Ogni installazione di telecamere di videosorveglianza che avvenga in luoghi, aperti o chiusi, frequentati dal pubblico – quali strade, piazze, negozi, centri commerciali, uffici, aziende – è disciplinata da regolamenti e provvedimenti ai quali è bene attenersi se non si vuole ledere il diritto alla privacy dei cittadini e incorrere in sanzioni penali. Ma procediamo per gradi.
Il regolamento dell’Unione Europea noto con la sigla GDPR – General Data Protection Regulation, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 e divenuto operativo a partire dal 25 maggio 2018, si occupa di trattamento dei dati personali e di privacy.
Non tratta specificatamente degli aspetti relativi alla privacy legati alla videosorveglianza. Entra nel merito con una sezione dedicata all’utilizzo delle telecamere intelligenti – dotate di software di video analisi in grado di analizzare i comportamenti dei soggetti ripresi e di identificarne caratteristiche fisiche – e lo fa sempre in riferimento al trattamento dei dati rilevati.
Argomento, questo, di cui ci occuperemo in seguito. La disciplina attuale italiana per quanto riguarda la videosorveglianza fa riferimento al Provvedimento del Garante della Privacy del 2010.
Che cosa significa in sostanza? Che quanto contenuto nel GDPR in materia di videosorveglianza va applicato alla luce di quanto indicato nel Provvedimento del Garante della Privacy del 2010.
Sono due gli adempimenti previsti dal Provvedimento del Garante: il primo riguarda l’area inquadrata dalla telecamera (quello che la telecamera “vede” dal punto esatto in cui è installata), il secondo l’informativa sulla privacy mediante il cartello “Area videosorvegliata”.
Quando l’impianto di videosorveglianza controlla un punto preciso di un’aera delimitata quale, ad esempio, può essere l’ingresso di un negozio, la telecamera deve inquadrare solo le porzioni della proprietà.
L’esempio classico è quello del piccolo esercizio commerciale al quale viene contestato il fatto che la telecamera, oltre all’entrata, inquadra anche porzioni di strada, riprendendo tutti indistintamente, non solo coloro che entrano nel locale.
Il Provvedimento su questo punto è molto chiaro: l’inquadratura può spingersi fino all’area del marciapiede prossima al bordo del negozio e non oltre, in modo che non siano identificabili i passanti. Questo è il primo adempimento previsto.
Il secondo adempimento riguarda il cartello che informa sul fatto che l’area in cui ci si trova è videosorvegliata.
Il cartello equivale a un’informativa breve sulla privacy e va posto prima che si entri all’interno della zona soggetta a riprese video.
Un cartello che informa in ritardo, non mette il pubblico nelle condizioni di scegliere se dare il proprio consenso oppure negarlo, vale a dire se farsi riprendere oppure evitare di mettere piede nella data area.
Importante è anche la sua visibilità in ogni condizione di luce. Un’informativa sulla privacy non tempestiva oppure poco visibile a causa del formato del cartello o per il suo posizionamento, espone al rischio di segnalazioni al Garante, con conseguenti sanzioni penali.
Il cartello va compilato: innanzitutto deve contenere il nome del titolare del trattamento delle immagini (ragione sociale dell’azienda o nome del proprietario del negozio, ad esempio) e i suoi dati di contatto. Il titolare è colui il quale definisce i mezzi e le finalità dell’impianto di videosorveglianza installato.
Il cartello deve anche contenere il nome del responsabile del trattamento delle immagini, vale a dire chi riceve e visiona le immagini riprese, ovvero una società esterna che funge da supporto e che tratta i dati per conto del titolare.
Inoltre, se un dipendente dell’azienda titolare visiona le immagini, deve essere autorizzato tramite apposita nomina e deve ricevere una formazione adeguata.
La formazione deve fornire i principi generali relativi al trattamento dei dati e le basi su come trattare le immagini, sui loro tempi di conservazione e su come cancellarle definitivamente.
Relativamente ai tempi di conservazione, il Provvedimento prevede 24 ore estendibili a 48. Ma, per alcune attività come quelle degli Istituti bancari, ad esempio, i tempi si allungano a sette giorni. Se si necessita di un prolungamento, si deve sempre interpellare il Garante della Privacy.
È il GDPR – General Data Protection Regulation a pronunciarsi sugli aspetti legati alla privacy relativi all’utilizzo delle telecamere intelligenti.
Dove, per “telecamera intelligente” si intende un dispositivo evoluto di ripresa video, dotato di Intelligenza Artificiale a bordo, in grado di analizzare, rilevare e identificare caratteristiche fisiche e comportamenti dei soggetti ripresi.
Tra le funzioni più interessanti delle telecamere intelligenti, troviamo il riconoscimento facciale, la capacità di seguire il tragitto delle persone in movimento (rilevando come “evento anomalo” l’eventuale sconfinamento in un’area delimitata) e il riconoscimento di suoni e rumori.
Che cosa prevede il GDPR per questa tipologia di telecamere di videosorveglianza? Innanzitutto, restano validi i due adempimenti previsti dal Provvedimento del Garante della Privacy del 2010 sull’area inquadrata dalla telecamera e sull’informativa sulla privacy mediante il cartello “Area videosorvegliata” (vedi paragrafo precedente “Videosorveglianza e privacy, che cosa prevedono GDPR e Provvedimento del Garante della Privacy nel 2019”). Tali adempimenti sono la base.
Nel caso specifico di una telecamera con riconoscimento facciale a bordo, la ripresa e l’analisi dei tratti del volto sono processi automatizzati.
Il trattamento dei dati è, dunque, automatizzato, vale a dire che, una volta attivato, non è soggetto ad alcun intervento umano che possa impedirlo o modificarlo.Questo che cosa presuppone? In linea generale, va specificato nell’informativa breve sulla privacy (cartello“Area videosorvegliata”): chi transita in un luogo soggetto a videosorveglianza con riconoscimento facciale, va preventivamente avvisato.
Ma, ancora prima di render operativo un sistema video con face detection a bordo – o, comunque, qualsiasi sistema di videosorveglianza per mezzo di telecamere intelligenti – esiste l’obbligo, da parte del titolare del trattamento delle immagini (colui che definisce i mezzi e le finalità dell’impianto di videosorveglianza installato), della valutazione di impatto sulla protezione dei dati (D.P.I.A.- Data Protection Impact Assessment), ai sensi dell’art. 35 del GDPR.
La valutazione di impatto sulla protezione è, nella pratica, un documento di valutazione preventiva dei rischi derivanti dal trattamento dei dati che si intende effettuare.
Rischi per la libertà e per il diritto alla privacy di tutti coloro che potrebbero essere ripresi da telecamere intelligenti, dotate di software di riconoscimento facciale a bordo oppure di altre funzioni di video/audio-analisi.
Questo documento ha l’obiettivo di analizzare in modo puntuale la struttura del trattamento, quali sono le sue finalità e se vengono trattati solo i dati necessari.
Nella redazione di tale documento, il titolare del trattamento viene assistito dal responsabile del trattamento dei dati (chi riceve e visiona le immagini riprese), il quale deve poter fornire ogni informazione necessaria alla corretta valutazione dei rischi per la privacy.
Rilevati eventuali rischi per gli utenti, il titolare del trattamento deve poter individuare concrete misure tecnico-organizzative atte a ridurre, o ad annullare del tutto, tali rischi.
Quando, dal documento, emerge che il trattamento dei dati è causa di un rischio relativamente elevato per gli utenti, c’è l’obbligo di interpello preventivo al Garante della Privacy.
Il Garante interviene solo sulla base delle valutazioni fatte dal titolare del trattamento contenute nel documento, indicando ulteriori misure da adottare per ridurre i rischi, fino ad ammonire il titolare o a vietare il trattamento stesso, quindi a vietare l’utilizzo dell’impianto di videosorveglianza mediante telecamere intelligenti.
Installazione di telecamere di videosorveglianza all’interno degli uffici e, più in generale, nei luoghi di lavoro: è consentita? Da quando? E con quali finalità?
