Videosorveglianza e GDPR

A fine 2018 la situazione normativa privacy in materia di video di

videosorveglianza e questa: abbiamo un provvedimento generale del 2010 del
garante privacy che si basa su un codice privacy precedente GDPR il nuovo
codice privacy armonizzato.

La responsabilità del titolare del trattamento

Il soggetto pubblico privato che tratta dati personali mediante videosorveglianza
è titolare del trattamento dei dati è determina le finalità e modalità del trattamento.
Su questa carica si innesta il principio di responsabilizzazione, introdotto dal
GDPR.

Le informazioni sul trattamento di dati

La materia della videosorveglianza è caratterizzata dalla particolarità della doppia
informativa: un’informativa minima (il cartello area videosorvegliata), che trae la
sua esistenza del vecchio codice privacy; ed un’informativa completa che deve
essere resa conformemente a quanto disposto dal GDPR. Il garante privacy ha
voluto fare in modo che gli interessati dovessero essere sempre informati al
momento dell’accesso ad una zona videosorvegliata. Il cartello è una sorta di pre
informativa con indicazione del titolare e della finalità di trattamento. Informativa
minima:

• deve essere collocata prima del raggio di azione della telecamera, anche
nelle sue immediate vicinanze e non necessariamente a contatto con gli
impianti;
• Deve avere un formato ed un posizionamento tale da essere chiaramente
visibile in ogni condizione di illuminazione ambientale;
• Può inglobare un simbolo di esplicita e immediata comprensione.

All’informativa minima segue l’informativa completa resa ai sensi dell’articolo 13

del GDPR.

Cosa deve contenere un’informativa in materia di videosorveglianza?

• L’identità e i dati di contatto del titolare del trattamento. È necessario

inserire la ragione sociale e i dati di contatto del titolare del trattamento. Nel
caso di titolare del trattamento persona fisica inserire i dati anagrafici in
luogo della ragione sociale. Raccomandazione: i dati di contatto devono
corrispondere al vero e devono essere sempre aggiornati.
• I dati di contatto del Responsabile della Protezione dei Dati (DPO), se
presente. Inserirli solo se richiesto dalla norma ovvero inserirli nel caso in
cui il titolare avesse deciso di nominarne uno facoltativamente.

• Le finalità del trattamento. La domanda alla quale rispondere è: a cosa mi

serve la videosorveglianza? È necessario? In tale caso è possibile far
riferimento direttamente al punto 2 del provvedimento 2010 del Garante
privacy che individua alcune finalità del trattamento in che possono essere
utilizzate dai titolari:

o protezione e incolumità degli individui, ivi ricompresi i profili attinenti

alla sicurezza urbana, all’ordine e sicurezza pubblica, alla
prevenzione, accertamento o repressione dei reati svolti dai soggetti
pubblici, alla razionalizzazione e miglioramento dei servizi al pubblico
volti anche ad accrescere la sicurezza degli utenti, nel quadro delle
competenze ad essi attribuite dalla legge;
o protezione della proprietà;
o rilevazione, prevenzione e controllo delle infrazioni svolti dai soggetti
pubblici, nel quadro delle competenze ad essi attribuite dalla legge;
o acquisizione di prove.

• La base giuridica del trattamento. La base giuridica che legittima il

trattamento mediante videosorveglianza è l’interesse legittimo (art. 6,
comma 1, lettera f del GDPR), richiamato da un (più) recente
provvedimento del Garante del 22 Febbraio 2018 – afferma che “la
rilevazione delle immagini può avvenire senza consenso, qualora, con le
modalità stabilite in questo stesso provvedimento, sia effettuata nell´intento
di perseguire un legittimo interesse del titolare o di un terzo attraverso la
raccolta di mezzi di prova o perseguendo fini di tutela di persone e beni
rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di
vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro”.

• I destinatari del trattamento. La domanda alla quale rispondere è: quale

persona fisica, giuridica, autorità pubblica o organismo riceve
comunicazione dei dati personali? Si può far riferimento a soggetti interni
autorizzati al trattamento dei dati (ad esempio, dipendente dell’istituto di
vigilanza deputato al controllo dei dati su NVR/DVR), ovvero a soggetti
esterni che effettuano trattamenti per conto del titolare (responsabile del
trattamento). Destinatari del trattamento potrebbero essere anche le forze
dell’ordine in caso di sistema di videosorveglianza collegato (punto 3.1.3
 del provvedimento del 2010). In ogni caso è necessario specificare
nell’informativa privacy almeno la categoria di riferimento dei destinatari.

• Il trasferimento all’estero di dati verso paesi terzi o organizzazioni

internazionali. Raro, ma non impossibile. In questo caso se vi fosse
necessità (ed intenzione) di trasferire alcuni dati verso paesi terzi (ad
esempio, extra UE) o organizzazioni internazionali bisognerà inserirlo
nell’informativa privacy. È, inoltre, necessario inserire la presenza o
l’assenza di decisioni di adeguatezza della Commissione Europea.

• Il periodo di conservazione dei dati o i criteri utilizzati per determinarne il

periodo. Indubbiamente è – da sempre – una delle particolarità della
videosorveglianza. Anzi, è uno dei pochi settori dove l’indicazione dei tempi
di conservazione dei dati ha anticipato l’obbligatorietà prevista dal GDPR.
Al punto 3.4 del provvedimento del 2010 si legge che “nei casi in cui sia
stato scelto un sistema che preveda la conservazione delle immagini, in
applicazione del principio di proporzionalità anche l´eventuale
conservazione temporanea dei dati deve essere commisurata al tempo
necessario – e predeterminato – a raggiungere la finalità perseguita”.
Inoltre “la conservazione deve essere limitata a poche ore o, al massimo,
alle ventiquattro ore successive alla rilevazione, fatte salve speciali
esigenze di ulteriore conservazione in relazione a festività o chiusura di
uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica
richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria. Solo in
alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la
particolare rischiosità dell´attività svolta dal titolare del trattamento (ad
esempio, per alcuni luoghi come le banche può risultare giustificata
l´esigenza di identificare gli autori di un sopralluogo nei giorni precedenti
una rapina), può ritenersi ammesso un tempo più ampio di conservazione
dei dati che, sulla scorta anche del tempo massimo legislativamente posto
per altri trattamenti, si ritiene non debba comunque superare la settimana”.
Raccomandazione: inserendo il periodo di conservazione nell’informativa,
attenersi sempre e comunque al rispetto del principio di minimizzazione dei
dati. I dati personali devono essere adeguati, pertinenti e limitati a quanto
necessario rispetto alle finalità per le quali sono trattati (art. 5.1 lett. c). Lo
stesso punto 2 lett. b) del provvedimento del 2010 dispone che “ciascun
sistema informativo ed il relativo programma informatico vengano
conformati già in origine in modo da non utilizzare dati relativi a persone
identificabili quando le finalità del trattamento possono essere realizzate
impiegando solo dati anonimi”.
• I diritti dell’interessato sui suoi dati personali. Questa è una parte
fondamentale dell’informativa privacy. Importante: tali diritti sono esercitati
dall’interessato senza alcuna formalità e gratuitamente (salvo richieste
reiterate, eccessive o infondate); il titolare del trattamento deve ottemperare
alle richieste senza ingiustificato ritardo (nei limiti della durata di
conservazione dei dati, di cui al punto precedente). Inoltre si risponde, ove
possibile, alle richieste dell’interessato nella stessa forma: a richieste
cartacee si risponde in maniera cartacea, a richieste elettroniche si risponde
in maniera elettronica. Vediamo quali sono i diritti dell’interessato sui suoi
dati personali in materia di videosorveglianza:

• ai sensi dell’art. 15 GDPR l’interessato ha il diritto di ottenere

(gratuitamente) dal titolare del trattamento la conferma che è in atto
– o meno – un trattamento di dati personali che lo riguarda, di ottenere
l’accesso a questi dati ed alcune informazioni già previste (e
garantite) nell’informativa. Nota: nei limiti del possibile, considerando
i tempi di conservazione scelti dal titolare del trattamento.

• ai sensi dell’art. 16 GDPR l’interessato ha il diritto di ottenere la

rettifica di dati personali inesatti ovvero l’integrazione di dati personali
incompleti. Nota: anche qui è necessario considerare i tempi di
conservazione scelti dal titolare del trattamento (potrebbe essere
impossibile procedere con l’esercizio di tali diritti).

• ai sensi dell’art. 17 GDPR l’interessato ha il diritto alla cancellazione

dei suoi dati: 1) nel caso che (a suo avviso) non siano più necessari
rispetto alle finalità di raccolta; 2) nel caso si opponga al trattamento
e non vi siano altri motivi legittimi per procedere con lo stesso; 3) nel
caso i dati siano trattati illecitamente da parte del titolare del
trattamento; 4) nel caso i dati debbano essere cancellati per
adempiere ad un obbligo di legge cui è soggetto il titolare del
trattamento. In tutti questi casi il titolare del trattamento dovrà
procedere alla cancellazione di tali dati senza ingiustificato
ritardo. Non si applica il diritto alla cancellazione quando vi è
l’esercizio del diritto alla libertà di espressione e di informazione; un
obbligo di legge da rispettare; un compito da svolgere nel pubblico
interesse ovvero l’esercizio di pubblici poteri cui può essere investito
il titolare del trattamento; ed infine non si applica per l’accertamento,
l’esercizio o la difesa di un suo diritto in sede giudiziaria (art. 24 Cost.).
 • ai sensi dell’art. 18 GDPR l’interessato ha il diritto di ottenere la
limitazione del trattamento dei dati personali che lo riguardano
quando: 1) contesta l’esattezza dei dati personali (nei limiti della
durata di conservazione); 2) il trattamento è illecito; 3) l’interessato ha
necessità di utilizzare i suoi dati per l’accertamento, l’esercizio o la
difesa di un suo diritto in sede giudiziaria benché il titolare non abbia
più bisogno di questi dati; infine, quando l’interessato si oppone al
trattamento dei suoi dati.

• ai sensi dell’art. 21 GDPR l’interessato ha il diritto di opporsi in

qualsiasi momento al trattamento avente come base giuridica il
legittimo interesse. In particolare, il titolare del trattamento dovrà
astenersi dal trattare ulteriormente i dati personali salvo che egli
dimostri l’esistenza di motivi legittimi cogenti per procedere al
trattamento che prevalgono sugli interessi, sui diritti e sulle libertà
dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un
diritto in sede giudiziaria. Inoltre, il diritto di opposizione deve essere
portato all’attenzione dell’interessato – e presentato – in maniera
chiara e separata da ogni altra informazione al più tardi al momento
della prima comunicazione.
• L’informativa privacy deve contenere il diritto di proporre reclamo presso
un’Autorità di Controllo. Raccomandazione: è consigliabile inserire
nell’informativa direttamente il binomio Autorità di Controllo e Sito Web (ad
esempio, Garante Privacy – https://www.garanteprivacy.it).

• L’informativa privacy deve specificare se la comunicazione di dati

personali (ai destinatari) è un obbligo di legge o contrattuale, se
l’interessato ha l’obbligo di fornire tali dati e le possibili conseguenze nel
caso in cui lo stesso non volesse procedere con la comunicazione.

• Infine, l’informativa privacy deve specificare se è in atto un processo

decisionale automatizzato (art. 22 GDPR), con la logica utilizzata,
l’importanza e le conseguenze di tale trattamento.