VIDEOSORVEGLIANZA GDPR: TUTTO QUELLO CHE DEVI SAPERE
Con l’entrata in vigore del nuovo Decreto Privacy GDPR n. 2016/679, la videosorveglianza, che sia ad uso privato o pubblico, è sottoposta a nuovi provvedimenti più stringenti e sanzioni più alte nel caso vengano trasgredite le regole del trattamento dei dati volte a tutelare la privacy e le libertà fondamentali delle persone.
Andiamo quindi a vedere tutto quello che c’è da sapere su obblighi, sanzioni e misure di sicurezza a garanzia della riservatezza dei dati, per allineare la GDPR alla videosorveglianza.
VIDEOSORVEGLIANZA GDPR: COME FARE?
Elenchiamo in modo pratico cosa esattamente bisognerebbe fare:
Cartello area videosorvegliata e l’informativa sulla privacy
Il GDPR impone l’obbligo di segnalare il sistema di videosorveglianza. La prima cosa quindi che occorre per adeguarsi al nuovo regolamento GDPR videosorveglianza è aggiornare i cartelli. Il cartello di videosorveglianza sarà il medesimo (rispetto alla vecchia normativa), cambia la scritta relativa alla legge di riferimento.
E’ quindi necessario sostituire tali cartelli oppure correggerli applicando una nuova dicitura, quale: “Provvedimento in materia di videosorveglianza 8 Aprile 2010 e Reg. EU 2016/679 GDPR“.
Il nuovo regolamento GDPR videosorveglianza impone che chiunque deve sapere che è presente un sistema di videosorveglianza nel luogo in cui entra. Il cartello area videosorvegliata dovrà essere posto in ogni area posta sotto controllo della telecamera ( quindi sotto ogni telecamera). Tali cartelli devono essere resi visibili anche quando il sistema di videosorveglianza è attivo in orario notturno.
Il cartello deve essere posto quando:
- la videosorveglianza è solo a scopo di visione
- la videosorveglianza presuppone una registrazione
- la videosorveglianza è collegata con le Forze dell’Ordine
Il cartello area videosorvegliata va compilato con il nome della società (es. Azienda, Negozio, etc.) e con il fine dell’installazione (es. Tutela, Sicurezza, etc.).
CARTELLI VIDEOSORVEGLIANZA AGGIORNATI:
Cartello Videosorveglianza senza registrazione delle immagini. | Cartello Videosorveglianza con registrazione delle immagini. | Cartello Videosorveglianza collegata con le forze dell’ordine. |
Esporre al pubblico il cartello senza compilarlo, è soggetto ad una sanzione dai 2400 Euro in su.
Accanto al classico cartello Area Videosorvegliata (detta informativa breve), va posto un’altra informativa più generica (informativa circostanziale) in aree generiche che includa la descrizione dell’utilizzo delle apparecchiature di videosorveglianza, trattamento dei dati raccolti e modalità di utilizzo.
La Conservazione delle registrazioni video
La conservazione delle registrazioni video deve essere limitata per un tempo che va dalle 24h a un massimo di 72h successive alla rilevazione, fatte salve speciali esigenze, permessi o situazioni particolari di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonchè a fronte ad specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria. Solo in alcuni casi, dove sussiste una particolare rischiosità dell’attività svolta dal titolare del trattamento (ad esempio banche, poste, etc.), è ammesso una tempistica più ampia di conservazione dei dati che, in relazione al tempo massimo per altri trattamenti, si ritiene non deve comunque superare la settimana.
Per procedere ad un allungamento dei tempi di conservazione per un periodo superiore ad una settimana deve essere presentata specifica richiesta al Garante italiano della protezione dei dati sulla videosorveglianza.
Per quanto riguarda il periodo di conservazione delle immagini devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto.
Per fare questo è bene quindi dotarsi di un videoregistratore DVR con eliminazione automatica temporizzata delle riprese. Si tratta di DVR videosorveglianza con una voce nel menù che permette di scegliere la durata di conservazione delle immagini.
Posizionamento telecamere
Le telecamere non possono essere poste ovunque. I sistemi di ripresa possono essere installati solo in particolari luoghi, dai quali sono esclusi ad esempio le aree come bagni, spogliatoi, aule scolastiche, etc.. Andiamo a vedere in modo più specifico questi luoghi.
Differenziamo i luoghi in “Settori di particolare interesse”, “Settori specifici” e “Settori privati”.
Settori di particolare interesse in ambito Videosorveglianza GDPR:
- Sicurezza urbana – i Comuni che installano telecamere per fini di sicurezza urbana hanno l’obbligo di mettere cartelli che ne segnalino la presenza, salvo che le attività di videosorveglianza siano riconducibili alla tutela della sicurezza pubblica, prevenzione, accertamento o repressione dei reati. La conservazione dei dati non può superare i 7 giorni, fatte salve speciali esigenze.
- Sistemi integrati – per i sistemi che consentano la fornitura di videosorveglianza “in remoto” da parte di società specializzate ( società di vigilanza, Internet providers, etc.) mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza ( controllo accessi abusivi alle immagini). Per alcuni sistemi di videosorveglianza è comunque necessaria la verifica preliminare del Garante.
- Sistemi intelligenti – per i sistemi di videosorveglianza dotati di software che permettono l’associazione di immagini a dati biometrici (riconoscimento facciale) o di riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (rilevazione movimento) è obbligatoria la verifica preliminare del Garante.
- Violazioni al codice della strada – sono obbligatori i cartelli che segnalino i sistemi elettronici di rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo e non il conducente, passeggeri o eventuali pedoni. Le fotografie o i video che attestano l’infrazione non devono essere inviati al domicilio dell’intestatario del veicolo.
- Deposito rifiuti – è lecito l’utilizzo di telecamere di sorveglianza per controllare discariche per monitorare modalità del loro uso, tipologia dei rifiuti scaricati e orario di deposito.
Settori specifici in ambito Videosorveglianza GDPR:
- Luoghi di lavoro – L’installazione di telecamere sul posto di lavoro è uno dei temi più delicati e interessanti in ambito Privacy, perché si colloca a metà strada tra la tutela dei beni e dei dati aziendali e la tutela della privacy del personale ripreso.
Un’azienda che vuole installare telecamere di videosorveglianza sul posto di lavoro, prima di mettere in funzione l’impianto, deve:
- Informare i lavoratori interessati mediante un’informativa privacy adeguata alle finalità del trattamento.
- Nominare un responsabile DPO (Data Protection Officer) per la gestione dei dati registrati.
- Posizionare le telecamere solo nelle zone a rischio, evitando di riprendere in maniera unidirezionale i lavoratori.
- Affiggere dei cartelli visibili che avvisano i dipendenti ed eventuali clienti, nonchè ospiti o visitatori della presenza dell’impianto di videosorveglianza.
- Conservare le immagini per un tempo massimo di 24-72 ore successive alla rilevazione.
- Formare il personale addetto alla videosorveglianza.
- Predisporre le misure minime di sicurezza (valutazione del titolare o responsabile del trattamento, i quali dovranno prendere in considerazione tutti i rischi connessi alla sicurezza del trattamento nonchè tutte le minacce a cui potrebbero essere esposti i dati trattati al fine di adottare misure tecniche e organizzative adeguate a contrastarli).
- Predisporre misure idonee di sicurezza atte a garantire l’accesso alle immagini solo al personale autorizzato.
- Nel caso in cui le videocamere di sorveglianza riprendono uno o più dipendenti mentre lavorano, stipulare un accordo con le rappresentanze sindacali (RSA) aziendali o con la Direzione Provinciale del Lavoro (DPL) e ottenere l’autorizzazione all’installazione dei dispositivi elettronici di controllo a distanza.
- Aggiornare il Registro dei Trattamento dei Dati (art. 30 GDPR).
- Nel caso in cui videosorveglianza sia sistematica ed effettuata su larga scala di una zona accessibile al pubblico, provvedere a effettuare una valutazione d’impatto sulla protezione dei dati o DPIA (art. 35 GDPR).
Le videocamere di sorveglianza NON possono essere installare con lo scopo di monitorare o controllare i lavoratori, ma il loro utilizzo, al contrario, DEVE essere giustificato ai fini della tutela dei beni aziendali o per la protezione dei dipendenti.
L’installazione di una telecamera sul posto di lavoro deve essere quindi precedentemente autorizzata dall’Ispettorato dal Lavoro o deve essere autorizzata da un particolare accordo con i sindacati.
La mancanza di queste premesse, comporta la responsabilità del datore di lavoro. Le telecamere possono quindi essere installati solo dopo la ricezione dell’autorizzazione. Tale ricezione dell’autorizzazione vale anche per un’impianto spento.
- Ospedali e luoghi di cura – vitata la diffusione di immagini di persone malate mediante monitor quando questi sono collocati in locali accessibili al pubblico. E’ ammesso, in casi indispensabili, il monitoraggio da parte del personale sanitario dei pazienti ricoverati in particolari reparti o ambienti (ad esempio, unità di rianimazione, reparti di isolamento), ma l’accesso alle immagini deve essere consentito solo al personale autorizzato e ai familiari dei ricoverati.
- Istituti scolastici – l’installazione di sistemi di videosorveglianza è ammessa per la tutela contro gli atti vandalici, con riprese delimitate di zone a rischio e solo negli orari di chiusura. E’ vietato attivare le telecamere in coincidenza con lo svolgimento di eventuali attività extrascolastiche che si svolgono all’interno della scuola.
- Taxi – le telecamere non devono riprender in modo stabile la postazione di guida e la loro presenza deve essere segnalata con appositi contrassegni.
- Trasporto pubblico – ammessa l’installazione sui mezzi di trasporto pubblico e presso fermate, ma rispettando limiti precisi (riprese senza l’uso di zoom, angolo visuale circoscritto).
- Webcam – la ripresa delle immagini deve avvenire in modalità che non rendono identificabili le persone.
Settori privati in ambito Videosorveglianza GDPR:
- Tutela della persona e della proprietà – contro furti, rapine, danneggiamenti, aggressioni, atti di vandalismo, prevenzione incendi, etc. si possono installare sistemi di videosorveglianza. L’Autorità Garante, afferma che il privato che desidera installare un impianto domestico di videosorveglianza non deve rispettare tutte le formalità previste dal codice privacy, ma deve solo evitare di riprendere le zone soggette a pubblico passaggio. Rispettate tali condizioni, l’installazione della telecamera privata è libera e non necessità di alcun autorizzazione, nè dal Comune nè dal condominio, anche se questa è strutturata in modo tale da registrare le immagini catturate.
- Sicurezza dei Dati
L’art. 32 del GDPR dispone che, per garantire delle adeguate misure di sicurezza, bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. E’ quindi importante prevedere una specifica analisi del rischio sui dati personali trattati, al fine di garantire un livello di sicurezza adeguato al rischio.
Tra le varie soluzioni vi sono:
- dotarsi di soluzioni di crittografia o pseudonimizzazione per gli archivi elettronici.
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità dei servizi di trattamento, nonchè anche la capacità del sistema di resistere e reagire dinanzi una difficoltà.
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (es. backup del sistema).
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Inoltre, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Inoltre, punto importante, il titolare del trattamento fa sì che chiunque agisca sotto la sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso.
Le regole, di cui si deve assolutamente tener conto, per garantire un adeguato livello di sicurezza sono:
- controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore del sistema di videosorveglianza.
- username e password devono essere perfettamente memorizzati, non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno.
- ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione dal terminale.
- la password va cambiata periodicamente, deve essere complessa e non va ceduta a nessuno.
- su ogni PC e terminale vanno installati Antivirus e Firewall con licenze d’uso originali (preferibilmente, non affidarsi a software gratuiti);
- antivirus e firewall devono essere aggiornati quotidianamente;
- dotarsi di soluzioni di crittografia / pseudonimizzazione per gli archivi elettronici;
- porre in essere backup periodici.
- replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc. dato che i sistemi di videosorveglianza possono essere gestiti da diversi dispositivi).
Anche in ambito di videosorveglianza è possibile una “Violazione di Dati Personali” (Data Breach).
In caso di data breach, il titolare del trattamento deve, senza ingiustificato ritardo e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante privacy, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre le 72 ore è necessario allegare alla notifica il motivo del ritardo.
La notifica del data breach al Garante privacy contiene in dettaglio:
- descrizione dettagliata del Data Breach.
- categorie e numero approssimativo di interessati.
- categorie e numero approssimativo di registrazioni dei dati personali.
- dati di contatto del titolare del trattamento per tutte le informazioni richieste dal Garante Privacy.
- descrizione delle probabili conseguenze del Data Breach.
- descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio.
In ogni caso, a prescindere dalla necessità di notifica o meno di un data breach, il titolare del trattamento deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante Privacy di verificare il rispetto di quanto disposto dal GDPR.
Soggetti incaricati e modalità di accesso in ambito Videosorveglianza GDPR
Il nuovo regolamento GDPR videosorveglianza pone l’accento sulla preparazione dei soggetti incaricati all’accesso dei dati al fine di cancellare , gestire e custodire le riprese in caso di richiesta da parte di persone che ne fanno richiesta. Occorre quindi nominare a priori un DPO (Data Protection Officer), ossia un incaricato istruito che si fa carico della gestione dei dati.
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Inoltre, il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.
Da un lato il titolare o il responsabile possono autorizzare come meglio credono il proprio personale al trattamento dei dati, mediante l’attribuzione di specifici compiti e funzioni, dall’altro tale personale dovrà essere correttamente formato, ossia dovrà comprendere la reale portata del trattamento dei dati di videoregistrazione e videosorveglianza e l’importanza di gestire adeguatamente i dati personali. Questa formazione specifica riduce i rischi di privacy e di sicurezza, con indubbio vantaggio per il titolare del trattamento.
Il titolare o responsabile del trattamento deve inoltre individuare diversi livelli di accesso in corrispondenza delle specifiche mansioni attribuite ad ogni singolo operatore, distinguendo coloro che sono unicamente abilitati a visionare le immagini dai soggetti che possono effettuare, a determinate condizioni, ulteriori operazioni come registrare, copiare, cancellare, spostare l’angolo visuale, modificare lo zoom, etc..
In questo secondo caso, il titolare o il responsabile del trattamento possono anche attribuire specifici compiti e funzioni connessi al trattamento delle immagini ad altre persone (fisiche o giuridiche), nell’ambito del proprio assetto organizzativo (ad esempio manutentori dell’impianto, sistemista che configura i dispositivi di registrazione), anche tali attribuzioni devono avvenire per iscritto. È conseguente che tali incarichi siano da gestire anche alla luce del criterio di responsabilizzazione, tipico della GDPR.
Il registro del trattamento dei dati e la valutazione di impatto
Anche in ambito di videosorveglianza la redazione e adozione del registro del trattamento dei dati e la valutazione di impatto (DPIA), sono un importante strumento di compliance aziendale.
Il titolare e/o il responsabile del trattamento devono in base alle dimensioni aziendali (gli obblighi non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.), costituire apposito registro o inserire un’apposita sezione per il trattamento dati videosorveglianza nel Registro preesistente, per la disciplina di tale particolare aspetto.
Registro del trattamento dei Dati
Nel caso in cui il Registro debba essere redatto a cura del Titolare del trattamento, è importante che contenga le seguenti informazioni (art. 30.1 del GDPR):
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento (art. 26 del GDPR), del rappresentante (art. 27 del GDPR) del titolare del trattamento e del responsabile della protezione dei dati.
- le finalità del trattamento.
- una descrizione delle categorie di interessati e delle categorie di dati personali.
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali.
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 GDPR, la documentazione delle garanzie adeguate.
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati.
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Nel caso in cui il Registro debba essere redatto a cura del Responsabile del trattamento, l’art. 30.2 GDPR specifica che siano presenti le seguenti informazioni:
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del Responsabile della Protezione dei Dati (DPO – artt. dal 37 al 39 del GDPR).
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento.
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate.
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Valutazione di Impatto
La valutazione di impatto (DPIA) prevista dall’articolo 35-36 del Regolamento UE/2016/679 GDPR è un’autonoma valutazione che il titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche. È chiara l’importanza per tutti quei trattamenti dati in materia di videosorveglianza che possano essere un rischio per i diritti e le libertà delle persone fisiche.
L’art. 35.3 c) del GDPR obbliga la conduzione di una valutazione di impatto in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (caso tipico, la videosorveglianza su larga scala). Solo se il titolare tratta dati particolari su larga scala, vi è quindi l’obbligo di una valutazione d’impatto.
Nel caso in cui si debba procedere alla valutazione d’impatto, questa dovrà comprendere:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento.
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità.
- una valutazione dei rischi per i diritti e le libertà degli interessati.
- le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Sanzioni previste in ambito videosorveglianza GDPR
Anche in questo caso l’apparato normativo è complicato dalla contemporanea presenza di sanzioni previste dal Codice Privacy (D.Lgs 196/2003), richiamati dal Provvedimento dell’8 aprile 2010, abrogati dal D.Lgs. 101/2018.
Di massima, nel caso di videoregistrazione e videosorveglianza, il GDPR può prevedere queste sanzioni:
- fino a 10.000.000 di euro – o fino al 2% del fatturato mondiale annuo dell’esercizio precedente – per le violazioni degli obblighi di cui agli artt. 8, 11, da 25 a 39, 42 e 43; e 41, paragrafo 4 del GDPR.
- fino a 20.000.000 di euro – o fino al 4% del fatturato mondiale annuo dell’esercizio precedente
CONCLUSIONI
In conclusione la nuova regolamentazione tende a tutelare in modo più ampio e preciso tutto il panorama del trattamento dei dati sensibili. Durante i controlli bisognerà dimostrare di essere attrezzati il più possibile per la difesa di questi dati, anche perchè le eventuali sanzioni si baseranno proprio su questo.
Consigliamo quindi a tutti di muoversi in tempo per evitare pesanti sanzioni , facilmente evitabili con poche disposizioni.
Contattaci per ulteriori informazioni e/o per un appuntamento con i nostri professionisti del centro Specialistico San Martino in via Cavallotti 28 a Vergiate (Varese).