Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1 Premessa
L’ingresso del GDPR cambia anche le regole della Videosorveglianza con alcune modifiche sostanziali.
Cerchiamo di sintetizzare lo stato dell’arte in materia, con qualche consiglio pratico per le aziende che, usando
sistemi con telecamere, desiderano adeguarsi.
2 Norme applicabili
La situazione attuale delle regole da applicare è questa:
− Provvedimento Generale dell’8 aprile 2010 del Garante Privacy (link);
− Regolamento Europeo 2016/679/UE, per semplicità definito GDPR (link);
anche se, in effetti, c’è anche la complicazione che il Provvedimento del Garante si basa sul Codice Privacy
(D.Lgs. 196/2003), del 2003 e quindi precedente al GDPR stesso, dove il Codice Privacy è stato poi
“armonizzato” con il GDPR nello scorso mese di agosto (con il D. Lgs 101/2018). Non stupirebbe un intervento
legislativo o, più probabilmente, dello stesso Garante per chiarire ulteriormente la materia.
pag. 1
Da notare sia il riferimento (obsoleto) al Codice Privacy che i campi obbligatori da compilare.
La motivazione dell’informativa minima è molto semplice: il Garante privacy ha voluto fare in modo che gli
interessati siano sempre informati del loro accesso ad una zona videosorvegliata. Questo segnale ha quindi il
senso di una “informativa preventiva” con le informazioni essenziali (indicazione del titolare e della finalità del
trattamento). L’informativa minima deve
− essere collocata prima del raggio di azione della telecamera o nelle immediate vicinanze e non
necessariamente a contatto con gli impianti;
− avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di
illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in
orario notturno.
pag. 2
principio di minimizzazione dei dati, dove si afferma che i dati personali devono essere adeguati,
pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5.1 lett. c).
Lo stesso provvedimento del 2010 dispone al punto 2 lett. b) che “ciascun sistema informativo ed il
relativo programma informatico vengano conformati già in origine in modo da non utilizzare dati
relativi a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando
solo dati anonimi”, visto che di solito i sistemi di videosorveglianza sono strumenti informatici questo
− diritti dell’interessato: altra parte fondamentale dell’informativa privacy, dall’entrata in vigore del
GDPR, secondo i diritti precisati agli artt. 15, 16, 17, 18 e 21. A questo proposito si sottolinea come sia
importante fare poi riferimento ad una modalità “efficace” per le richieste di tali diritti (ad esempio
attraverso l’apposito modulo predisposto dal Garante privacy).
pag. 3
rischio sui dati personali trattati, al fine di garantire un livello di sicurezza adeguato al rischio. Tra le possibili
“soluzioni” si possono considerare:
− capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei
sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
− procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.
Inoltre, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non
autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque
trattati. Inoltre, punto importante, il titolare del trattamento fa sì che chiunque agisca sotto la sua autorità e
abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso. Vi sono peraltro altre misure di
“buon senso”, quali:
− controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password
per ogni singolo operatore del sistema di videosorveglianza;
− username e password devono essere riservati, non vanno scritti su carta e collocati a vista presso la
postazione PC, sono personali e non cedibili a nessuno;
− ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione
dal terminale;
− la password deve essere cambiata periodicamente, deve essere “complessa” e non va ceduta a
nessuno;
− dotarsi di soluzioni di crittografia / pseudonimizzazione per gli archivi elettronici;
− replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc. dato che i sistemi
di videosorveglianza possono essere gestiti da diversi dispositivi).
7.3 Formazione
Il personale dovrà inoltre essere correttamente formato, ossia dovrà comprendere la reale portata del
trattamento dei dati di videoregistrazione e videosorveglianza e l’importanza di gestire adeguatamente i dati
personali. Questa formazione specifica riduce i rischi di privacy e di sicurezza, con indubbio vantaggio per il
titolare del trattamento.
pag. 4
7.4 Titolare e responsabile del trattamento
Qualora il titolare del trattamento abbia necessità di “appaltare” il trattamento di videosorveglianza ad altro
soggetto, quest’ultimo rivestirà la “carica” di responsabile del trattamento. Un esempio può essere quello della
banca, titolare del trattamento, che si affida ad un istituto di vigilanza privato, responsabile del trattamento.
Come si disciplina il rapporto tra i due soggetti, ai sensi del GDPR?
Il rapporto tra il titolare e il responsabile del trattamento – ai sensi degli artt. 28 e 29 GDPR – deve essere
obbligatoriamente sancito da un contratto o da un altro atto giuridico che abbia la caratteristica di vincolare i
due soggetti, sia dal punto di vista del contratto primario (es. contratto di appalto del sistema di
videosorveglianza) che del trattamento dei dati (nomina a Responsabile).
Per essere nominato responsabile del trattamento, un soggetto deve poter fornire delle “garanzie” di
compliance al GDPR (in primo luogo, misure adeguate e diritti dell’interessato). E la valutazione sul possesso
di queste garanzie (in relazione al principio di responsabilizzazione del GDPR) è “prerogativa” obbligatoria del
titolare del trattamento. Quindi è preferibile scegliere un responsabile che si presenti già “conforme al GDPR”;
altrimenti sarà da considerare il costo e le responsabilità correlate alle ulteriori attività da svolgere in ambito
privacy.
È quindi importante predisporre idonee lettere di nomina o contratti che considerino almeno le seguenti parti
fondamentali:
− il responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento,
quindi è necessario che siano chiaramente indicati i compiti, oltre a definire i “margini di manovra”
del responsabile stesso, per il trattamento delle immagini (e, conseguentemente, dei dati correlati);
− il responsabile garantisce che le persone autorizzate al trattamento dei dati personali (quindi i suoi
sottoposti) si siano impegnate alla riservatezza, siano state formate in tal senso e abbiano un adeguato
obbligo legale di riservatezza;
− il responsabile deve adottare tutte le misure di sicurezza adeguate richieste ai sensi dell’articolo 32
GDPR;
− il responsabile si impegna a rispettare quanto disposto per i sub-responsabili del trattamento (il
responsabile del trattamento non può ricorrere ad un “sub-responsabile del trattamento” senza la
previa autorizzazione scritta del titolare);
− il responsabile deve assistere il titolare del trattamento con misure tecniche e organizzative adeguate,
nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare
seguito alle richieste per l’esercizio dei diritti degli interessati;
− il responsabile assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt.
da 32 a 36 del GPDR (misure di sicurezza, data breach e valutazione di impatto);
− il responsabile deve provvedere alla cancellazione o alla restituzione di tutti i dati personali al termine
della prestazione dei servizi relativi al trattamento; il responsabile deve, inoltre, cancellare le copie
esistenti, salvo che la legge non preveda la conservazione dei dati;
− il responsabile deve mettere a disposizione del titolare del trattamento tutte le informazioni
necessarie per dimostrare il rispetto degli obblighi e deve consentire e contribuire alle attività di
revisione, comprese le ispezioni, realizzati direttamente dal titolare o da un altro soggetto da questi
incaricato (non sempre facile da definire in mutua collaborazione);
− il responsabile del trattamento informa immediatamente il titolare qualora, a suo parere,
un’istruzione violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
La nomina o il contratto di cui sopra vincolano tra loro il titolare ed il responsabile e sono fondamentali, in
quanto permettono di “responsabilizzare il responsabile”, ossia permette di cedere una parte di responsabilità
affinché ne risponda in determinate situazioni, ricordando però sempre che l’accountability è propria del
titolare e non è delegabile.
pag. 5
8 Videosorveglianza e GDPR nei rapporti di lavoro.
In caso di attività lavorativa è necessaria “convergenza” tra la disciplina in materia di protezione dei dati
personali e la materia giuslavoristica. Recentemente il Garante privacy ha inserito “i trattamenti effettuati
nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di
videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza
dell’attività dei dipendenti” tra i trattamenti soggetti a valutazione di impatto. In questo caso i riferimenti di
legge sono:
− il provvedimento del 2010 (al punto 4.1) e
− lo Statuto dei Lavoratori (L. 300/1970).
1
…gli obblighi (omissis) non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse
effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento
di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.
pag. 6
9.1 Registro dei trattamenti
Nel caso in cui il Registro debba essere redatto a cura del Titolare del trattamento, è importante che contenga
le seguenti informazioni (art. 30.1 del GDPR):
− il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del
trattamento (art. 26 del GDPR), del rappresentante (art. 27 del GDPR) del titolare del trattamento e
del responsabile della protezione dei dati;
− le finalità del trattamento;
− una descrizione delle categorie di interessati e delle categorie di dati personali;
− le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari
di paesi terzi od organizzazioni internazionali;
− ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i
trasferimenti di cui al secondo comma dell’articolo 49 GDPR, la documentazione delle garanzie
adeguate;
− ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
− ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui
all’articolo 32, paragrafo 1.
Nel caso in cui il Registro debba essere redatto a cura del Responsabile del trattamento, l’art. 30.2 GDPR
specifica che siano presenti le seguenti informazioni:
− il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del
trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare
del trattamento o del responsabile del trattamento e, ove applicabile, del Responsabile della
Protezione dei Dati (DPO – artt. dal 37 al 39 del GDPR);
− le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
− ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i
trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate;
− ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui
all’articolo 32, paragrafo 1.
Nel caso in cui si debba procedere alla valutazione d’impatto, questa dovrà comprendere:
− una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento compreso, ove
applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
− una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
2
Secondo le Linee Guida del Comitato Europeo per la Protezione dei Dati (già “Gruppo dei Garanti Privacy europei”, WP29) per
determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie
di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento.
pag. 7
− una valutazione dei rischi per i diritti e le libertà degli interessati;
− le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi
per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento,
tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Di massima, nel caso di videoregistrazione e videosorveglianza, il GDPR può prevedere queste sanzioni:
− fino a 10.000.000 di euro – o fino al 2% del fatturato mondiale annuo dell’esercizio precedente – per
le violazioni degli obblighi di cui agli artt. 8, 11, da 25 a 39, 42 e 43; e 41, paragrafo 4 del GDPR.
− fino a 20.000.000 di euro – o fino al 4% del fatturato mondiale annuo dell’esercizio precedente:
o per le violazioni dei principi di base del trattamento, comprese le condizioni relative al
consenso, a norma degli articoli 5, 6, 7 e 9 del GDPR;
o per la violazione dei diritti degli interessati a norma degli articoli da 12 a 22 del GDPR.
11 INDICE
1 Premessa ......................................................................................................................................................... 1
2 Norme applicabili............................................................................................................................................. 1
3 Il Titolare del trattamento e la conseguente responsabilizzazione ................................................................... 1
4 Le informazioni rese per il trattamento dei dati ............................................................................................... 1
4.1 Informativa minima ................................................................................................................................... 1
4.2 Informativa completa ................................................................................................................................ 2
5 Le misure di sicurezza da adottare ................................................................................................................... 3
6 Sicurezza dei dati ai sensi del GDPR ................................................................................................................. 3
7 Soggetti autorizzati al trattamento delle immagini .......................................................................................... 4
7.1 Designazione degli incaricati alla visione .................................................................................................. 4
7.2 Designazione degli addetti ........................................................................................................................ 4
7.3 Formazione ................................................................................................................................................ 4
7.4 Titolare e responsabile del trattamento ................................................................................................... 5
8 Videosorveglianza e GDPR nei rapporti di lavoro. ............................................................................................ 6
9 Il Registro dei trattamenti e la Valutazione di impatto..................................................................................... 6
9.1 Registro dei trattamenti ............................................................................................................................ 7
9.2 Valutazione di impatto .............................................................................................................................. 7
10 Sanzioni previste in ambito videosorveglianza e GDPR .................................................................................... 8
11 INDICE.............................................................................................................................................................. 8
pag. 8