (ad esempio la ricezione del materiale).

Esempio: il sistema di videosorveglianza posto su una barriera all’ingresso di un parcheggio è stata installata con lo scopo di risolvere eventuali richieste di risarcimento danni. Si verifica un danno e la registrazione viene trasferita ad un avvocato per seguirne il caso.

In questo caso la finalità della registrazione è il trasferimento del dato personale contenuto nella registrazione.

Laddove nella medesima situazione, però, la registrazione venisse pubblicata online per puro divertimento, in questo caso la finalità sarebbe diversa e non sarebbe compatibile con la finalità iniziale. Inoltre sarebbe problematico identificare una base giuridica per tale trattamento (pubblicazione) e si potrebbe immaginare il consenso dell’interessato.

4.2 Divulgazione di filmati alle forze dell’ordine

Anche la divulgazione di registrazioni video verso le forze dell’ordine è un trattamento separato che richiede una base giuridica diversa ai sensi dell’Articolo 6, paragrafo 1, lettera c), GDPR, per esempio per cooperare durante le indagini.

Esempio: un proprietario del negozio registra filmati al suo ingresso. Registra una persona che ruba un portafoglio. La polizia chiede al titolare di consegnare il materiale per finalità di indagine ai sensi dell’Articolo 6, paragrafo 1, lettera c), GDPR.

Esempio: una telecamera è installata in un negozio per motivi di sicurezza. Il proprietario del negozio crede di aver registrato qualcosa di sospetto e decide di inviare il materiale alla polizia (senza alcuna indicazione di una qualsivoglia indagine in corso). In questo caso il proprietario del negozio deve valutare se le condizioni di cui all’Articolo 6, paragrafo 1, lettera f), GDPR sono soddisfatte.

Ricordiamo che il trattamento dei dati personali da parte delle forze dell’ordine è disciplinato dalla direttiva EU 2016/680.

Per scaricare le linee guida complete e tradotteclicca qui. (pdf)

Leggi le altre notizie sull’home page di Key4biz