Strutture ricettive tra videosorveglianza e GDPR

17 Maggio 2019 0 Di Luana Fierro
Strutture ricettive tra videosorveglianza e GDPR

Gli avanzamenti tecnologici degli ultimi anni hanno favorito un rapido sviluppo della videosorveglianza, la quale dispone oggi di un’ampia varietà di sistemi e dispositivi che consentono di registrare, archiviare e trattare i dati raccolti – ossia suoni ed immagini – all’interno di un determinato spazio pubblico o privato.

Nella maggior parte dei casi, tramite l’utilizzo del Web si riescono a monitorare spazi fisici con strumenti di accesso remoto, contestualmente con diversi device (personal computer, notebook, tablet e smartphone), ed utilizzando semplici APP scaricate dal web. Ci sono poi soluzioni cloud che consentono di gestire informazioni video senza dover disporre di server dedicati installati in luoghi fisici ben determinati.

È chiaro che c’è un’estrema semplicità nell’accesso ai dati, a fronte della quale sia in fase di progettazione che di utilizzo dei sistemi di videosorveglianza bisogna prendere in considerazione problemi di sicurezza informatica e di sicurezza dei dati. Questo perché sistemi mal progettati non solo non sono conformi alle disposizioni normative del settore, ma generano un falso senso di sicurezza mentre invadono la nostra privacy e violano diritti fondamentali. La ratio delle norme va individuata proprio nell’intento di garantire la tutela dei dati personali e quindi dei diritti fondamentali, per la quale il legislatore ha posto innumerevoli limiti alle attività di videosorveglianza, e ne ha consentito l’esercizio solamente laddove conforme alle disposizioni normative atte a regolamentare il settore.

Proviamo ora a ricostruire un quadro sintetico delle norme applicate alla videosorveglianza, nel quale confluiscono sia norme nazionali che comunitarie.

Dal punto di vista normativo, la videosorveglianza, sia a uso privato che pubblico, deve essere predisposta nel rispetto della normativa a tutela della privacy e delle libertà fondamentali delle persone, quindi deve essere conforme al Codice privacy aggiornato tramite il D. Lgs. 101/2018. L’uso illecito di sistemi di videosorveglianza espone all’impossibilità di utilizzare le immagini raccolte, a provvedimenti di blocco e divieto, ma anche a sanzioni amministrative o penali.

A livello comunitario, il primo atto applicabile al settore è stato la Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Il legislatore italiano ha dapprima recepito la Direttiva tramite la Legge n. 675/1996, e successivamente con il D. Lgs. 196/2003 (Codice di Protezione dei dati personali), tramite il quale ha organizzato in dettaglio tutta la materia. A tale documento si sono poi affiancati i Provvedimenti del Garante per la Protezione dei Dati Personali, che hanno fornito importanti linee di indirizzo in materia.

Infine, nel 2016 l’Unione Europea ha promulgato il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (27 aprile 2016), detto anche GDPR – direttamente applicabile all’interno di tutti gli Stati Membri – per ampliare i principi applicabili in materia di trattamento dati personali e garantire la tutela di nuovi diritti.

telecamera-hotel-sorveglianza cloud

Tutti i principi affermati dal GDPR si applicano anche alla videosorveglianza, che non può fare a meno di trattare dati personali. La videosorveglianza può essere attivata se utilizza sistemi progettati ed utilizzati in linea con le linee guida del settore, atte a bilanciare le esigenze sottese alla videosorveglianza con le esigenze di tutela dei diritti fondamentali degli individui. Questi ultimi devono essere tutelati in ogni fase della videosorveglianza, quindi sia in fase di raccolta dei dati che in fase di trattamento degli stessi.

I filmati raccolti con la videosorveglianza possono contenere immagini di individui o suoni vocali, quindi informazioni che potrebbero essere utilizzate per identificare dei soggetti direttamente o indirettamente (in combinazione con altre informazioni), ossia dati personali (personal information), informazioni riconducibili in modo diretto o indiretto a persone ben precise. Pertanto, è fondamentale che gli interessati siano informati quando stanno per accedere in una zona sottoposta a videosorveglianza.

Si consideri che i sistemi di ripresa consentono di procedere alla localizzazione delle persone fisiche, nello specifico alla localizzazione passiva, che diversamente da quella attiva non è volontaria. La prima si basa essenzialmente su un’attivazione volontaria di un’app o di un’impostazione che consente la geolocalizzazione, mentre la seconda si attiva per lo svolgimento di azioni in determinati luoghi. Proprio per questo bisogna prestare molta attenzione alla seconda, al trattamento dei relativi dati, ed adottare tutte le precauzioni e le misure di sicurezza necessarie.

Tra le prime disposizioni del GDPR a carattere generale, che si applicano alla videosorveglianza, c’è l’articolo 5. Tale articolo dichiara che la raccolta dei dati personali può avvenire solo per finalità determinate, esplicite e legittime; mentre il trattamento è consentito solo se utilizza modalità che non sono incompatibili con tali finalità, e solo se può essere classificato come lecito, corretto e trasparente.

Inoltre, a norma dell’art. 5 par. 1, lett. b, è possibile autorizzare un ulteriore trattamento dei dati personali, per fini di archiviazione per pubblico interesse, per fini di ricerca scientifica o storica, o fini statistici, così come prevede l’articolo 89, paragrafo 1. Quest’ultimo riconosce che il trattamento a fini di “archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è assoggettato a garanzie adeguate per i diritti e le libertà dell’interessato”, le quali non solo devono assicurare che ci siano misure tecniche e organizzative idonee al perseguimento dell’obiettivo, ma anche il rispetto del principio della minimizzazione dei dati.

Quest’ultimo principio chiede che i dati trattati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Quindi le videocamere possono e devono essere utilizzate in modo intelligente, e bisogna ridurre al minimo la raccolta di riprese irrilevanti, per ridurre le intrusioni nella privacy e garantire un uso più mirato – conseguenzialmente più efficiente – della videosorveglianza.

Dunque, utilizzando un approccio pragmatico basato sui principi di selettività e proporzionalità, i sistemi di videosorveglianza possono soddisfare contestualmente le esigenze di sicurezza e di tutela della privacy. Le videocamere devono essere utilizzate in modo intelligente ed essere utilizzate solo per gestire problemi di sicurezza specificamente identificati, riducendo così al minimo la raccolta di filmati irrilevanti. Questo non solo riduce al minimo le intrusioni nella privacy, ma garantisce anche un uso più mirato e, in definitiva, più efficiente, della videosorveglianza.

privacy in hotel documenti video

Sul trattamento dei dati l’art. 5 prescrive, infine, che i dati debbano essere trattati in maniera tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione – mediante misure tecniche e organizzative adeguate – da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dai danni accidentali.

Segue l’art. 6, che ci consente di qualificare un trattamento come lecito. Nello specifico, l’art. 6 paragrafo 1 prevede che per la liceità del trattamento debba ricorrere almeno una tra le condizioni che lo stesso esplicita. Quindi il trattamento è lecito se “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; se i dati servono per procedere con l’esecuzione di un contratto di cui l’interessato è parte o per l’esecuzione di misure precontrattuali richieste dello stesso; se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (art. 6, lett. a, b, c). Ma il trattamento è lecito anche se è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri ricadenti in capo al titolare del trattamento; infine se è necessario per il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, a condizione però che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, soprattutto laddove l’interessato è un minore.

Ci sono poi le problematiche connesse alla conservazione dei dati, a fronte delle quali è necessaria o attivare la cancellazione automatica e tempestiva del filmato. L’attuale normativa, infatti, tramite l’art. 17 del GDPR riconosce all’interessato, i cui dati sono trattati a livello cartaceo o digitale, il diritto di chiedere che siano cancellati e non più sottoposti a trattamento quei dati personali che non sono più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati. Inoltre, essa prevede che il diritto alla cancellazione possa essere esercitato in caso di revoca del consenso; di opposizione al trattamento dei propri dati personali; laddove il trattamento dei dati personali risulti in contrasto con il presente regolamento; nel caso in cui i dati raccolti non siano più necessari per le finalità per le quali sono stati ottenuti; quando viene revocato il consenso e quando i dati non possono essere trattati dal titolare su una base giuridica diversa.

Nel rispetto poi del diritto di informazione devono esserci apposite informative idonee ad informare della presenza di telecamere installate, che devono informare le persone interessate dell’installazione di sistemi di videosorveglianza, dell’esistenza di sistemi di monitoraggio, dello scopo delle riprese e del periodo di tempo per il quale il filmato verrà conservato, oltre che da chi. Inoltre, per il principio di minimizzazione dei dati i titolari dei dati possono trattare le immagini solo nei termini strettamente funzionali al perseguimento dei propri compiti istituzionali ed alle finalità chiaramente indicate nell´informativa, sia che siano soggetti pubblici che soggetti privati.

Infine, nel rispetto delle nuove disposizioni normative vigenti in materia di trattamento dati personali, è fondamentale che chi utilizza un sistema di videosorveglianza si preoccupi di utilizzare un sistema che progettato nel rispetto della privacy (privacy by design), sia di garantire l’applicazione di procedure che garantiscano la protezione dei dati, quindi basate su adeguate salvaguardie delineate nella politica di videosorveglianza (privacy by default).

A questo punto possiamo dire di aver inquadrato a livello normativo il settore della videosorveglianza, soprattutto alla luce delle novità introdotte dal GDPR.

La normativa nazionale però non è ancora chiara nè completa, e neppure in linea con il GDPR. Manca un atto normativo organico idoneo a regolamentare la videosorveglianza in modo unitario e coerente, che possa offrire un quadro completo della stessa, nel rispetto delle disposizioni comunitarie; e che sia comunque idoneo ad individuare a livello normativo un punto di equilibrio tra le esigenze di sicurezza, prevenzione e repressione dei reati, ed i diritti alla riservatezza ed alla libertà delle persone.

Non possiamo che restare in attesa dell’emanazione di eventuali ed ulteriori atti normativi specifici per il settore, e di conoscere i futuri orientamenti del Garante in materia.

LUANA FIERRO