Il Comitato Europeo per la protezione dei dati personali (l’”EDPB”) ha recentemente pubblicato le Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi di videosorveglianza (le “Linee guida”).

Le Linee Guida hanno lo scopo di fornire orientamenti su come applicare il Regolamento UE 2016/679 (“GDPR”) in tutti i potenziali settori di utilizzo di dispositivi di videosorveglianza.

Tra i punti di chiave delle Linee Guida, si segnalano i seguenti aspetti:

  • Ambito di applicazione: l’uso di dispositivi per la videosorveglianza è soggetto all’applicazione del GDPR solo se:
    • una persona può, attraverso il dispositivo di videosorveglianza, essere identificata direttamente o indirettamente;
    • il trattamento non è effettuato dalle Autorità competenti dell’UE a fini di prevenzione, individuazione o perseguimento di reati o esecuzione di sanzioni penali (altrimenti il trattamento rientrerebbe nell’ambito di applicazione della Direttiva (UE) 2016/680);
    • il trattamento non avviene nell’ambito di un’attività puramente personale o domestica. Se il trattamento viene effettuato nell’ambito di tale attività, si applica la cosiddetta “domestic exemption” che, tuttavia, deve sempre essere interpretata in modo restrittivo.
  • Legittimità del trattamento: i titolari del trattamento (i “Titolari”) devono specificare le finalità del trattamento dei dati prima di utilizzare i dispositivi di videosorveglianza. In conformità con il principio di accountability ex Art. 24 del GDPR, queste finalità devono essere documentate per iscritto e specificate per ogni dispositivo di videosorveglianza in uso (la videosorveglianza basata sulla mera finalità di “sicurezza” non sarà considerata sufficientemente specifica). In relazione alle base giuridica, il trattamento dei dati sarà molto probabilmente legittimato dagli “interessi legittimi” del titolare del trattamento o in base alla “funzione pubblica” ricoperta dallo stesso (se il trattamento è necessario per eseguire un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri). Il consenso può servire come base giuridica valida in casi piuttosto eccezionali, ma è sempre necessario in caso di trattamento di categorie particolari di dati.
  • Limitazione delle finalità: devono essere fornite garanzie agli interessati per evitare qualsiasi uso improprio e illegittimo.
  • Trattamento di categorie particolari di dati (ad esempio, dati biometrici): la videosorveglianza non comporta sempre un trattamento di categorie particolari di dati personali. Tuttavia, in tal caso, il Titolare deve individuare idonea base giuridica per il trattamento dei dati ai sensi dell’articolo 9, comma 2, del GDPR. Inoltre, il trattamento di categorie particolari di dati e, in particolare, dei dati biometrici (ad esempio, quando si utilizzano le tecnologie di riconoscimento facciale) comporta maggiori rischi per gli interessati e richiede pertanto una maggiore e costante attenzione per quanto riguarda gli adempimenti previsti dal GDPR. Ad esempio, il trattamento di dati biometrici tramite sistemi di videosorveglianza richiederà (i) l’adozione di elevate misure di sicurezza, (ii) una valutazione d’impatto sulla protezione dei dati, nonché (iii) il consenso esplicito di tutti gli interessati coinvolti.
  • Trasparenza del trattamento: alla luce delle numerose informazioni da fornire agli interessati nell’ambito del GDPR, l’EDPB raccomanda un’informativa su più livelli: innanzitutto, l’affissione di un segnale/cartello di avviso in prossimità dell’area videosorvegliata che illustri le informazioni più importanti sul trattamento dei dati personali (“primo livello”); inoltre, si raccomanda di rendere accessibile e/o fornire all’interessato, in modo esaustivo e completo, le informazioni previste dall’articolo 13 del GDPR anche tramite l’adozione di un documento dettagliato di informativa (“secondo livello”). Si raccomanda che le informazioni di “secondo livello” siano facilmente accessibili agli interessati, sia in formato digitale che cartaceo, e che siano, ove possibile, rese disponibili prima di entrare nell’area videosorvegliata.
  • Periodi di conservazione: in alcuni Stati membri dell’UE possono essere previste disposizioni specifiche per i periodi di conservazione in merito alla videosorveglianza. In caso contrario, tenendo conto dei principi di minimizzazione dei dati e di limitazione previsti dall’articolo 5 del GDPR, nella maggior parte dei casi, i dati personali dovrebbero essere cancellati quanto prima (comunque, secondo l’EDPB, non oltre pochi giorni).
  • Misure di sicurezza: i Titolari devono proteggere adeguatamente l’infrastruttura hardware e software del sistema di videosorveglianza e garantire la sicurezza e l’integrità dei dati in tutte le fasi di trattamento, vale a dire durante la memorizzazione (dati a riposo), la trasmissione (dati in transito) e l’elaborazione (dati in uso) tramite idonee misure di sicurezza, organizzative e tecniche. Alla luce del principio di privacy by design ex articolo 25 del GDPR, i Titolari dovrebbero scegliere tecnologie che tutelino i dati personali fin dalla progettazione, come i sistemi che consentono di mascherare o non rendere chiaramente visibili aree che non sono rilevanti per la videosorveglianza, o parti irrilevanti di un’immagine digitale.

Una delle novità principali delle Linee Guida riguarda il nuovo cartello di avviso di videosorveglianza che prevede più informazioni di quelle contenute nel modello attuale. In particolare, il cartello dovrà includere, oltre alle informazioni essenziali, quali finalità del trattamento, estremi identificativi del titolare e i diritti degli interessati, anche i dati di contatto del DPO, il riferimento al legittimo interesse del titolare o di terze parti, il codice QR e le modalità che rinviano all’informativa di “secondo livello”, eventuale trasferimento di dati extra-UE e il periodo di conservazione.

Il Garante Privacy ha disciplinato l’attività di videosorveglianza tramite il provvedimento dell’8 aprile 2010 che dovrà essere adattato ed aggiornato compatibilmente a quanto previsto dal GDPR. In tal senso, occorrerà chiarire se il cartello di avviso di videosorveglianza attualmente in uso dovrà essere integrato rispetto al nuovo modello indicato nelle Linee Guida.

La consultazione pubblica delle Linee Guida si è conclusa il 9 settembre 2019. L’EDPB ha in programma di adottare una versione rivista e definitiva entro la fine dell’anno.