L’European Data Protection Board ( in seguito “EDPB”) in data 10 luglio 2019 ha adottato le linee guida sul trattamento di dati personali attraverso sistemi di videosorveglianza (Guidelines 3/2019 on the processing of personal data through video devices). Qui di seguito i principali punti toccati dal Board.
Innanzitutto, l’EDPB afferma in via principale come un titolare del trattamento sia legittimato ad utilizzare sistemi di videosorveglianza per la tutela del proprio patrimonio qualora vi sia un legittimo interesse che non prevalga sui diritti e le liberà fondamentali degli interessati videoripresi. Pertanto, ogni titolare del trattamento dovrà effettuare un bilanciamento di interessi e, qualora il sistema installato sia eccessivamente invasivo nei confronti dell’interessato, dovrà apportare le opportune modifiche volte alla minimizzazione del trattamento. Un esempio significativo portato all’attenzione dall’EDPB è quello relativo che un sistema di videosorveglianza debba esclusivamente riprendere i locali di pertinenza dell’edificio di cui il Titolare è proprietario affinchè possa configurarsi una legittimità di trattamento. Tale affermazione è sicuramente in linea con quanto già affermato dal nostro Garante Italiano nel 2010 in tema di videosorveglianza.
Le linee guida si soffermano anche sul potenziale trattamento di categorie di dati personali derivante da riprese video; in tal senso, è interessante notare come l’EDPB affermi come le riprese video, a titolo esemplificativo, di persone che indossino occhiali da vista o che siano su una sedia a rotelle non necessariamente debbano essere considerate un trattamento di dati particolari. Ciononostante, un impianto di videosorveglianza installato in una camera di ospedale è sicuramente da considerarsi idoneo ad effettuare un trattamento di categorie particolari di dati e pertanto sarà necessario individuare una base giuridica ex. art. 9 par. 2 del GDPR che ne legittimi il trattamento. Le linee guide raccomandano pertanto un utilizzo di sistemi di videosorveglianza volto a minimizzare il trattamento di dati da cui è possibile dedurre dati particolari degli interessati videoripresi.
L’EDPB coglie anche l’occasione sul fornire ulteriori indicazioni sul trattamento di dati biometrici strettamente correlati con i sistemi di videosorveglianza. In linea generale, l’autorità raccomanda che l’utilizzo del riconoscimento facciale per accedere ad un edificio sia legittimo solo ed esclusivamente ove sussistano le seguenti condizioni: l’interessato abbia prestato il suo consenso al trattamento e il Titolare offra agevolmente di accedere all’edificio attraverso modalità di autentificazione meno invasive, quali badge o chiavi. Il Board affronta altresì l’utilizzo di sistemi di videosorveglianza anche per finalità di marketing, quali ad esempio la possibilità di videoanalisi attraverso sensori termici che permettano di mappare i comportamenti dei clienti all’interno di un punto vendita; anche in tal caso, si ribadisce l’importanza di richiedere un consenso esplicito all’interessato.
Le linee guida in esame affrontano anche il tema dei diritti degli interessati, con particolare riguardo al diritto di accesso dell’interessato alle immagini riprese dal sistema in esame; in tale contesto si indica come il titolare del trattamento non sia tenuto a rilasciare copia dei video all’interessato qualora tali video possano ledere i diritti di altri interessati oggetto delle riprese.
In relazione ai tempi di conservazione delle immagini, le linee guida individuano un arco temporale riferibile nelle 72 ore quale tempo massimo di conservazione delle riprese. Tale indicazione ovviamente è bilanciata dalla previsione secondo cui il titolare possa conservare le immagini per un tempo superiore a quello poc’anzi indicato e che tale scelta debba essere corroborata da un interesse preminente del Titolare, in linea pertanto con il principio di accountability.
Dal punto di vista tecnico, il Board afferma come il sistema di videosorveglianza debba essere progettato nel pieno rispetto dei principi di privacy by design e default, limitando le funzionalità del sistema a sole quelle strettamente necessarie alle finalità perseguite e limitando altresì l’accesso alle riprese video a personale qualificato e nominato.
L’EDPB conclude ribadendo la necessità di effettuare una Data Protection Impact Assessment (DPIA) qualora il Titolare effettui un trattamento di dati personali attraverso un sistema di videosorveglianza.
Fonte: Guidelines 3/2019 on processing of personal data through videodevices (Version for public consultation) Adopted by European Data Protection Board on 10 July 2019