+3904441931974 info@powersic.it

GDPR e Videosorveglianza: le nuove linee guida dell’EDPB

L’EDPB e le nuove linee guida sulla videosorveglianza e il GDPR

 

In questi ultimi mesi non ci siamo stancati, e mai lo faremo, di parlare di GDPR e Videosorveglianza e delle delicate implicazioni di un sistema di  monitoraggio di tale rilevanza sul trattamento massiccio di dati personali. 

A settembre infatti si è portata a termine la consultazione pubblica proposta sulle nuove Linee Guida 3/2019 in materia di videosorveglianza e Gdpr definite dall’EDPB.

Le linee Guida sono di fondamentale importanza considerando l’uso su larga scala dei sistemi di videosorveglianza.

Questi sono sempre più diffusi in ambito privato e pubblico, impattando inevitabilmente sul comportamento dei cittadini europei e sulla loro privacy ( GDPR 2016/679).

Il punto cruciale è proprio la libertà dei singoli individui che, ”catturati”  da milioni di telecamere,  non hanno la possibilità di rimanere anonimi.

Lo scopo delle Linee Guida del GDPR e Videosorveglianza è quello di definire uno strumento potente come la videosorveglianza;  evitando che una lecita acquisizione di immagini si trasformi in un illegittimo trattamento di dati personali, esulando dai principi del GDPR.

 

 

Che ruolo svolge l’EDPB

L’EDPB o European Data Protection Board è il Comitato Europeo per la Protezione dei Dati che ha sostituito nel maggio 2018 il Gruppo di Lavoro Articolo 29.

I suoi principali compiti vanno dalla definizione delle linee guida sull’interpretazione dei concetti fondamentali del GDPR, alla presa di decisioni vincolanti in quelle situazioni che possono presentarsi sotto forma di controversie nel trattamento dei dati ”di frontiera”.

L’EDPB deve garantire l’uniformità dell’applicazione delle norme nei paesi Europei, al fine di evitare che ogni giurisdizione valuti in maniera differente casi simili avvenuti in un altro paese dell’UE.

Il comitato Europeo per la Protezione dei Dati è un ente a sè, autonomo e non segue le direttive di nessuno se non dei suoi stessi membri.

Deve:

  • fornire consulenza alla Commissione Europea in caso di proposte di variazione del GDPR o legislativa;
  • fornire consulenza alla Commissione Europea sull’adeguatezza dei livelli di protezione dei vari paesi;
  • deve esprimere il proprio parere in merito all’uso di icone e sui requisiti di certificazione;
  • deve risolvere le controversie tra le autorità di controllo.

Nello specifico:

  1. qualora la decisione di un’autorità capofila rigettasse l’obiezione di un’altra autorità di controllo;
  2. viceversa se venissero mosse obiezioni verso le decisioni o progetti dell’autorità capofila;
  3. in caso di contrasto tra le autorità di controllo per il riconoscimento dell’autorità capofila;
  4. nel caso in cui un’autorità di controllo non consultasse il Comitato o non si conformasse al suo parere.

 

 

Videosorveglianza e rischio 

Le linee Guida del GDPR e Videosorveglianza stilate dall’EDPB vanno di pari passo con l’accrescere del rischio e dell’abuso eventuale del trattamento dei dati raccolti.

Infatti maggiore è l’estensione dell’area videosorvegliata, maggiori saranno i dati raccolti sugli individui, sui loro comportamenti, sulla loro presenza in un dato luogo, maggiori saranno i rischi sul trattamento di questi dati.

E’ per questo che il Comitato Europeo richiama l’art. 35 del GDPR in merito alla Videosorveglianza, in cui il Titolare ha l’obbligo di redarre il DPIA (Data Protection Impact Assessment o Valutazione d’Impatto) nel caso in cui si operi su larga scala in una zona accessibile al pubblico.

Inoltre si ha l’obbligo di nominare un DPO o Responsabile del Trattamento dei Dati, laddove si abbia a che fare con il monitoraggio continuo o l’ uso sistematico di dati per l’osservazione derivanti da sistemi di videocontrollo appunto.

Altro punto cruciale sono le finalità. 

E’ necessario infatti che il Titolare documenti nello specifico quali sono le finalità per ogni sistema di videosorveglianza in uso, sia in ambito privato che pubblico (art. 5, par. 1 lett. b), GDPR).

 

 

 

 

Il trattamento dei dati, legittimo interesse, consenso

La videosorveglianza ha una base giuridica e diventa lecita solo nel rispetto dell’art. 6 GDPR.

Il trattamento dei dati derivanti dall’uso di sistemi di monitoraggio di videosorveglianza deve soddisfare le finalità del legittimo interesse del Titolare.

Quest’ultimo può derivare da un interesse legale o economico del Titolare e deve essere reale e concreto, non immaginario o speculativo.

La legittimità del trattamento viene valutata da un bilanciamento di interessi in gioco, riguardanti non solo quelli del Titolare ma anche i diritti fondamentali e la libertà delle persone coinvolte.

Mentre il consenso dal punto di vista giuridico si pone in secondo piano, per il fatto che difficilmente il Titolare del trattamento può dimostrare che l’interessato abbia espresso il suo consenso precedentemente all’inizio del trattamento.

Nell‘art. 7 GDPR il consenso è descritto come manifesta volontà, deve essere libera, informata e inequivocabile.

Pensiamo alle difficoltà ”logistiche” di ottenere il consenso manifesto prima che un individuo entri nell’area sottoposta a videosorveglianza.

 

 

Dati trattati: attenzione ai dati biometrici o particolari

Un ulteriore occhio di riguardo lo si deve avere in merito alle categorie dei dati trattati.

Infatti l’art. 9 GDPR pone l’accento sui dati particolari, ossia quell’insieme di informazioni precedentemente definite ”sensibili”(dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici che indicano in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona).

Pensiamo alla presenza di un sistema di videosorveglianza all’interno di un ospedale o una clinica, è legittimato solo se:

il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.

L’EDPB ha suggerito alcune misure minime per ridurre i rischi derivanti dal trattamenti di dati biometrici, come ad esempio nel riconoscimento facciale.

Pone l’accento sullo storage o meglio sul luogo più opportuno in cui conservare i dati di questa natura, raccomanda l’uso della crittografia e la limitazione all’accesso dei dati al solo personale responsabile.

Il Titolare deve quindi garantire disponibilità, integrità e riservatezza del trattamento dei dati biometrici. 

 

 

Diritti degli interessati

Le linee Guida del GDPR e Videosorveglianza indicano inoltre il diritto di accesso e alla cancellazione dei dati da parte dell’interessato e le relative limitazioni.

Infatti ogni soggetto ”videoripreso” può esercitare il diritto di accesso ai dati che lo riguardano purchè:

  • la sua richiesta non influenzi negativamente le libertà e i diritti di altri soggetti coinvolti;
  • il Titolare sia in grado di identificare il soggetto in questione;
  • la richiesta non sia eccessiva e infondata.

Gl interessati al trattamento dati tramite videosorveglianza hanno altresi il diritto di richiesta di cancellazione e opposizione.

La cancellazione dei propri dati personali può essere richiesta, qualora il Titolare perseveri nel trattamento oltre il tempo di conservazione prestabilito o i dati non siano più necessari secondo le finalità dichiarate.

In caso di mancanza di consenso e di altra base giuridica i soggetti interessati possono rivendicare il diritto di opposizione al trattamento dei dati personali.

 

 

L’informativa  

E’ fatto d’obbligo per ogni Titolare del Trattamento Dati tramite videosorveglianza fornire un’informativa chiara, completa e facilmente accessibile.

In linea di massima è sufficiente che le aree sottoposte a Videosorveglianza vengano delineate da cartelli informativi sulla presenza del monitoraggio tramite telecamere.

E’ obbligo riportare innanzitutto:

  1. nome del Titolare del Trattamento dati;
  2. dati di contatto del Responsabile del Trattamento Dati;
  3. le finalità del Trattamento;
  4. la base giuridica e i diritti degli interessati.

Sappiamo bene quanto sia arduo inserire in un cartello un’informazione dettagliata e completa, per questo si consiglia di apporre un QR Code tramite cui poter accedere facilmente al documento.

 

 

 

Linee guida sulle misure di sicurezza

Nelle linee Guida del GDPR e Videosorveglianza si pone particolare attenzione anche sulle misure di sicurezza che il Titolare è obbligato ad adottare, al fine di preservare il trattamento dei dati.

Il Titolare del trattamento dei dati deve proteggere il sistema di videosorveglianza non solo in termini fisici di tutte le sue componenti e di eventuali accessi al sistema, ma deve garantire la sicurezza nella prevenzione di eventuali perdite e/o manipolazione dei dati.

Nello specifico deve:

  1. proteggere le componenti da eventuali manomissioni ( sicurezza del cablaggio, alimentatori …);
  2. contemplare la crittografia dei dati;
  3. usare firewall, antivirus, per proteggere i dati da eventuali attacchi informatici;
  4. ripristino e uso dei back up in caso di incidenti fisici.

Inoltre deve rispettare delle linee di sicurezza anche dal punto di vista della gestione del sistema di videosorveglianza e quindi stabilire:

  • il responsabile del funzionamento e del controllo del sistema;
  • le finalità;
  • durata delle registrazioni e archiviazione delle stesse;
  • gli incaricati o le persone autorizzate alla gestione delle immagini;
  • procedure di autorizzazione all’accesso delle immagini da parte di esterni;
  • procedure di ripristino e recupero dei dati in caso di incidenti.

 

 

Conclusioni

In conclusione l’EDPB e le sue linee guida riguardano ovviamente tutti i casi in cui la Videosorveglianza ”interessa” l’ambito non privato, perciò si esclude qualsiasi attività soggetta a videosorveglianza con carattere prettamente domestico.

Ricordiamo che in caso in cui un sistema di videosorveglianza sfori in una strada pubblica deve sottostare al regolamento del GDPR.

Sono altresi esclusi dagli obblighi del GDPR le immagini  e le registrazioni derivanti  da sistemi di videosorveglianza di Park Assist, le telecamere finte e le registrazioni ad alta quota, purché insomma non rimandino ad alcuna informazione sulle persone.

 

 

 

Powersic srl  è specializzata nell’installazione di sistemi di videosorveglianza ed opera nel rispetto della normativa secondo le nuove disposizioni di legge.

E’ a questo proposito che Powersic srl mette a sua disposizione il suo staff specializzato in materia di protezione di dati e GDPR per allineare pienamente la TUA AZIENDA alle disposizioni stabilite dalla normativa attraverso:

ANALISI PRELIMINARE, AUDIT AZIENDALE, CHECK UP APPROFONDITO, ADEGUAMENTO ed EVENTUALE FORMAZIONE.

 

Clicca qui  e richiedi la tua consulenza gratuita