NEWS

Videosorveglianza nei Comuni come efficace strumento nella lotta alla criminalità: come gestirla nel rispetto della normativa sulla privacy

La videosorveglianza per la sicurezza urbana va necessariamente gestita nel rispetto dei diritti e delle libertà fondamentali dei cittadini. Da qualche anno, sempre più spesso si ha notizia di rilevanti fondi statali posti a disposizione dei Comuni per implementare sistemi di videosorveglianza funzionali alla prevenzione ed al contrasto dei fenomeni di criminalità diffusa e predatoria.

Telecamere nelle Pubbliche Amministrazioni: necessario rispettare le normative sulla privacy


Bisogna però considerare che questi sistemi di videosorveglianza, che sono strumenti certamente molto utili per garantire la sicurezza urbana, possono portare più danni che vantaggi alle amministrazioni locali se non sono gestiti secondo modalità rispettose delle norme eurounitarie poste a protezione dei diritti e delle libertà fondamentali delle persone fisiche e, in particolare del diritto alla protezione dei dati personali.

Vediamo perché.

1. La videosorveglianza utile strumento per la prevenzione ed il contrasto dei fenomeni di criminalità diffusa e predatoria - Il D.L. 14/2017 convertito in Legge 48/2017 ha introdotto nell’Ordinamento Nazionale un corpus normativo volto, tra l’altro, a realizzare la prevenzione ed il contrasto dei fenomeni di criminalità diffusa e predatoria, anche attraverso l’installazione di sistemi di videosorveglianza da parte dei Comuni a favore dei quali è stato anche previsto lo stanziamento di speciali fondi. In tale quadro, recentemente il Ministero dell’Interno ha messo a disposizione di alcuni Comuni dell’Italia meridionale 30 milioni di euro reperiti nell’ambito del Programma Operativo Complementare “Legalità” 2014 – 2020 (c.d. POC “Legalità”) per realizzare impianti di videosorveglianza integrata.

E’, questa, l’ultima di varie iniziative volte a dotare le Amministrazioni locali di risorse adeguate per garantire la sicurezza urbana, i.e. il bene pubblico che afferisce alla vivibilità e al decoro delle città, da perseguire anche attraverso la prevenzione della criminalità, in particolare di tipo predatorio.
Bisogna però tenere ben presente che la scelta, l’acquisto ed il conseguente processo di gestione di questi sistemi, che non siano pienamente rispettosi dei principi in materia di protezione dei dati personali potrebbero comportare rilevanti danni e problemi per le Amministrazioni locali.

Giuseppe Alverone

(Nella foto: Giuseppe Alverone, Data Protection Officer dell’Arma dei Carabinieri)

2. Le possibili sfavorevoli conseguenze di una gestione “non compliant” dei sistemi di videosorveglianza - Per comprendere quanto inopportuna e svantaggiosa sia una gestione “non compliant” dei sistemi di videosorveglianza è utile focalizzare l’attenzione su una particolare norma del Codice Privacy novellato, l’art. 2 decies il quale stabilisce che i dati personali trattati in violazione della normativa privacy/data protection non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis.

Invero, l’art. 160 bis del codice della privacy, che è l’eccezione a questa regola, stabilisce che nel procedimento giudiziario (i.e. nel procedimento penale o civile) – Attenzione: non nel procedimento amministrativo – la validità, l’efficacia e l’utilizzabilità dei dati personali trattati in violazione della normativa privacy/data protection restano disciplinate dalle norme processuali di quegli ecosistemi.

Da questa semplice regola è agevole indurre che i Comuni che basino una o più contestazioni di illecito amministrativo su dati personali raccolti attraverso l’uso non conforme di un sistema di videosorveglianza, saranno esposti:

I. non solo a pesanti sanzioni amministrative pecuniarie che potrebbero essere irrogate dal Garante della Privacy,

II. ma anche, – circostanza forse ancor più dannosa –, ad un annullamento, con un effetto valanga, dei vari procedimenti sanzionatori attivati sulla base del citato trattamento illecito di dati personali.

Telecamere nelle Pubbliche Amministrazioni: necessario che gli impianti di videosorveglianza siano compliant al GDPR

Federprivacy patrocina il Corso Specialistico 'Il Privacy Officer nel settore Videosorveglianza'

3. Come disegnare un processo di gestione della videosorveglianza “compliant” alla normativa privacy/data protection - Sulla base di quanto evidenziato, non è revocabile in dubbio che le immagini, rectius, i dati personali, raccolti tramite i sistemi di videosorveglianza, debbano necessariamente essere trattati in modo conforme alla normativa privacy.

Vediamo allora, sinteticamente, come disegnare un adeguato processo di gestione di detti sistemi.

L’art. 22, comma 1 del D.Lgs. 101/2018 che ha novellato il codice della privacy ed ha reso compatibili le norme privacy nazionali con quelle eurounitarie ha fissato un importantissimo principio: tutte le disposizioni dell’ordinamento nazionale in materia di privacy si interpretano e si applicano alla luce della disciplina dell’Unione europea. Quindi, un’Amministrazione locale, ogni volta che è chiamata a progettare e disciplinare un’attività di trattamento di dati personali, deve primariamente fare riferimento alla normativa eurounitaria che è fondamentale nel senso che costituisce le fondamenta dell’intero ecosistema privacy. Tutte le norme nazionali possono quindi essere applicate solo se ed in quanto compatibili con detta normativa, altrimenti devono essere disapplicate.

La normativa eurounitaria di interesse è diversa a seconda della finalità che il Comune intende realizzare. Se la finalità è quella di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali si dovrà applicare il D.Lgs. 51/2018l che ha recepito la Direttiva UE 2016/680 nota anche con l’acronimo LED (Law Enforcement Directive). Per ogni altra diversa finalità dovrà essere applicato il Regolamento UE 2016/679, noto con l’acronimo GDPR (General Data Protection Regulation).

Seppure le normative eurounitarie di riferimento siano distinte, i principi in materia di protezione dei dati personali, sui quali bisogna fondare il design dei processi di gestione della videosorveglianza, sono gli stessi.

Dopo aver individuato il corpus normativo, si dovrà applicare il principio di privacy by design fissato dall’art. 25 del GDPR e dall’art. 16 del D.Lgs. 51/2018.

In pratica, il Comune, sia al momento di determinare i mezzi del trattamento (i.e. quando decide di installare un impianto di videosorveglianza) sia all’atto del trattamento stesso (i.e. al momento dell’implementazione dello stesso sistema) dovrebbe progettare il processo di gestione della videosorveglianza allineandolo ai principi di protezione dei dati.

Questi principi sono fissati dall’art. 5 del GDPR e dall’art. 3 del D.Lgs. 51/2018. Il design di tale processo dovrà quindi prevedere che:

1. gli scopi del trattamento siano determinati, espliciti e legittimi;
2. le basi giuridiche che rendono lecito il trattamento siano state correttamente individuate;
3. sia stato definito il periodo di conservazione dei dati;
4. i dati da raccogliere e trattare siano:
5. adeguati, pertinenti e limitati a quanto è necessario in relazione agli scopi del trattamento
6. esatti e, se necessario, aggiornati;
7. trattati in una cornice di sicurezza che garantisca integrità e riservatezza.

Ma tutto questo non basta! Per realizzare la compliance occorre un adempimento ulteriore. Bisogna eseguire una valutazione di impatto sulla protezione dei dati (la c.d DPIA: Data Protection Impact Assessment).

Si tratta di uno specifico processo che il Comune dovrebbe sviluppare ancor prima di predisporre il capitolato di appalto per l’acquisto del sistema di videosorveglianza.

Infatti l’art. 35 GDPR stabilisce che il titolare quando deve eseguire un trattamento che prevede l’uso di nuove tecnologie e che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere al trattamento, deve effettuare una valutazione di impatto.

Il comma 3 dello stesso art. 35 individua in particolare anche 3 categorie di trattamenti per i quali sussiste l’obbligo di eseguire una DPIA:

1. la profilazione,
2. il trattamento su larga scala di dati personali di particolare natura (i.e. quelli che una volta erano definiti dati sensibili);
3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Quindi prima di avviare un processo di gestione di un sistema di videosorveglianza – Attenzione: prima e non dopo – bisogna eseguire una DPIA.

Per sviluppare correttamente una DPIA è necessario seguire pedissequamente le indicazioni fissate nell’allegato 2 delle Linee Guida dei Garanti Europei contrassegnate dalla sigla WP248 rev.01. Questo allegato descrive 4 fasi di esecuzione della DPIA:

1. la prima è finalizzate a descrivere sistematicamente il trattamento,
2. la seconda a valutare la necessità e la proporzionalità del trattamento in relazione alle finalità;
3. la terza è volta a gestire i rischi per i diritti e le libertà degli interessati;
4. la quarta riguarda il coinvolgimento del DPO ed eventualmente degli interessati.

 di Giuseppe Alverone (Fonte: Diritto.it)

Note sull'Autore

Giuseppe Alverone Giuseppe Alverone

Data Protection Officer (DPO) certificato secondo lo standard nazionale UNI 11697:2017, membro di Federprivacy.

Prev Videosorveglianza & minori: il caso delle telecamere installate in un convitto
Next Attacchi ransomware, quando si applica l’obbligo di informare gli interessati

TV9, il presidente di Federprivacy alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy