Videosorveglianza, sui tempi di conservazione il Garante passa la palla alle aziende
Chi installa sistemi di videosorveglianza decide il termine di conservazione delle immagini. E lo deve mettere nero su bianco sul cartello da esporre nelle zone riprese dalle telecamere. È l'effetto della deregulation introdotta dal Regolamento Ue sulla privacy n. 2016/679 (noto con la sigla Gdpr). Il Garante ne prende atto e lo spiega nelle risposte alle domande più frequenti (Faq), diffuse sul suo sito internet. La materia, prima del Gdpr, era disciplinata da un provvedimento generale (l'ultimo è dell'8 aprile 2010) e, nei casi più spinosi, imponeva di ricorrere al Garante per una verifica preliminare (come sistemi integrati di videosorveglianza, sistemi «intelligenti», superamento termini di conservazione delle immagini fissati dal Garante, associazione immagini a dati biometrici, riconoscimento facciale, ecc.).
Il Gdpr ha cambiato le cose ed ha attribuito ai titolari del trattamento (imprese in particolare) la facoltà, sotto la propria responsabilità, di fare le scelte rispetto agli aspetti più delicati, primo tra tutti il termine di conservazione delle immagini.
Termini di conservazione - Il Garante non fissa i termini, può dare indicazioni di massima non cogenti, ma comunque, in ogni caso, a posteriori, può controllare se i termini fissati dall'azienda sono congrui. In sostanza la legislazione non definisce le prescrizioni in dettaglio, passando la palla alle aziende, che devono fare attenzione perché possono essere sanzionate se le scelte saranno censurate, ex post, dalle autorità di controllo. Solo il tempo dirà se questo sistema, che si affida alla sensibilità e al senso di responsabilità di chi deve installare le telecamere, porterà risultati effettivi per la tutela della privacy dei singoli individui. Oppure se aprirà la strada ad una applicazione precaria delle norme, ad una difficoltà di contestazione degli illeciti (non essendoci parametri normativi dettagliati), ad un incentivo del contenzioso (in cui si discuterà non del rispetto di regole oggettive, ma si analizzeranno le scelte soggettive compiute dal singolo titolare del trattamento). In ogni caso, l'affidamento al titolare del trattamento della decisione sul termine di conservazione delle immagine è, in materia di videosorveglianza, uno dei tre elementi di novità del Gdpr rispetto alla disciplina italiana previgente. A questo proposito il Garante indica alcuni possibili esempi, ma, ripetiamo, si tratta di ipotesi, non di prescrizioni obbligatorie. Certo è che il Garante controllerà e, allora, bisogna lasciare traccia della scelta compiuta e delle ragioni: il Garante dice che quanto più prolungato è il periodo di conservazione previsto (soprattutto se oltre 72 ore), tanto più argomentata deve essere l'analisi riferita alla legittimità dello scopo e alla necessità di conservazione. L'azienda deve scrivere un suo regolamento interno, il condominio farà approvare una delibera in assemblea e così via (questa burocrazia è necessaria per scantonare il rischio di sanzioni).
Valutazione di impatto - Il secondo elemento di novità è un altro adempimento che viene affidato alle aziende: si chiama valutazione di impatto privacy (Vip). È un documento che bisogna stendere se il trattamento presenta rischi elevati: si tratta, tra gli altri, dei casi per cui prima del Gdpr si chiedeva la verifica preliminare al Garante. C'è però una grossa differenza: la Vip la scrive l'azienda e non deve chiedere niente al Garante, però è responsabile e potrebbe scoprire solo a posteriori, in sede di controlli e sanzioni, se ha fatto le cose per bene; la verifica preliminare si concludeva con un atto del Garante, per cui l'azienda era tranquilla, perché le bastava rispettare le prescrizioni, che però potevano essere di per sé onerose. Insomma il Gdpr porta alle imprese più libertà ma più responsabilità. In materia di Vip, il regolamento e il Garante hanno individuato macrocategorie di ipotesi che obbligano alla Vip: l'azienda deve valutare quando ricade in queste situazioni. Si tratta, tra gli altri, dei seguenti casi: 1) sistemi integrati, sia pubblici che privati, che collegano telecamere tra soggetti diversi; 2) sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli; 3) sorveglianza sistematica su larga scala di una zona accessibile al pubblico; 4) sistema di videosorveglianza per trattare categorie particolari di dati (come dati sanitari).
Il cartello - Il terzo elemento di novità è il cartello, che riporta molte più informazioni rispetto ai cartelli in uso nel regime anteriore al Gdpr. In particolare i cartelli devono riportare: a) i contatti del responsabile della protezione dei dati (o dpo, se nominato); b) il periodo di conservazione dei dati; c) modalità per avere informativa estesa; d) l'ufficio cui rivolgersi per chiedere copia riprese o esercitare gli altri diritti dell'interessato.
Fonte: Italia Oggi del 9 dicembre 2020 - di Antonio Ciccia Messina e Stefano Manzelli