Il principio di minimizzazione nella progettazione di impianti di videosorveglianza
Un recente provvedimento dell’Autorità Garante (Provv. 16.09.2021 [9705650] ) ci fornisce lo spunto per affrontare il principio di minimizzazione, in base al quale i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Il caso riguarda un Istituto per non vedenti, che, per un breve arco di tempo, a causa di lavori di ristrutturazione dell’edificio, ha installato alcune telecamere in un corridoio dove insistevano le stanze (dotate di bagno, ma senza doccia) di tre ospiti, i quali per recarsi nei locali doccia dovevano attraversare il corridoio sottoposto a videosorveglianza, venendosi così a trovare trovare, anche involontariamente, in circostanze lesive della propria dignità.
(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy e docente del Corso Specialistico 'Il Privacy Officer nel settore Videosorveglianza')
In tale contesto, il Garante ha affermato che, con riguardo alle telecamere che riprendono tali aree, non possono ritenersi preminenti, nel bilanciamento tra i diversi diritti e interessi in gioco, le esigenze di sicurezza sottese ai trattamenti posti in essere dall’Istituto mediante dispositivi video, non essendo i dati oggetto di trattamento adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali essi sono stati trattati. Il fatto che, come sostenuto dall’Istituto, le riprese che riguardavano il transito degli ospiti verso i locali doccia fossero occasionali e di breve durata e che la qualità delle stesse non fosse “perfettamente nitida”, non consente di superare tale profilo di illiceità.
Secondo il Garante si sarebbero dovuti utilizzare altri accorgimenti come, ad esempio, la pianificazione di finestre temporali di spegnimento delle telecamere, per consentire agli ospiti di recarsi nei locali doccia senza essere soggetti alle riprese, provvedendo temporaneamente alla sicurezza dei luoghi mediante misure alternative, come l’impiego di personale di sicurezza. Tali misure avrebbero potuto consentire all’Istituto di perseguire in maniera altrettanto efficace le finalità del trattamento, evitando di condizionare in maniera ingiustificata le libertà degli interessati.
In conclusione, l’Autorità, ha osservato che - come sottolineato anche dall’European Data Protection Board - “i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)”.
Pertanto, “prima di installare un sistema di videosorveglianza, il titolare del trattamento deve sempre valutare criticamente se questa misura sia in primo luogo idonea a raggiungere l’obiettivo desiderato e, in secondo luogo, se sia adeguata e necessaria per i suoi scopi”, dovendo “optare per misure di videosorveglianza unicamente se la finalità del trattamento non può ragionevolmente essere raggiunta con altri mezzi meno intrusivi per i diritti e le libertà fondamentali dell’interessato. (sez. 3.1.2, parr. 24, 25 e 26 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020).