Le sole normative tecniche non sono sufficienti per realizzare un sistema di videosorveglianza a norma. Il GDPR, infatti, ha avuto un notevole impatto sul settore della videosorveglianza, implementando una serie di disposizioni che hanno l’obiettivo di trovare il giusto equilibrio tra il bisogno di sicurezza di chi installa un impianto e il diritto alla privacy dei soggetti che possono essere ripresi. Il sistema di videosorveglianza non deve essere ridotto ad una semplice installazione che prevede il montaggio di alcune telecamere e un videoregistratore: è necessario rispettare le regole in ambito giuslavoristico ed in ambito privacy, utilizzando possibilmente hardware GDPR Ready e adottando una serie di misure volte a trattare i dati nel modo corretto.
GDPR: in che modo il regolamento influenza l’installazione dei sistemi di videosorveglianza?
Sicurezza e privacy sono temi che vanno sempre più spesso di pari passo, affiancandosi in un inevitabile processo di convergenza. Il diritto alla riservatezza delle persone (privacy) viene per lo più regolamentato dal GDPR (General Data Protection Regulation o regolamento n. 2016/679) che si applica in tutti i settori e alle tecnologie presenti nell’Unione Europea che prevedono il trattamento di dati personali e particolari. Con dati personali si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile“, mentre con dati particolari si fa riferimento alle “informazioni che rivelino l’origine etnica/razziale, opinioni di tipo politico, di orientamento sessuale o religioso, dati biometrici (es. impronta digitale), condizioni fisiche o di salute, fati relativi a condanne e reati di un soggetto“. Nel caso del settore security e safety, esistono molteplici installazioni che si trovano a trattare queste tipologie di dati, in modo particolare il controllo accessi e i sistemi di videosorveglianza.
Nello specifico caso dei sistemi di videosorveglianza, dati personali e particolari possono essere contenuti nelle immagini riprese dalle telecamere e nelle registrazioni di DVR e NVR. Proprio per questo, è indispensabile rispettare alcune accortezze che, affidandosi a figure non professionali, possono non essere soddisfatte nel modo corretto.
Sistema di videosorveglianza conforme al GDPR: come fare?
La CEI EN 62676-4 afferma che il titolare del sistema di videosorveglianza ha l’obbligo di proteggere adeguatamente il proprio impianto (tramite interventi di manutenzione programmata e straordinaria) e i dati che da esso vengono utilizzati, a dimostrazione della sempre maggiore vicinanza tra normative tecniche e privacy.
Per installare un sistema di videosorveglianza non è necessario presentare alcuna richiesta al Garante della Privacy: infatti, è onere del titolare del trattamento valutare la liceità dell’iniziativa, provvedendo ad adottare tutte le misure necessarie a rispettare la privacy dei soggetti coinvolti. Nel caso in cui il Cliente desideri dotarsi di tecnologie particolari che possano rappresentare un rischio per la riservatezza delle persone fisiche riprese (come, ad esempio, il riconoscimento facciale o sistemi di video analisi particolarmente avanzati) dovrà essere eseguita una valutazione d’impatto preventiva (artt. 35 e 36 del Regolamento). Ciò nonostante, la valutazione d’impatto relativa alla protezione dei dati è sempre obbligatoria.
I sistemi di videosorveglianza, per poter essere installati, devono sottostare a 3 principi che ne determinano la fattibilità:
- Liceità: un soggetto, per poter realizzare un impianto, deve essere in possesso di un titolo valido per tutelare uno specifico interesse in una determinata area.
- Proporzionalità: l’installazione del sistema di videosorveglianza, teoricamente, può avvenire solo se lo stesso risultato non può essere raggiunto tramite altri strumenti che non prevedano impatto privacy. Secondo questo principio è inoltre necessario dimensionare il sistema per numero di telecamere, risoluzione, funzioni di analisi e tempo di conservazione in modo proporzionale allo scopo.
- Minimizzazione dei dati: Per proteggere al meglio la privacy dei soggetti ripresi, è indispensabile che vengano raccolti esclusivamente i dati essenziali indispensabili per il mantenimento della sicurezza e non oltre. L’autorità, infatti, afferma che “i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Genericamente, i sistemi di videosorveglianza possono essere installati in tutti gli ambienti e i settori possibili (pubblica amministrazione, aziende, privati, condomini, ecc.) pur dovendo rispettare norme specifiche sulla base della categoria di persone che possono essere riprese ed il tipo di luogo. In modo particolare, qualora il sistema di videosorveglianza venisse installato in un luogo di lavoro (uffici, negozi, aziende, pubblica amministrazione, ecc.), è necessario sottostare anche a quanto disciplinato nell’ex art. 4 legge n. 300/1970 nell’interesse dei lavoratori.
Per quanto tempo si possono conservare le immagini dei sistemi di videosorveglianza?
Un aspetto importante della videosorveglianza regolamentato dal GDPR riguarda la conservazione dei dati e delle registrazioni. I sistemi di videosorveglianza archiviano le immagini all’interno di NVR o DVR (NVR per i sistemi di videosorveglianza IP e DVR per i sistemi di videosorveglianza analogici) e la loro conservazione dipende dalle finalità con cui i sistemi di videosorveglianza sono stati installati. Genericamente, le registrazioni archiviate devono essere cancellate entro 24h, periodo che può essere esteso in alcuni casi, ma non oltre i 7 giorni. Qualora i 7 giorni non fossero ritenuti sufficienti, sarà necessario svolgere una valutazione d’impatto privacy per definirne e dimostrarne la sostenibilità giuridica.
Quando è obbligatorio il cartello di videosorveglianza?
Secondo il GDPR è sempre obbligatorio informare le persone in transito tramite opportuna informativa. Sarà dovere del titolare del trattamento apporre un’informativa breve (cartello) prima di entrare nella zona videosorvegliata, consentendo all’interessato di evitare di accedere all’area o di adeguare il proprio comportamento. L’informativa breve dovrà riportare in sintesi modalità e finalità del trattamento dei dati e rimandare ad un’informativa completa consultabile agevolmente online.
Per tutelare il proprio ambiente in modo compliant alle normative è opportuno affidarsi ad un system integrator specializzato nella realizzazione di sistemi di videosorveglianza all’avanguardia e adeguatamente formato dal punto di vista della privacy. Italsicurezza è certificata Privacy Officer e Consulente della Privacy nel settore Videosorveglianza e ISO 27001 per i Sistema di gestione della Sicurezza delle Informazioni consentendoci di realizzare soluzioni customizzate sulla base delle necessità del cliente e del contesto da proteggere, applicando rigorosamente i principi per la tutela della privacy e della sicurezza delle informazioni.
Fonte: Garante Privacy
