Videosorveglianza e trattamento di dati personali Ai sensi dell’art. 4, comma 1, n. 1 e 2 del Regolamento UE 2016/679 (“GDPR”), è considerato “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile ed è considerato un “trattamento” la raccolta, la registrazione e la conservazione di un dato personale e dunque, l’utilizzo delle immagini configura come un trattamento di dati personali. La Corte di Cassazione[1] è concorde nel considerare l’immagine di una persona quale dato personale in quanto si tratta di un dato immediatamente idoneo a identificare una persona a prescindere dalla sua notorietà. Nello stesso senso, la Corte di Giustizia dell’Unione europea, pronunciandosi sulla causa C-212/13 (Ryneš vs. Ufficio per la tutela dei dati personali), ha affermato che l’immagine di una persona registrata da una telecamera costituisce un dato personale se e in quanto consente di identificare la persona interessata e che una sorveglianza effettuata mediante registrazione video delle persone e immagazzinata in un dispositivo di registrazione, costituisce un trattamento automatizzato di dati personali. Considerata la varietà di trattamenti di dati personali derivanti dall’attività di videosorveglianza e le ripercussioni che tale attività potrebbe avere sulla sfera personale e privata degli individui ripresi, il Garante Privacy, il 5 dicembre 2020, ha pubblicato le “Risposte alle domande più frequenti in tema di videosorveglianza e protezione dei dati personali” (“FAQ”). Il presente contributo avrà principalmente ad oggetto una disamina dei principi di liceità del trattamento sanciti dal GDPR con riferimento alla videosorveglianza, nonché l’analisi degli adempimenti da porre in essere qualora una società intendesse installare sistemi di videosorveglianza nei luoghi di lavoro. Principi applicabili alla videosorveglianza Si premettere che la videosorveglianza e l’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto di varie disposizioni dell’ordinamento giuridico, quali a titolo esemplificativo e non esaustivo: In particolare, a prescindere dal contesto in cui si decida di installare impianti di videosorveglianza, la stessa deve essere svolta nel rispetto del “principio di minimizzazione” dei dati di cui all’art. 5, comma 1, lett. c), GDPR. Questo principio, il quale sancisce che i dati debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, deve essere applicato sia alla scelta delle modalità di ripresa e alla dislocazione degli impianti di ripresa, sia alla gestione delle varie fasi del trattamento (ad esempio, la raccolta, la consultazione o la conservazione delle immagini). Alla luce di quanto sopra, si precisa che, per l’installazione di un impianto di videosorveglianza, non è necessaria alcuna autorizzazione da parte del Garante Privacy. Infatti, tra le novità introdotte dal GDPR, vi è la cd. “Accountability” del titolare, ossia il principio per il quale il titolare del trattamento non solo deve garantire l’osservanza dei principi di liceità del trattamento di cui all’art. 5, GDPR (a titolo esemplificativo: principio di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, limitazione della conservazione), ma deve anche essere in grado di dimostrare le valutazioni svolte, le logiche applicate al trattamento, nonché le connesse azioni intraprese (art. 5, comma 2 e art. 24, GDPR). Ciò comporta necessariamente lo svolgimento di valutazioni in merito alla liceità e proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Qualora il trattamento preveda l’utilizzo di nuove tecnologie e il titolare ritenga che, in considerazione della natura, dell’oggetto, del contesto e della finalità del trattamento, il trattamento comporti un rischio elevato per i diritti e le libertà degli interessati, il titolare deve svolgere una valutazione di impatto ai sensi dell’art. 35, GDPR. Come indicato nella FAQ n. 7, tale circostanza potrebbe verificarsi nel caso in cui il titolare del trattamento decidesse di utilizzare, ad esempio, sistemi integrati che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle al fine di rilevare comportamenti anomali, segnalarli ed eventualmente registrarli. La valutazione d’impatto è altresì necessaria nel caso in cui il titolare installi un sistema di videosorveglianza per trattare dati di categoria particolare (ad esempio, un ospedale che installa telecamere per monitorare le condizioni di salute di un paziente). Posto che tale trattamento è legittimato solo in presenza di una delle eccezioni di cui all’art. 9, GDPR (ad esempio, il consenso dell’interessato), è in ogni caso necessario che il titolare faccia le opportune valutazioni nel rispetto del principio di minimizzazione dei dati, cercando in ogni caso di ridurre al minimo il rischio di acquisire filmati che rivelino altri dati a carattere sensibile, indipendentemente dalla finalità perseguite (FAQ n. 2, 7, 14). Oltre a dover svolgere le opportune valutazioni di cui sopra, il titolare del trattamento ha altresì obblighi di informazione, ai sensi dell’art. 13, GDPR, nei confronti degli interessati ripresi, i quali dovranno essere informati della presenza di impianti di videosorveglianza nel caso in cui gli stessi transitino nelle aree videosorvegliate. L’informativa potrà rendersi anche utilizzando un modello semplificato (ad esempio, una informativa grafica) a condizione che vengano fornite almeno le seguenti informazioni: Il documento informativo dovrà essere posizionato subito prima della zona sottoposta a videosorveglianza così che l’interessato possa comprendere quale zona sia coperta da una telecamera ed evitare la sorveglianza o, laddove necessario, adeguare il proprio comportamento. Ad ogni modo, l’informativa resa in forma semplificata deve necessariamente rinviare a un testo completo contenente tutti gli elementi di cui all’art. 13, GDPR (i.e. identità e dati di contatto del titolare e del Data Protection Officer, laddove nominato, finalità e base giuridica del trattamento, eventuali legittimi interessi del titolare su cui si basa il trattamento, le informazioni sui destinatari dei dati, sull’eventuale trasferimento dei dati verso Paesi extra UE, nonché sul periodo di conservazione e sui diritti riconosciuti agli interessati), indicando altresì come e dove trovarlo (FAQ n. 3 e 4). Al fine di rispettare il principio di Accountability, il titolare deve altresì svolgere opportune valutazioni rispetto al periodo di conservazione delle immagini, individuando i tempi di conservazione tenendo conto del contesto, delle finalità, nonché dei rischi per i diritti e le libertà delle persone fisiche. Tale principio ammette eccezioni nel caso in cui vi siano specifici obblighi di conservazione imposti dalle leggi (ad esempio l’art. 6, co. 8, D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l'uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”). In linea generale, i sistemi di videosorveglianza sono installati per motivi di sicurezza e protezione del patrimonio aziendale. Pertanto, in caso di eventuali danni, le predette finalità potrebbero essere perseguite nell’arco di 24/48 ore dal verificarsi dell’evento. Come sancito dall’art. 5, comma 1, lett c) ed e), GDPR, le immagini dovranno essere conservate per il periodo strettamente necessario al conseguimento delle finalità per le quali sono state raccolte e, quindi, raggiunte tali finalità, il titolare dovrà procedere con la cancellazione. Come suggerito dal Garante Privacy, è consigliabile implementare sistemi di cancellazione automatica in modo tale che si abbia accesso alle immagini raccolte solo in caso di necessità. Inoltre, qualora il titolare optasse per un periodo di conservazione pari a 72 o più ore, lo stesso dovrà effettuare ed essere in grado di dimostrare le valutazioni effettuate al riguardo. Infine, a seguito di una specifica richiesta dell’Autorità giudiziaria funzionale ad attività investigative in corso, i predetti termini di conservazione stabiliti dal titolare o dalla legge possono essere prolungati (FAQ n. 6). Videosorveglianza sul posto di lavoro L’installazione degli impianti di videosorveglianza sul posto di lavoro deve avvenire nel rispetto, oltre che della normativa applicabile in materia di protezione dei dati personali, anche di specifiche disposizioni giuslavoristiche. In particolare, come previsto dall’art. 4 dello Statuto dei Lavoratori, il datore di lavoro può installare impianti di videosorveglianza all’interno dell’azienda solo ed esclusivamente per: L’installazione può avvenire solo previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui sopra possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. La norma specifica altresì che le informazioni raccolte attraverso i sistemi di videosorveglianza possono essere utilizzate per finalità connesse al rapporto di lavoro a condizione che (i) sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e (ii) nel rispetto di quanto disposto dal decreto legislativo 196/2003 (i.e. “Codice Privacy”) (FAQ n. 9) Videosorveglianza in altri contesti Le FAQ pubblicate dal Garante Privacy offrono interessanti chiarimenti anche su impianti di videosorveglianza installati in contesti diversi rispetto a quelli aziendali. In particolare, il Garante privacy chiarisce aspetti connessi (inter alia) alla videosorveglianza nei condomini, nelle abitazioni (i.e. smart cam), nonché a impianti di videosorveglianza installati per il rilevamento delle infrazioni stradali o per le riprese ad alta quota. Nello specifico, con riferimento all’istallazione di sistemi di videosorveglianza all’interno di aree condominiali, il Garante Privacy specifica che è possibile farlo solo previa assemblea condominiale, nella quale sia stato espresso il consenso della maggioranza dei millesimi dei presenti (art. 1136 c.c.). È inoltre indispensabile che le telecamere siano segnalate con appositi cartelli e che le registrazioni vengano conservate per un periodo limitato (massimo di 7 giorni) (FAQ n. 11). Relativamente alle smart cam, il Garante Privacy sottolinea che tali strumenti, installati nella propria abitazione per finalità esclusivamente personali, non rientrano nell’ambito di applicazione del GDPR, fermo restando comunque l’obbligo del proprietario di casa di informare eventuali babysitter o colf della presenza di tale tecnologia. Inoltre, qualora vengano installate telecamere per monitorare la proprietà privata, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata altrui (art. 615 bis c.p.), il Garante privacy suggerisce di limitare l’angolo visuale delle riprese ai soli spazi di propria esclusiva pertinenza, escludendo quindi ogni forma di ripresa di aree comuni (come ad esempio cortili) oppure di zone di proprietà di terzi. È in ogni caso vietato la ripresa di aree pubbliche o di pubblico passaggio (FAQ n. 10 e 12). Invece, con riferimento agli impianti installati per il rilevamento di infrazioni stradali, il Garante Privacy chiarisce che (i) i cartelli che segnalano tali sistemi sono obbligatori, anche in base alla disciplina di settore; (ii) l’utilizzo di tali sistemi è lecito solo se sono raccolti esclusivamente dati pertinenti e non eccedenti per il perseguimento delle finalità istituzionali del titolare, delimitando a tal fine la dislocazione e l’angolo visuale delle riprese; (iii) la ripresa del veicolo non deve comprendere (o deve mascherare), per quanto possibile, la parte del video o della fotografia riguardante soggetti non coinvolti nell’accertamento amministrativo (es. eventuali pedoni o altri utenti della strada); (iv) le fotografie o i video che attestano l’infrazione non devono essere inviati al domicilio dell’intestatario del veicolo, ma l’interessato può richiederne copia oppure esercitare il diritto di accesso ai propri dati (fermo restando che dovranno essere opportunamente oscurati o resi comunque non riconoscibili i passeggeri presenti a bordo del veicolo) (FAQ n. 15). Infine, il Garante Privacy specifica che il GDPR non trova applicazione nel caso di (i) riprese ad alta quota (effettuate, ad esempio, mediante l’uso di droni); (ii) fotocamere false o spente in quanto non non vi è alcun trattamento di dati personali; (iii) videocamere integrate in un’automobile per fornire assistenza al parcheggio. Ciò in quanto tale strumenti raccolgono dati non consentono una identificazione diretta o indiretta dell’interessato (FAQ n. 16). [1] Cass. Sez. II, 2 settembre 2015, no. 17440.
