Il 23 giugno 2020 il Garante per la Protezione dei Dati Personali ha pubblicato la relazione annuale sull’operato dell’anno 2019.
Il report elenca tutti i temi, le aree ed i settori in cui il Garante è intervenuto, allo scopo di tutelare il corretto utilizzo dei dati personali. Dalla pubblica amministrazione ai privati, dalla cybersecurity al telemarketing, dai diritti dei lavoratori alla videosorveglianza: ad oggi, sono molte le funzioni che implicano il trattamento di dati personali e che dovranno perciò essere raccolti, conservati e utilizzati secondo specifiche modalità e precisi fini.
Il settore safety e security, ed in particolare i System Integrator, devono confrontarsi quotidianamente con la necessità di mediare gli obiettivi e le necessità degli utenti che intendono dotarsi di sistemi di sicurezza con quelli che sono i diritti e le tutele relative all’utilizzo dei dati e la sicurezza delle informazioni. In modo particolare, la videosorveglianza è uno dei temi che ha visto l’intervento del Garante in più occasioni e di cui si parla più volte nel report annuale.
Riprese nelle sale destinate al pubblico spettacolo
Di particolare rilevanza è il decreto-legge 28 giugno 2019, n.59, convertito con modificazioni dalla legge 8 agosto 2019, n.81 che, in seguito ad approvazione e specifiche modalità definite dal garante, consente l’installazione di sistemi di videosorveglianza all’interno delle sale destinate a pubblico spettacolo con il fine di individuare chi effettua abusivamente registrazioni audio-video. I dati acquisiti per effetto dell’autorizzazione del Garante dovranno rispondere a determinati requisiti: questi dovranno infatti essere criptati e conservati per un massimo di 30 giorni, instaurando misure di protezione atte a garantirne la sicurezza ed evitare accessi abusivi. Infatti, l’accesso a tali registrazioni è consentito soltanto su iniziativa della polizia giudiziaria o di pubblico ministero.
Videosorveglianza e le misure di contrasto all’assenteismo
Il Garante è inoltre intervenuto più volte in merito alle misure di contrasto all’assenteismo nella pubblica amministrazione. La legge 19 giugno 2019, n.56 ha proposto l’introduzione generalizzata nella pubblica amministrazione di sistemi di rilevazione delle presenze basati su sistemi di verifica biometrica dell’identità contestualmente alla videosorveglianza (il settore scolastico ed educativo è escluso da tale proposta, riservando l’accertamento ai fini della verifica d’accesso ai soli dirigenti degli istituti). La legge non ha però determinato i termini e le misure pratiche per l’attuazione della proposta, demandandone la definizione ad un decreto del Presidente del Consiglio e ad un decreto ministeriale, previo parere del Garante. Un primo parere era stato fornito in riferimento al disegno di legge nel documento 11 ottobre 2018, n.464 in cui veniva dichiarata l’invasività e l’eccessività di tali misure se applicate simultaneamente, richiedendone la limitazione a determinati contesti e circostanze in cui altri sistemi si rivelassero inadeguati, aggiungendo una serie di correttivi. Secondo il Garante, infatti, la legge avrebbe dovuto sottostare ai criteri di liceità, proporzionalità e minimizzazione dei dati. Nonostante le criticità evidenziate, il governo non ha pienamente recepito i suggerimenti del Garante, a cui ha sottoposto uno schema attuativo al quale è seguito un secondo parere del Garante con il provvedimento 19 settembre 2019, n.167 (doc. web n.9147290; cfr. parr. 3.1.4 e 13.12) che ribadisce la sproporzionalità della proposta in contrasto con l’esigenza di stretta necessità del trattamento rispetto al fine perseguito, tanto più con il ricorso ai dati biometrici. Il Garante durante un’audizione in Camera e Senato ha confermato le problematiche riscontrare ed invitato ad utilizzare forme di verifica meno limitative del diritto alla protezione dei dati.
Tutela dei minori e dei soggetti più deboli
Il decreto-legge 18 aprile 2019, n.32 convertito dalla legge 14 giugno 2019, n.55 prevede all’art. 5-septis lo stanziamento di un fondo di 5 milioni di euro per l’installazione di sistemi di videosorveglianza a circuito chiuso all’interno di case di riposo, strutture sociosanitarie, socioassistenziali per anziani o persone con disabilità, nonché scuole dell’infanzia a tutela dei minori. Le misure erano state stanziate al fine di prevenire e combattere possibili maltrattamenti o abusi, che hanno visto il Garante operare durante il corso dei lavori parlamentari con un’audizione del 2 Ottobre 2018 e del 30 Gennaio 2019.
Il coinvolgimento del Garante all’interno delle questioni legislative ed il relativo monitoraggio degli atti del sindacato ispettivo sono indice della sempre maggiore sensibilità sui temi legati alla privacy: un’attenzione generale, che coinvolge non solo gli organi istituzionali dello stato, ma che progressivamente si è estesa ad ogni tipo di organizzazione sino ai singoli cittadini.
Videosorveglianza in ambito privato e condominiale
Le attività del Garante, infatti, si sono prestate anche alla tutela dei diritti dei privati. La questione della videosorveglianza in ambito privato viene spesso posta sotto l’attenzione del Garante a causa dei numerosi reclami, soprattutto da parte di soggetti privati in ambito condominiale. Il Garante ha chiarito le circostanze, riprendendo i principi riportati nel provvedimento generale dell’ 8 Aprile 2010 e ricordando che il ricorso alla videosorveglianza da parte di persone fisiche per scopi privati non è soggetto all’applicazione delle normative in materia di protezione dei dati, a patto che l’angolo di ripresa sia limitato agli spazi di esclusiva pertinenza e non coinvolga aree comuni. La videosorveglianza può essere adottata anche dalle stesse compagini condominiali e che, al contrario di quanto accade per i singoli privati condomini, dovrà essere limitata alle sole aree comuni senza inquadrare zone non rilevanti e previa approvazione dell’assemblea.
Nuove linee guida per i sistemi di videosorveglianza a tutela della privacy
Il rapido progresso e la diffusione di tecnologie, software e piattaforme sempre nuove determinano una progressiva convergenza della sicurezza fisica con quella delle informazioni e la cybersecurity, in un contesto nel quale le attività del Garante risultano essenziali ai fini della tutela dei diritti dei cittadini. Proprio per questo, Il Comitato Europeo per la protezione dei dati (che dal 2018 raggruppa le autorità nazionali di controllo dei singoli Stati membri e dei tre Paesi che sono parti dell’Accordo sullo Spazio economico europeo (See) e il Garante europeo per la protezione dei dati (Gepd), con l’intervento, senza diritto di voto, della Commissione europea) lavora costantemente per verificare e favorire il processo di adeguamento al GDPR, anche in base alle nuove necessità e ai nuovi mezzi di trasmissione delle informazioni.
Lo stesso comitato ha adottato il 10 luglio 2019 delle nuove linee guida sulla videosorveglianza (linee guida 3/2019 valide sia per i dispositivi tradizionali che per quelli intelligenti) in cui si impone l’applicazione degli stessi principi riportati nell’art. 5 del GDPR:
- Liceità,
- Correttezza e Trasparenza,
- Limitazione delle Finalità,
- Minimizzazione dei dati.
Il Comitato suggerisce inoltre l’adozione di sistemi per la cancellazione automatica delle registrazioni entro i termini stabiliti anche attraverso la tecnica di sovrascrittura; l’accesso alle immagini deve essere regolamentato ed avvenire solo in caso di necessità definite. Nel caso in cui vi sia una sorveglianza sistematica su larga scala di una zona accessibile al pubblico, sarà necessario redigere una valutazione di impatto sulla protezione dei dati, designando un Responsabile per la Protezione dei Dati (RPD) nel caso in cui il monitoraggio degli interessati abbia le caratteristiche di regolarità e sistematicità su larga scala.
Tutelare efficacemente i diritti e le libertà degli interessati e assicurare l’integrità, la disponibilità e la riservatezza dei dati, sono elementi imprescindibili per la realizzazione di un sistema di sicurezza efficiente. Proprio per questo, Italsicurezza ha iniziato a seguire le indicazioni del gdpr fin dalla sua emissione dal 2016, applicandolo puntualmente dall’entrata in vigore, ha introdotto la figura del privacy officer in azienda (per la videosorveglianza) ed ha perseguito la sicurezza delle informazioni raggiungendo la certificazione ISO 27001.
