Sei sulla pagina 1di 8

Come cambia la Videosorveglianza con il GDPR?

1 Premessa
L’ingresso del GDPR cambia anche le regole della Videosorveglianza con alcune modifiche sostanziali.
Cerchiamo di sintetizzare lo stato dell’arte in materia, con qualche consiglio pratico per le aziende che, usando
sistemi con telecamere, desiderano adeguarsi.

2 Norme applicabili
La situazione attuale delle regole da applicare è questa:
− Provvedimento Generale dell’8 aprile 2010 del Garante Privacy (link);
− Regolamento Europeo 2016/679/UE, per semplicità definito GDPR (link);
anche se, in effetti, c’è anche la complicazione che il Provvedimento del Garante si basa sul Codice Privacy
(D.Lgs. 196/2003), del 2003 e quindi precedente al GDPR stesso, dove il Codice Privacy è stato poi
“armonizzato” con il GDPR nello scorso mese di agosto (con il D. Lgs 101/2018). Non stupirebbe un intervento
legislativo o, più probabilmente, dello stesso Garante per chiarire ulteriormente la materia.

3 Il Titolare del trattamento e la conseguente responsabilizzazione


L’azienda che tratta i dati personali mediante videosorveglianza è da considerare come “titolare del
trattamento dei dati”, cioè come la persona (fisica o giuridica) che definisce le finalità nonché le modalità del
trattamento e che ha la responsabilità delle scelte e delle azioni (secondo il principio di responsabilizzazione o
di “accountability”, concetto fondamentale del GDPR, all’art. 5.2), diventando unico responsabile per qualsiasi
trattamento non a norma di legge.

4 Le informazioni rese per il trattamento dei dati


L’argomento della videosorveglianza è caratterizzato, sin dal Provvedimento del Garante, dalla necessità di
una doppia informativa:
− informativa minima (il cartello “Area videosorvegliata”), che trae la sua legittimità/esistenza
dall’abrogato art. 13 comma 3 del vecchio Codice Privacy (che recitava: “Il Garante può individuare
con proprio provvedimento modalità semplificate per l’informativa fornita in particolare da servizi
telefonici di assistenza e informazione al pubblico”):
− informativa completa che deve essere resa conformemente a quanto disposto dal GDPR.

4.1 Informativa minima


Il modello è quello riportato nel Provvedimento dell’8 aprile 2010, in due versioni a seconda o meno della
presenza di collegamento con le forze di polizia:

Informativa base Informativa per collegamenti con le forze di polizia

pag. 1
Da notare sia il riferimento (obsoleto) al Codice Privacy che i campi obbligatori da compilare.
La motivazione dell’informativa minima è molto semplice: il Garante privacy ha voluto fare in modo che gli
interessati siano sempre informati del loro accesso ad una zona videosorvegliata. Questo segnale ha quindi il
senso di una “informativa preventiva” con le informazioni essenziali (indicazione del titolare e della finalità del
trattamento). L’informativa minima deve
− essere collocata prima del raggio di azione della telecamera o nelle immediate vicinanze e non
necessariamente a contatto con gli impianti;
− avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di
illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in
orario notturno.

4.2 Informativa completa


A questa informativa minima deve necessariamente seguire l’informativa “completa” anche ai sensi dell’art.
13 del GDPR, con i seguenti contenuti:
− identità e dati di contatto del titolare del trattamento; nel caso in cui il titolare del trattamento sia una
persona fisica inserire i dati anagrafici al posto della ragione sociale;
− dati di contatto del Responsabile della Protezione dei Dati (DPO), qualora nominato;
− finalità del trattamento: specificare a cosa serve la videosorveglianza e perché è necessaria. Il punto 2
del provvedimento del Garante privacy dell’8 aprile 2010, individua alcune finalità del trattamento in
che possono essere utilizzate dai titolari, tra cui:
o protezione e incolumità degli individui;
o protezione della proprietà;
o acquisizione di prove;
− base giuridica del trattamento: di norma l’interesse legittimo (GDPR art. 6, comma 1, lettera f). Il
provvedimento del 2010 al punto 6.2.2, peraltro richiamato dal provvedimento del Garante del 22
Febbraio 2018, riporta che “la rilevazione delle immagini può avvenire senza consenso, qualora, con le
modalità stabilite in questo stesso provvedimento, sia effettuata nell´intento di perseguire un legittimo
interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela
di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o
finalità di prevenzione di incendi o di sicurezza del lavoro”;
− destinatari del trattamento: i dati personali, oggetto delle riprese, sono comunicati a persone fisiche,
giuridiche, autorità pubbliche o organismi? Vi sono soggetti interni o esterni (ad esempio il personale
della vigilanza) che sono autorizzati al trattamento dei dati (anche solo la visione è un trattamento)? I
dati sono comunicati anche alle forze dell’ordine?
− eventuali trasferimenti all’estero di dati verso paesi terzi o organizzazioni internazionali;
− periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo: uno dei punti
“delicati” della videosorveglianza. Il GDPR ha introdotto l’obbligo di indicare questo periodo, ma al
punto 3.4 del provvedimento del 2010 vi era già questa informazione; infatti è riportato che “nei casi
in cui sia stato scelto un sistema che preveda la conservazione delle immagini, in applicazione del
principio di proporzionalità anche l’eventuale conservazione temporanea dei dati deve essere
commisurata al tempo necessario – e predeterminato – a raggiungere la finalità perseguita”. Inoltre
“la conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla
rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di
uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa
dell’autorità giudiziaria o di polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi
di trasporto) o per la particolare rischiosità dell´attività svolta dal titolare del trattamento (ad esempio,
per alcuni luoghi come le banche può risultare giustificata l´esigenza di identificare gli autori di un
sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di
conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri
trattamenti, si ritiene non debba comunque superare la settimana”. È sempre importante rispettare il

pag. 2
principio di minimizzazione dei dati, dove si afferma che i dati personali devono essere adeguati,
pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5.1 lett. c).
Lo stesso provvedimento del 2010 dispone al punto 2 lett. b) che “ciascun sistema informativo ed il
relativo programma informatico vengano conformati già in origine in modo da non utilizzare dati
relativi a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando
solo dati anonimi”, visto che di solito i sistemi di videosorveglianza sono strumenti informatici questo
− diritti dell’interessato: altra parte fondamentale dell’informativa privacy, dall’entrata in vigore del
GDPR, secondo i diritti precisati agli artt. 15, 16, 17, 18 e 21. A questo proposito si sottolinea come sia
importante fare poi riferimento ad una modalità “efficace” per le richieste di tali diritti (ad esempio
attraverso l’apposito modulo predisposto dal Garante privacy).

5 Le misure di sicurezza da adottare


I riferimenti sono sia all’art. 32 del GDPR che al provvedimento del 2010, dove si possono riassumere così i
concetti principali:
− i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con adeguate misure di
sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non
autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in
relazione alla trasmissione delle immagini;
− devono essere adottate specifiche misure tecniche ed organizzative che consentano al titolare del
trattamento di verificare l’attività svolta da parte di chi accede alle immagini o controlla i sistemi di
ripresa. È fatta salva la necessità di avere differenti livelli di visibilità e trattamento delle immagini
(rilevazione, anche mediante videocitofono);
− sia i soggetti che rilevano (visualizzano le immagini in tempo reale), sia i soggetti che registrano devono
possedere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti
ad ognuno, unicamente le operazioni di propria competenza;
− laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini
rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non
solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle
medesime operazioni di cancellazione o duplicazione;
− per quanto riguarda il periodo di conservazione delle immagini (a prescindere dalla durata scelta)
devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma
automatica, delle registrazioni, allo scadere del termine previsto (utilizzare la sovrascrittura);
− nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele: in
particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si
renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati
di credenziali di autenticazione abilitanti alla visione delle immagini;
− qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi
devono essere protetti contro i rischi di accesso abusivo di cui all´art. 615-ter del codice penale;
− la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di
videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne
garantiscano la riservatezza. Le stesse cautele sono richieste per la trasmissione di immagini da punti
di ripresa dotati di connessioni wireless (ad esempio, Wi-Fi).

6 Sicurezza dei dati ai sensi del GDPR


Come garantire quindi la sicurezza dei dati personali in materia di videosorveglianza?
L’art. 32 del GDPR dispone che, per approntare delle adeguate misure di sicurezza, bisogna tener conto dello
stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura,
dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e
gravità per i diritti e le libertà delle persone fisiche: è quindi importante prevedere una specifica analisi del

pag. 3
rischio sui dati personali trattati, al fine di garantire un livello di sicurezza adeguato al rischio. Tra le possibili
“soluzioni” si possono considerare:
− capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei
sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
− procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.

Inoltre, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non
autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque
trattati. Inoltre, punto importante, il titolare del trattamento fa sì che chiunque agisca sotto la sua autorità e
abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso. Vi sono peraltro altre misure di
“buon senso”, quali:
− controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password
per ogni singolo operatore del sistema di videosorveglianza;
− username e password devono essere riservati, non vanno scritti su carta e collocati a vista presso la
postazione PC, sono personali e non cedibili a nessuno;
− ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione
dal terminale;
− la password deve essere cambiata periodicamente, deve essere “complessa” e non va ceduta a
nessuno;
− dotarsi di soluzioni di crittografia / pseudonimizzazione per gli archivi elettronici;
− replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc. dato che i sistemi
di videosorveglianza possono essere gestiti da diversi dispositivi).

7 Soggetti autorizzati al trattamento delle immagini

7.1 Designazione degli incaricati alla visione


Il titolare del trattamento deve designare per iscritto tutte le persone fisiche autorizzate sia ad accedere ai
locali dove sono situate le postazioni di controllo, sia ad utilizzare gli impianti e, nei casi in cui sia indispensabile
per gli scopi perseguiti, a visionare le immagini. Deve trattarsi di un numero delimitato di soggetti, specie
quando il titolare si avvale di collaboratori esterni.

7.2 Designazione degli addetti


È necessario altresì individuare diversi livelli di accesso in corrispondenza delle specifiche mansioni attribuite
ad ogni singolo operatore, distinguendo coloro che sono unicamente abilitati a visionare le immagini dai
soggetti che possono effettuare, a determinate condizioni, ulteriori operazioni (ad es. registrare, copiare,
cancellare, spostare l’angolo visuale, modificare lo zoom, ecc.).
In questo secondo caso, il titolare o il responsabile del trattamento possono anche attribuire specifici compiti
e funzioni connessi al trattamento delle immagini ad altre persone (fisiche o giuridiche), nell’ambito del proprio
assetto organizzativo: si pensi ad esempio ai manutentori dell’impianto, oppure al sistemista che configura i
dispostivi di registrazione; anche tali attribuzioni devono avvenire per iscritto. È conseguente che tali incarichi
siano da gestire anche alla luce del criterio di responsabilizzazione, tipico del GDPR.

7.3 Formazione
Il personale dovrà inoltre essere correttamente formato, ossia dovrà comprendere la reale portata del
trattamento dei dati di videoregistrazione e videosorveglianza e l’importanza di gestire adeguatamente i dati
personali. Questa formazione specifica riduce i rischi di privacy e di sicurezza, con indubbio vantaggio per il
titolare del trattamento.

pag. 4
7.4 Titolare e responsabile del trattamento
Qualora il titolare del trattamento abbia necessità di “appaltare” il trattamento di videosorveglianza ad altro
soggetto, quest’ultimo rivestirà la “carica” di responsabile del trattamento. Un esempio può essere quello della
banca, titolare del trattamento, che si affida ad un istituto di vigilanza privato, responsabile del trattamento.
Come si disciplina il rapporto tra i due soggetti, ai sensi del GDPR?
Il rapporto tra il titolare e il responsabile del trattamento – ai sensi degli artt. 28 e 29 GDPR – deve essere
obbligatoriamente sancito da un contratto o da un altro atto giuridico che abbia la caratteristica di vincolare i
due soggetti, sia dal punto di vista del contratto primario (es. contratto di appalto del sistema di
videosorveglianza) che del trattamento dei dati (nomina a Responsabile).
Per essere nominato responsabile del trattamento, un soggetto deve poter fornire delle “garanzie” di
compliance al GDPR (in primo luogo, misure adeguate e diritti dell’interessato). E la valutazione sul possesso
di queste garanzie (in relazione al principio di responsabilizzazione del GDPR) è “prerogativa” obbligatoria del
titolare del trattamento. Quindi è preferibile scegliere un responsabile che si presenti già “conforme al GDPR”;
altrimenti sarà da considerare il costo e le responsabilità correlate alle ulteriori attività da svolgere in ambito
privacy.

È quindi importante predisporre idonee lettere di nomina o contratti che considerino almeno le seguenti parti
fondamentali:
− il responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento,
quindi è necessario che siano chiaramente indicati i compiti, oltre a definire i “margini di manovra”
del responsabile stesso, per il trattamento delle immagini (e, conseguentemente, dei dati correlati);
− il responsabile garantisce che le persone autorizzate al trattamento dei dati personali (quindi i suoi
sottoposti) si siano impegnate alla riservatezza, siano state formate in tal senso e abbiano un adeguato
obbligo legale di riservatezza;
− il responsabile deve adottare tutte le misure di sicurezza adeguate richieste ai sensi dell’articolo 32
GDPR;
− il responsabile si impegna a rispettare quanto disposto per i sub-responsabili del trattamento (il
responsabile del trattamento non può ricorrere ad un “sub-responsabile del trattamento” senza la
previa autorizzazione scritta del titolare);
− il responsabile deve assistere il titolare del trattamento con misure tecniche e organizzative adeguate,
nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare
seguito alle richieste per l’esercizio dei diritti degli interessati;
− il responsabile assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt.
da 32 a 36 del GPDR (misure di sicurezza, data breach e valutazione di impatto);
− il responsabile deve provvedere alla cancellazione o alla restituzione di tutti i dati personali al termine
della prestazione dei servizi relativi al trattamento; il responsabile deve, inoltre, cancellare le copie
esistenti, salvo che la legge non preveda la conservazione dei dati;
− il responsabile deve mettere a disposizione del titolare del trattamento tutte le informazioni
necessarie per dimostrare il rispetto degli obblighi e deve consentire e contribuire alle attività di
revisione, comprese le ispezioni, realizzati direttamente dal titolare o da un altro soggetto da questi
incaricato (non sempre facile da definire in mutua collaborazione);
− il responsabile del trattamento informa immediatamente il titolare qualora, a suo parere,
un’istruzione violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

La nomina o il contratto di cui sopra vincolano tra loro il titolare ed il responsabile e sono fondamentali, in
quanto permettono di “responsabilizzare il responsabile”, ossia permette di cedere una parte di responsabilità
affinché ne risponda in determinate situazioni, ricordando però sempre che l’accountability è propria del
titolare e non è delegabile.

pag. 5
8 Videosorveglianza e GDPR nei rapporti di lavoro.
In caso di attività lavorativa è necessaria “convergenza” tra la disciplina in materia di protezione dei dati
personali e la materia giuslavoristica. Recentemente il Garante privacy ha inserito “i trattamenti effettuati
nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di
videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza
dell’attività dei dipendenti” tra i trattamenti soggetti a valutazione di impatto. In questo caso i riferimenti di
legge sono:
− il provvedimento del 2010 (al punto 4.1) e
− lo Statuto dei Lavoratori (L. 300/1970).

In particolare, con la videosorveglianza occorre rispettare il divieto di controllo a distanza dell’attività


lavorativa, peraltro da tempo riaffermata anche con il provvedimento del Garante del marzo 2007 (Linee guida
del garante per posta elettronica e Internet).
È vietata, quindi, l’installazione di apparecchiature specificatamente preordinate alla predetta finalità. Non
devono essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto
dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa.
Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza è resa necessaria da
esigenze organizzative o produttive, ovvero è richiesta per la sicurezza del lavoro: in tali casi, ai sensi dell´art.
4 della Legge 300/1970 (modificata dal D.Lgs. 151/2015), gli impianti audiovisivi e gli altri strumenti, dai quali
derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati
esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del
patrimonio aziendale.
Gli impianti e gli strumenti di videoregistrazione e videosorveglianza possono essere installati solo:
− previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze
sindacali aziendali;
− in mancanza di accordo, possono essere installati previa autorizzazione della sede territoriale
dell’Ispettorato nazionale del lavoro (mediante specifica istanza, vd. link).

È fondamentale ricordare che:


− non è sufficiente il solo consenso dei dipendenti e dei lavoratori all’installazione dell’impianto di
videosorveglianza in alternativa alla procedura dinanzi l’Ispettorato nazionale del lavoro (come da
sentenza della Cass. Pen. Sez. 3, n. 38882 e 38884 del 24 agosto 2018, vd. link);
− è essenziale elaborare il documento esplicativo (o delle “scelte”) per la descrizione del sistema di
videoregistrazione o videosorveglianza, dove siano riportati i dettagli tecnici e le scelte effettuate ai
fini della conformità del sistema stesso.

9 Il Registro dei trattamenti e la Valutazione di impatto


Infine, non bisogna dimenticare che anche in ambito videosorveglianza trovano largo spazio il registro dei
trattamenti e la valutazione di impatto (DPIA), capisaldi del nuovo corso europeo introdotto dal GDPR.
Il titolare e/o il responsabile devono (a seconda delle dimensioni aziendali, come da art. 30.5 del GDPR1)
costituire apposito registro o inserire un’apposita sezione per il trattamento dati videosorveglianza nel
Registro preesistente, per la disciplina di tale particolare aspetto.

1
…gli obblighi (omissis) non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse
effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento
di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.

pag. 6
9.1 Registro dei trattamenti
Nel caso in cui il Registro debba essere redatto a cura del Titolare del trattamento, è importante che contenga
le seguenti informazioni (art. 30.1 del GDPR):
− il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del
trattamento (art. 26 del GDPR), del rappresentante (art. 27 del GDPR) del titolare del trattamento e
del responsabile della protezione dei dati;
− le finalità del trattamento;
− una descrizione delle categorie di interessati e delle categorie di dati personali;
− le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari
di paesi terzi od organizzazioni internazionali;
− ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i
trasferimenti di cui al secondo comma dell’articolo 49 GDPR, la documentazione delle garanzie
adeguate;
− ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
− ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui
all’articolo 32, paragrafo 1.

Nel caso in cui il Registro debba essere redatto a cura del Responsabile del trattamento, l’art. 30.2 GDPR
specifica che siano presenti le seguenti informazioni:
− il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del
trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare
del trattamento o del responsabile del trattamento e, ove applicabile, del Responsabile della
Protezione dei Dati (DPO – artt. dal 37 al 39 del GDPR);
− le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
− ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i
trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate;
− ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui
all’articolo 32, paragrafo 1.

9.2 Valutazione di impatto


La valutazione di impatto (artt. 35-36 del GDPR) è un’autonoma valutazione che il titolare del trattamento
pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per
i diritti e le libertà delle persone fisiche. È chiara l’importanza per tutti quei trattamenti dati in materia di
videosorveglianza che possano essere un rischio per i diritti e le libertà delle persone fisiche.
L’art. 35.3 c) del GDPR obbliga la conduzione di una valutazione di impatto in caso di sorveglianza sistematica
su larga scala di una zona accessibile al pubblico (caso tipico, la videosorveglianza su larga scala 2). Solo se il
titolare tratta dati particolari su larga scala, vi è quindi l’obbligo di una valutazione d’impatto.

Nel caso in cui si debba procedere alla valutazione d’impatto, questa dovrà comprendere:
− una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento compreso, ove
applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
− una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

2
Secondo le Linee Guida del Comitato Europeo per la Protezione dei Dati (già “Gruppo dei Garanti Privacy europei”, WP29) per
determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie
di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento.

pag. 7
− una valutazione dei rischi per i diritti e le libertà degli interessati;
− le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi
per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento,
tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

10 Sanzioni previste in ambito videosorveglianza e GDPR


Anche in questo caso l’apparato normativo è complicato dalla contemporanea presenza di sanzioni previste
dal Codice Privacy (D.Lgs 196/2003), novellato dal D.Lgs. 101/2018, richiami dal Provvedimento dell’8 aprile
2010 e dal GDPR.
Si può quindi parlare di apparato sanzionatorio “misto” dove il GDPR disciplina le sanzioni amministrative,
mentre il Codice Privacy (il 196 modificato dal 101) le sanzioni penali.

Di massima, nel caso di videoregistrazione e videosorveglianza, il GDPR può prevedere queste sanzioni:
− fino a 10.000.000 di euro – o fino al 2% del fatturato mondiale annuo dell’esercizio precedente – per
le violazioni degli obblighi di cui agli artt. 8, 11, da 25 a 39, 42 e 43; e 41, paragrafo 4 del GDPR.
− fino a 20.000.000 di euro – o fino al 4% del fatturato mondiale annuo dell’esercizio precedente:
o per le violazioni dei principi di base del trattamento, comprese le condizioni relative al
consenso, a norma degli articoli 5, 6, 7 e 9 del GDPR;
o per la violazione dei diritti degli interessati a norma degli articoli da 12 a 22 del GDPR.

11 INDICE
1 Premessa ......................................................................................................................................................... 1
2 Norme applicabili............................................................................................................................................. 1
3 Il Titolare del trattamento e la conseguente responsabilizzazione ................................................................... 1
4 Le informazioni rese per il trattamento dei dati ............................................................................................... 1
4.1 Informativa minima ................................................................................................................................... 1
4.2 Informativa completa ................................................................................................................................ 2
5 Le misure di sicurezza da adottare ................................................................................................................... 3
6 Sicurezza dei dati ai sensi del GDPR ................................................................................................................. 3
7 Soggetti autorizzati al trattamento delle immagini .......................................................................................... 4
7.1 Designazione degli incaricati alla visione .................................................................................................. 4
7.2 Designazione degli addetti ........................................................................................................................ 4
7.3 Formazione ................................................................................................................................................ 4
7.4 Titolare e responsabile del trattamento ................................................................................................... 5
8 Videosorveglianza e GDPR nei rapporti di lavoro. ............................................................................................ 6
9 Il Registro dei trattamenti e la Valutazione di impatto..................................................................................... 6
9.1 Registro dei trattamenti ............................................................................................................................ 7
9.2 Valutazione di impatto .............................................................................................................................. 7
10 Sanzioni previste in ambito videosorveglianza e GDPR .................................................................................... 8
11 INDICE.............................................................................................................................................................. 8

pag. 8