NEWS

Valutazione d'impatto e videosorveglianza con il Gdpr

Tra le tecnologie più evolute, la videosorveglianza occupa, con i suoi algoritmi di videonalisi, un posto di primo piano. Da qui la necessità da parte di produttori e utilizzatori finali di adottare idonei enterprise management system, capaci di tutelare efficacemente i diritti e le libertà degli interessati (le persone riprese e analizzate dal sistema di videosorveglianza).

Con il Regolamento UE 2016/679 (c.d. GDPR o RGPD), in virtù del principio dell’accountability l'intervento delle autorità di controllo si è trasformato da controllo preventivo a controllo successivo rispetto le decisioni prese dal titolare; ciò spiega l'abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva 95/46/CE e dal D.Lgs n.196/2003, come la notifica preventiva dei trattamenti all'autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda l’abrogato art. 17 del Codice Privacy), sostituiti da obblighi di tenuta di un registro dei trattamenti (art. 30 GDPR) da parte del titolare/responsabile e di effettuazione di valutazioni di impatto (art. 35 GDPR) in piena autonomia.

La Data Protection Impact Assessment (c.d. D.P.I.A.), disciplinata dall’articolo 35 GDPR, consiste in una procedura finalizzata ad esaminare un trattamento di dati (es. algoritmo di videoanalisi) per valutarne il rispetto ai principi privacy, nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Essa soddisfa quanto richiesto dal regolamento generale sulla protezione dei dati nella parte in cui prevede che i titolari del trattamento attuino misure adeguate per garantire ed essere in grado di dimostrare il rispetto di detto regolamento, tenendo conto tra l'altro dei "rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche" (articolo 24, paragrafo 1).

In tema di Videosorveglianza il provvedimento generale prescrittivo dell’8 aprile 2010 dell’Autorità Garante prevedeva tutta una serie di ipotesi che andavano sottoposte a verifica preliminare e ora, come detto, riconducibili all’articolo 35 GDPR. Si tratta:

• dei sistemi di videosorveglianza abbinati a dati biometrici;
• degli impianti dotati di software, che consentono il Riconoscimento delle persone;
• dei sistemi c.d. intelligenti, che cioè non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli ed eventualmente registrarli;
• dei sistemi integrati di videosorveglianza;
• delle casistiche di allungamento dei tempi di conservazione delle immagini oltre il previsto termine massimo di sette giorni.

Considerato che il principio dell’accountability o di responsabilizzazione consiste nel dovere del titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate al fine di dimostrare che il trattamento è effettuato conformemente al regolamento, la valutazione di impatto privacy ai sensi dell’articolo 35 del regolamento UE 2016/679 ne rappresenta un valido strumento (c.d. accountability tool).

Secondo il GDPR - precisa il primo paragrafo dell’articolo 35 RGPD - la DPIA è obbligatoria quando il trattamento dei dati - per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità - può presentare un rischio elevato per i diritti e le libertà delle persone. Gli esempi possono essere molteplici; si pensi ai sistemi di videosorveglianza “face detection” per finalità di marketing, o di “face recognition” per motivi di sicurezza, o all’utilizzo di tecnologie sul controllo accessi basate sulla biometrie e/o la geolocalizzazione.

Premesso che il Titolare del trattamento, utilizzatore del sistema, resta soggetto all'obbligo di svolgere la propria valutazione d'impatto sulla protezione dei dati in relazione all'attuazione specifica, nella propria valutazione potrà acquisire le informazioni eventualmente provenienti dalla valutazione d’impatto preparata dal fornitore del prodotto.

Si tratta di un aspetto importante perché la DPIA del fornitore potrà contenere dettagli in merito alle misure di sicurezza presenti nel dispositivo tecnologico oggetto della valutazione del titolare utilizzatore che, quindi, se opportunamente configurato, gli consentirà una adeguata gestione dei rischi e la dimostrazione del rispetto dei principi della privacy by design e by default.

Per approndimenti sull'argomento, gli utenti registrati possono scaricare il saggio "Valutazione d'impatto e videosorveglianza con il Gdpr" di Marco Soffientini

Note Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Pubblicato in Gazzetta Ufficiale il Decreto Legge che proroga il collegio del Garante Privacy
Next Stop all'incetta di nomine di data protection officer

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy