di Antonio Serriello

I sistemi integrati che permettono di conservare immagini di videosorveglianza presso un fornitore esterno impongono il rispetto di specifiche misure Privacy.

Il ricorso sempre più frequente a sistemi integrati o centralizzati che permettono di conservare le immagini di videosorveglianza presso un fornitore esterno ha fatto sorgere delicate questioni di diritto in ordine alla tutela della privacy delle persone che vengono riprese dalle telecamere.

In particolare, in considerazione del fatto che l’immagine di un soggetto costituisce un dato personale, il trattamento delle immagini di videosorveglianza deve essere effettuato nel rispetto della normativa prevista dal Codice della Privacy.

Scopri come le grandi aziende gestiscono i nuovi adempimenti del GDPR: scarica il case-study >>

Poiché i sistemi integrati e centralizzati di videosorveglianza implicano il coinvolgimento di più soggetti in qualità di titolari del trattamento, si è resa opportuna una specifica disciplina riguardo a questo tipo di sistemi, con la previsione di apposite misure di sicurezza e, in alcuni casi, di verifiche preliminari obbligatorie.

Il problema: la possibilità di conservare le immagini di videosorveglianza presso un fornitore esterno

Un’impresa specializzata nel commercio e vendita di prodotti siderurgici ha deciso di conservare le immagini del proprio impianto di videosorveglianza presso un fornitore ISP.

La legge autorizza a farlo?

Sì. Proprio in considerazione della crescente diffusione di sistemi integrati di videosorveglianza realizzati tra diversi soggetti pubblici e privati, e dei servizi centralizzati di videosorveglianza remota offerti da fornitori come società di vigilanza, Internet Service Providers o fornitori di servizi video specialistici, il Garante della Privacy ha previsto una specifica disciplina, che mira a fornire idonee garanzie in ordine al trattamento dei dati personali da parte dei soggetti coinvolti.

La previsione di tali garanzie risulta tanto più opportuna, se si considera che le immagini di videosorveglianza vengono talvolta rese disponibili, con varie tecnologie o modalità, alle forze di polizia.

Le diverse tipologie di sistemi integrati di videosorveglianza

Si possono distinguere diverse tipologie di sistemi integrati di videosorveglianza, ai quali si rivolge la particolare disciplina cui si è fatto riferimento.

  • Innanzitutto, vengono in rilievo quei sistemi che prevedono la gestione coordinata di funzioni e servizi tramite condivisione delle immagini di videosorveglianza riprese da parte di diversi e autonomi titolari del trattamento, i quali utilizzano le medesime infrastrutture tecnologiche.

In questa ipotesi, è previsto che i singoli titolari possano trattare le immagini solo nei termini strettamente funzionali al perseguimento dei propri compiti istituzionali (se si tratta di soggetti pubblici) ed alle finalità chiaramente indicate nell’informativa.

  • Il secondo tipo di sistema di videosorveglianza che rileva a questo proposito è quello che prevede il collegamento telematico di diversi titolari del trattamento ad un centro unico gestito da un soggetto terzo, come può essere, ad esempio, il fornitore dei servizi Internet. Tale soggetto terzo, designato responsabile del trattamento da parte di ogni singolo titolare, deve assumere un ruolo di coordinamento e gestione dell’attività di videosorveglianza senza consentire, tuttavia, forme di correlazione delle immagini di videosorveglianza raccolte per conto di ciascun titolare.
  • Il terzo aspetto rilevante sotto il profilo della tutela della privacy nei sistemi integrati di videosorveglianza è quello dell’eventuale attivazione di un collegamento dei sistemi di videosorveglianza con le centrali operative degli organi di polizia (collegamento che, peraltro, è configurabile anche nei casi in cui l’attività di videosorveglianza venga effettuata da un solo titolare). L’attivazione di questo collegamento deve essere resa nota agli interessati, tramite l’apposizione di cartelli di area videosorvegliata che indichino chiaramente l’esistenza di tale collegamento.

Le misure di sicurezza applicabili ai sistemi di sorveglianza integrati e centralizzati

I sistemi di videosorveglianza sopra descritti implicano modalità di trattamento dei dati che richiedono l’adozione di specifiche misure di sicurezza, ulteriori rispetto a quelle previste per le attività di videosorveglianza effettuate da un singolo titolare.

In particolare, il sistema deve prevedere l’adozione di sistemi idonei alla registrazione degli accessi degli incaricati e delle operazioni compiute sulle immagini di videosorveglianza registrate, compresi i relativi riferimenti temporali, con conservazione per un periodo di tempo congruo all’esercizio dei doveri di verifica periodica dell’operato dei responsabili da parte del titolare, comunque non inferiore a sei mesi.

Inoltre, è obbligatoria la separazione logica delle immagini registrate dai diversi titolari, in modo che risulti impossibile l’accesso alle immagini da parte di soggetti non autorizzati.

Il mancato rispetto di tali misure comporta l’applicazione delle onerose sanzioni amministrative previste dal Codice della Privacy, che prevedono il pagamento di una somma da trentamila euro a centottantamila euro.

Quando è richiesta la verifica preliminare del trattamento dei dati

In tutti i casi in cui i trattamenti effettuati tramite sistemi integrati di videosorveglianza hanno natura e caratteristiche tali per cui le misure e gli accorgimenti sopra individuati non siano integralmente applicabili, il titolare del trattamento è tenuto a richiedere una verifica preliminare al Garante della Privacy.

In particolare, la richiesta di tale verifica è obbligatoria quando vi sono rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati, in relazione alla natura dei dati o alle modalità di trattamento o agli effetti che può determinare.

Ad esempio, rientrano in tale ipotesi i sistemi dotati di software che permettono il riconoscimento della persona tramite confronto delle immagini di videosorveglianza (ad es. morfologia del volto) con altri specifici dati personali, in particolare con dati biometrici.

Un analogo obbligo sussiste con riferimento a sistemi intelligenti in grado di rilevare automaticamente comportamenti o eventi anomali e segnalarli (Intelligent Motion Detection).

L’obbligo di richiesta della verifica preliminare è previsto, inoltre, nei casi in cui si renda necessario l’allungamento dei tempi di conservazione delle immagini registrate oltre il previsto termine massimo di sette giorni e, comunque, in tutti i casi in cui i trattamenti effettuati tramite sistemi integrati di videosorveglianza hanno natura e caratteristiche che non permettono l’integrale applicazione delle misure sopra analizzate.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.