Le Linee guida n. 3/2019 pubblicate il 12 luglio 2019 da EDPB, comitato dei garanti europei, ribadiscono che nell’utilizzare i sistemi di videosorveglianza devono prioritariamente essere rispettati i principi sanciti dall’art. 5 del GDPR applicabili al trattamento di dati personali, tra i quali i principi della liceità, correttezza e trasparenzalimitazione della finalità, minimizzazione dei dati.

Prima dell'installazione, è necessario accertare che lo strumento sia proporzionato alla finalità perseguita. Il Comitato dei graranti europei considera la videosorveglianza come un’extrema ratio consentendone  l'utilizzo solamente quando gli scopi perseguiti non possono essere raggiunti con altre modalità meno invasive.

Per minimizzare la raccolta dei dati, EDPB suggerisce di ricorrere a soluzioni di cancellazione automatica mediante sovrascrittura del registrato, con video accessibili solo in caso di necessità.

EDPB individua, inoltre, due “misure” necessarie alla corretta gestione e alla raccolta dei dati personali provenienti da sistemi di video sorveglianza: 

– Redazione di una DPIA - Data Protection Impact Assessment –  ex art. 35, par. 3, lett. c) del GDPR n. 2016/679 per la valutazione d’impatto sulla protezione dei dati personali in tutti i casi in cui vi sia una sorveglianza sistematica su larga scala di una zona accessibile al pubblico;

Designazione di un DPO-RPD - Responsabile della protezione dei dati - nei casi in cui vi sia un monitoraggio regolare e sistematico degli interessati su larga scala, ex art. 37, par. 1, lett. b) del GDPR.

 

Quando non si applica il GDPR?

L’EDPB individua con una serie di esempi i casi di trattamento di dati personali tramite sistemi di videosorveglianza ai quali non si applica la normativa sulla protezione dei dati personali.

– Trattamento di dati personali da parte di una persona fisica per fini esclusivamente personali o domestici, svolti cioè nel corso della vita privata o familiare di un soggetto, ex art. 2, par. 2, lett. c) del GDPR, da interpretare in modo restrittivo; 
– Uso di telecamere false;
– Videoregistrazioni ad alta quota (perché le immagini non possono essere associate ad un soggetto preciso);
– Videocamera a bassa risoluzione
– Video sorveglianza nel proprio giardino;
– Trattamento di dati personali, anche mediante strumenti di videosorveglianza, effettuati dalle Autorità competenti ai sensi della Direttiva EU 2016/680.
 

Misure organizzative

A parte la necessità di DPIA, il titolare deve predisporre politiche e procedure organizzative specifiche per la videosorveglianza. In particolare deve stabilire:

• chi è responsabile della gestione e del funzionamento del sistema di videosorveglianza;
finalità e ambito del progetto di videosorveglianza; 
• l’uso lecito e illecito della video sorveglianza (dove e quando è consentita la videosorveglianza e dove e quando non lo è; ad esempio uso di telecamere nascoste e audio oltre alla registrazione video)
• in maniera adeguate le informazioni da divulgare per la trasparenza e obblighi di informazione;
• come vengono registrati i video e per quale durata, inclusa l’archiviazione dei filmati e messa in sicurezza in caso di incidenti;
• chi deve essere sottoposto alla formazione specifica e nelle tempistiche previste;
• chi ha accesso alle registrazioni video e per quali finalità;
• procedure operative (ad es. da chi e da dove viene monitorata la videosorveglianza, che cosa fare in caso di un data breach);
• quali procedure devono seguire i soggetti esterni per richiedere registrazioni video e procedure per negare o assecondare tali istanze;
• procedure per l’acquisizione, l’installazione e la manutenzione di VSS;
• procedure di gestione degli incidenti e di recupero dati.

L’uso di tali tecnologie può essere addirittura obbligatorio (Articolo 5, (1), (c), GDPR).

 

Esempio nuova informativa per videosorveglianza

 Le nuove linee guida riportano un esempio di segnaletica, conforme al GDPR, da utilizzare per segnalare le aree soggette a videosorveglianza nel rispetto degli elementi essenziali previsti dall'art. 13. L'esempio riporta un QR che facilità l'accesso, attraverso smartphone e tablet, alla policy privacy completa pubblicata dal soggetto sul proprio sito web.