NEWS

L'accountability del GDPR nella comunicazione di filmati video a soggetti terzi

Le linee guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, adottate il 29 gennaio 2020 dal Comitato Europeo per la Protezione dei Dati (EDPB), al paragrafo 4, disciplinano la trasmissione di filmati a terzi in generale, prevedendo che la comunicazione individuale di immagini video a terzi, per scopi diversi da quelli per i quali i dati sono stati raccolti, è possibile a norma dell'art. 6, par. 4, del GDPR (Reg. UE 2016/679).

E’ bene chiarire che “terzo”, ai sensi dell’art. 4, par. 1, lett. 10), GDPR, deve intendersi: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.

Pertanto, la richiesta del “terzo” può essere riscontrata con esito positivo, mediante trasmissione dei filmati allo stesso, qualora risultino integrati i presupposti normativi di cui all’art. 6, par. 4, del GDPR.

Il “terzo” dal canto suo, secondo le citate linee guida, dovrà effettuare una propria analisi giuridica, in particolare, individuando la base giuridica del suo trattamento, ai sensi dell’art. 6 del Reg. UE 2016/679.

Analisi e verifica dei presupposti normativi per la comunicazione o trasmissione dei dati a terzi - L’art. 6, par. 4, del cit. GDPR (a norma del quale è possibile la comunicazione a terzi) prevede che: “laddove il trattamento per una finalità diversa da quella per la quale i dati sono stati raccolti non sia basato su consenso dell’interessato…al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: a) di ogni nesso tra le finalità per cui i dati sono stati raccolti e le finalità dell’ulteriore trattamento previsto; b) del contesto in cui i dati personali sono stati raccolti, in particolare della relazione tra l’interessato e il titolare del trattamento; c) della natura dei dati personali…omissis; d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; e) dell’esistenza di garanzie adeguate…omissis”.

Accountability del titolare del trattamento - L’art. 5, par. 1, lett. a) del Reg. UE 2016/679 prevede che i dati personali devono essere trattati in modo “lecito”, mentre il par. 2, del medesimo articolo, prevede che il titolare del trattamento deve essere in grado di comprovare (responsabilizzazione) il rispetto del par. 1), di talché (anche) la liceità del trattamento.

Ne consegue che l’analisi e la verifica dei presupposti normativi ex art. 6 (“liceità del trattamento”), par. 4, preliminare al rilascio o alla comunicazione di immagini video a terzi, è evidentemente attratta nel perimetro della responsabilizzazione (accountability) del titolare del trattamento, ai sensi del combinato disposto di cui ai paragrafi 1 e 2 dell’art. 5.

Sarebbe opportuno, quindi, compilare una check list di verifica ai fini accountability, prima di comunicare immagini video a terzi, come ad esempio quella schematizzata nella seguente tabella:

Misure tecniche per evitare la lesione di diritti altrui - In ogni caso, il titolare del trattamento non può prescindere dall’adozione di quelle misure necessarie per garantire la riservatezza degli interessati nel momento in cui trasferisce immagini a terzi e, nel caso in cui siano identificabili altri soggetti rispetto a quelli oggetto dell’interesse specifico, dovrà adottare misure tecniche quali la modificazione delle immagini tramite mascheramento, annebbiamento o crittografia.

Responsabilizzazione del terzo come garanzia adeguata - Il “terzo” ricevente le immagini dovrebbe essere sensibilizzato e responsabilizzato con formule di impegno, sottoscritte all’atto del rilascio dei filmati, al fine di assicurare la sussistenza di garanzie adeguate affinché i trattamenti siano svolti in conformità alla normativa in materia di protezione dei dati personali. Si dovrebbero prevedere impegni a:

a) fornire idonee informative privacy agli interessati;
b) individuare un’idonea base giuridica per svolgere i trattamenti;
c) adottare misure tecniche ed organizzative per evitare la diffusione dei dati e proteggerli da accessi non autorizzati ed eventi di data breach;
d) rispettare le normative di settore a tutela di ogni eventuale diritto degli interessati.

Note sull'Autore

Marco Pagliara Marco Pagliara

Avvocato, DPO e Privacy Officer certificato TÜV Italia. E' Delegato Federprivacy nella provincia di Foggia.

Prev Diversificazione dei ruoli privacy per valorizzare le competenze
Next Cybersecurity & Intelligenza Artificiale: le possibili soluzioni

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy