di Antonio Serriello
I sistemi integrati che permettono di conservare immagini di videosorveglianza presso un fornitore esterno impongono il rispetto di specifiche misure Privacy.
Il ricorso sempre più frequente a sistemi integrati o centralizzati che permettono di conservare le immagini di videosorveglianza presso un fornitore esterno ha fatto sorgere delicate questioni di diritto in ordine alla tutela della privacy delle persone che vengono riprese dalle telecamere.
In particolare, in considerazione del fatto che l’immagine di un soggetto costituisce un dato personale, il trattamento delle immagini di videosorveglianza deve essere effettuato nel rispetto della normativa prevista dal Codice della Privacy.
Scopri come le grandi aziende gestiscono i nuovi adempimenti del GDPR: scarica il case-study >>
Poiché i sistemi integrati e centralizzati di videosorveglianza implicano il coinvolgimento di più soggetti in qualità di titolari del trattamento, si è resa opportuna una specifica disciplina riguardo a questo tipo di sistemi, con la previsione di apposite misure di sicurezza e, in alcuni casi, di verifiche preliminari obbligatorie.
Il problema: la possibilità di conservare le immagini di videosorveglianza presso un fornitore esterno
Un’impresa specializzata nel commercio e vendita di prodotti siderurgici ha deciso di conservare le immagini del proprio impianto di videosorveglianza presso un fornitore ISP.
La legge autorizza a farlo?
Sì. Proprio in considerazione della crescente diffusione di sistemi integrati di videosorveglianza realizzati tra diversi soggetti pubblici e privati, e dei servizi centralizzati di videosorveglianza remota offerti da fornitori come società di vigilanza, Internet Service Providers o fornitori di servizi video specialistici, il Garante della Privacy ha previsto una specifica disciplina, che mira a fornire idonee garanzie in ordine al trattamento dei dati personali da parte dei soggetti coinvolti.
La previsione di tali garanzie risulta tanto più opportuna, se si considera che le immagini di videosorveglianza vengono talvolta rese disponibili, con varie tecnologie o modalità, alle forze di polizia.
Le diverse tipologie di sistemi integrati di videosorveglianza
Si possono distinguere diverse tipologie di sistemi integrati di videosorveglianza, ai quali si rivolge la particolare disciplina cui si è fatto riferimento.
- Innanzitutto, vengono in rilievo quei sistemi che prevedono la gestione coordinata di funzioni e servizi tramite condivisione delle immagini di videosorveglianza riprese da parte di diversi e autonomi titolari del trattamento, i quali utilizzano le medesime infrastrutture tecnologiche.
In questa ipotesi, è previsto che i singoli titolari possano trattare le immagini solo nei termini strettamente funzionali al perseguimento dei propri compiti istituzionali (se si tratta di soggetti pubblici) ed alle finalità chiaramente indicate nell’informativa.
- Il secondo tipo di sistema di videosorveglianza che rileva a questo proposito è quello che prevede il collegamento telematico di diversi titolari del trattamento ad un centro unico gestito da un soggetto terzo, come può essere, ad esempio, il fornitore dei servizi Internet. Tale soggetto terzo, designato responsabile del trattamento da parte di ogni singolo titolare, deve assumere un ruolo di coordinamento e gestione dell’attività di videosorveglianza senza consentire, tuttavia, forme di correlazione delle immagini di videosorveglianza raccolte per conto di ciascun titolare.
- Il terzo aspetto rilevante sotto il profilo della tutela della privacy nei sistemi integrati di videosorveglianza è quello dell’eventuale attivazione di un collegamento dei sistemi di videosorveglianza con le centrali operative degli organi di polizia (collegamento che, peraltro, è configurabile anche nei casi in cui l’attività di videosorveglianza venga effettuata da un solo titolare). L’attivazione di questo collegamento deve essere resa nota agli interessati, tramite l’apposizione di cartelli di area videosorvegliata che indichino chiaramente l’esistenza di tale collegamento.
Le misure di sicurezza applicabili ai sistemi di sorveglianza integrati e centralizzati
I sistemi di videosorveglianza sopra descritti implicano modalità di trattamento dei dati che richiedono l’adozione di specifiche misure di sicurezza, ulteriori rispetto a quelle previste per le attività di videosorveglianza effettuate da un singolo titolare.
In particolare, il sistema deve prevedere l’adozione di sistemi idonei alla registrazione degli accessi degli incaricati e delle operazioni compiute sulle immagini di videosorveglianza registrate, compresi i relativi riferimenti temporali, con conservazione per un periodo di tempo congruo all’esercizio dei doveri di verifica periodica dell’operato dei responsabili da parte del titolare, comunque non inferiore a sei mesi.
Inoltre, è obbligatoria la separazione logica delle immagini registrate dai diversi titolari, in modo che risulti impossibile l’accesso alle immagini da parte di soggetti non autorizzati.
Il mancato rispetto di tali misure comporta l’applicazione delle onerose sanzioni amministrative previste dal Codice della Privacy, che prevedono il pagamento di una somma da trentamila euro a centottantamila euro.
Quando è richiesta la verifica preliminare del trattamento dei dati
In tutti i casi in cui i trattamenti effettuati tramite sistemi integrati di videosorveglianza hanno natura e caratteristiche tali per cui le misure e gli accorgimenti sopra individuati non siano integralmente applicabili, il titolare del trattamento è tenuto a richiedere una verifica preliminare al Garante della Privacy.
In particolare, la richiesta di tale verifica è obbligatoria quando vi sono rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati, in relazione alla natura dei dati o alle modalità di trattamento o agli effetti che può determinare.
Ad esempio, rientrano in tale ipotesi i sistemi dotati di software che permettono il riconoscimento della persona tramite confronto delle immagini di videosorveglianza (ad es. morfologia del volto) con altri specifici dati personali, in particolare con dati biometrici.
Un analogo obbligo sussiste con riferimento a sistemi intelligenti in grado di rilevare automaticamente comportamenti o eventi anomali e segnalarli (Intelligent Motion Detection).
L’obbligo di richiesta della verifica preliminare è previsto, inoltre, nei casi in cui si renda necessario l’allungamento dei tempi di conservazione delle immagini registrate oltre il previsto termine massimo di sette giorni e, comunque, in tutti i casi in cui i trattamenti effettuati tramite sistemi integrati di videosorveglianza hanno natura e caratteristiche che non permettono l’integrale applicazione delle misure sopra analizzate.