VIDEOSORVEGLIANZA URBANA - Più Sicurezza

In questo articolo

DPIA SULLA VIDEOSORVEGLIANZA URBANA: COME ESEGUIRE LA VALUTAZIONE D’IMPATTO

Per prevenire e contrastare fenomeni di criminalità diffusa e predatoria, i Comuni gestiscono un sistema di videosorveglianza per la sicurezza urbana. Questo sistema deve essere progettato e ben disegnato per rispettare i principi di protezione dati ed i requisiti previsti dalla normativa Eurounitaria (GDPR e LED). Il progetto include la valutazione d’impatto sulla protezione dei dati, ovvero la DPIA sulla Videosorveglianza Urbana di cui ci occupiamo in questo articolo.

DPIA è l’acronimo di Data Protection Impact Assessment e rappresenta uno step essenziale (obbligatorio) per l’installazione di un impianto di videosorveglianza per la sicurezza urbana.

Come deve essere eseguita la valutazione d’impatto per essere conforme al GDPR?

L’art. 35 del GDPR stabilisce che, prima di implementare un trattamento dati personali legato all’uso di nuove tecnologie, il titolare del trattamento deve effettuare una DPIA, una valutazione d’impatto.

Questo perché l’utilizzo di nuove tecnologie possono comportare un elevato rischio per i diritti e le libertà degli individui. L’obbligo vale in particolare per il titolare del trattamento che intende realizzare la videosorveglianza sistematica su larga scala di aree accessibili al pubblico.

La valutazione d’impatto va eseguita preferibilmente prima di predisporre il capitolato di appalto per acquistare l’impianto.

LINEE GUIDA WP 248 REV. 01 DEI GARANTI EUROPEI

Si possono applicare diverse metodologie per effettuare una DPIA seppure con criteri comuni.

Il titolare del trattamento ha la possibilità di scegliere la metodologia che preferisce, l’importante è che sia conforme alle indicazioni ed ai criteri stabiliti nell’allegato 2 delle Linee Guida dei Garanti Europei WP 248 rev.01.

L’allegato indica 4 fasi per eseguire la DPIA:

Descrizione sistematica del trattamento;
Valutazione della necessità e proporzionalità del trattamento dati in rapporto agli scopi;
Gestione dei rischi privacy (diritti e libertà degli interessati);
Coinvolgimento del DPO (Responsabile della protezione dei dati) e, se necessario, degli interessati.

DPIA SULLA VIDEOSORVEGLIANZA URBANA: PRIMA PARTE, DESCRIZIONE DEL TRATTAMENTO DATI

Nella prima parte della DPIA, è necessario fare una descrizione sistematica del trattamento dei dati personali. Come? La descrizione deve essere strutturata tenendo conto dei seguenti dettagli:

Natura, contesto, ambito di applicazione e finalità del trattamento;
Destinatari dei dati personali;
Tipologie di dati trattati;
Durata di conservazione dei dati raccolti e trattati;
Descrizione funzionale del trattamento (come si sviluppa);
Strumenti utilizzati per il trattamento dei dati personali (software, hardware, persone, reti, strumenti cartacei o di trasmissione cartacea);
Codice di condotta approvato, se esiste.

DPIA SULLA VIDEOSORVEGLIANZA URBANA: SECONDA PARTE, DOMANDE CHIAVE

Nella seconda parte della DPIA, il titolare del trattamento dati dovrà rispondere a 5 key questions (domande chiave) per valutare la necessità e proporzionalità del trattamento stesso in rapporto alle finalità.

Vediamo in cosa consistono queste 5 domande chiave.

1° domanda chiave

Gli scopi del trattamento sono espliciti, determinati e legittimi? Questa è la prima key question a cui rispondere.

In Italia, l’attività di videosorveglianza per la tutela della sicurezza urbana è sicuramente legittima. E’ prevista da due norme: l’art. 6, co. 7 del D. L. n. 11/2009 convertito in Legge n. 38/2009 e l’art. 4 del D.L.14/2017 convertito in Legge 48/2017.

Il primo stabilisce che i Comuni possono usufruire di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per tutelare la sicurezza urbana. Il secondo definisce il concetto di sicurezza urbana: è il bene pubblico legato alla vivibilità e decoro delle città da tutelare anche con la prevenzione della criminalità (in particolare, quella predatoria).

2° domanda chiave

La seconda domanda chiave a cui rispondere si riferisce al tipo di basi giuridiche che rendono legittimo il trattamento. A rendere lecito il trattamento dei dati personali è l’art. 6 del GDPR lettera e) relativo ad un compito legato all’esercizio di pubblici poteri o di interesse pubblico, indicato da una norma nazionale o Eurounitaria.

Come abbiamo visto, la norma nazionale che autorizza i Comuni ad installare sistemi di videosorveglianza in luoghi pubblici e aperti al pubblico è l’art. 6 co. 7, del D. L. n. 11/2009 convertito in Legge n. 38/2009.

3° domanda chiave

I dati raccolti nel trattamento sono pertinenti, adeguati, circoscritti alle necessità legate agli scopi per cui vengono trattati? Questa è la terza domanda chiave a cui rispondere.

I dati devono essere minimizzati: il principio di minimizzazione prevede la necessità dell’utilizzo del trattamento dei dati personali in modo massivo attraverso il sistema di videosorveglianza. Il Provvedimento del Garante dell’8 aprile 2010 stabilisce che l’uso di telecamere di sorveglianza è legittimo se altre misure risultano inattuabili o inefficaci. Allo stesso modo, il Considerando 26 della LED (Law Enforcement Directive), ovvero la Direttiva 2016/680, stabilisce che il trattamento dei dati personali dovrebbe essere possibile solo se gli scopi non si possono conseguire con altri mezzi come sistemi di allarme o personale di Polizia.

4° domanda chiave

La quarta key question riguarda il periodo di conservazione dei dati. A riguardo l’art. 6, co. 8 del DL 11/2009 è molto chiaro. Immagini, informazioni e dati raccolti tramite sistemi di videosorveglianza possono essere conservati fino ai 7 giorni seguenti alla rilevazione, ad eccezione di particolati esigenze che richiedono un periodo maggiore su richiesta della polizia o autorità giudiziaria in caso di attività investigativa.

5° domanda chiave

Gli interessati devono essere consapevoli, informati circa i luoghi videosorvegliati. Lo stabilisce il punto 110 delle Linee Guida EDPB 3/2019. La quinta domanda chiave indaga sulla correttezza e trasparenza del trattamento.

In altre parole, riguardo alla videosorveglianza urbana, i cittadini devono essere informati sull’ubicazione delle telecamere e su altri dettagli: titolare, finalità e durata del trattamento.

E’ possibile seguire un approccio scalare, scegliendo una combinazione di metodi per garantire la trasparenza.

Sulla base delle indicazioni del Garante (GPDP n. 214 del 9 giugno 2022), il titolare del trattamento deve fornire:

l’informativa di 1° livello con l’apposizione di segnaletica di avvertimento vicino l’area videosorvegliata;
informazioni di 2° livello che riportino tutti gli elementi obbligatori ai sensi dell’articolo 13 del GDPR. Tali elementi devono essere facilmente accessibili per gli interessati.

GESTIONE DEI RISCHI PER LA PRIVACY

La fase più delicata e complessa della DPIA è la valutazione del rischio per i diritti e le libertà degli interessati. Bisogna determinare l’origine, la natura, la peculiarità e la gravità di ciascun rischio (perdita di riservatezza, di integrità e di disponibilità).

Il titolare del trattamento sarà tenuto ad individuare le fonti di rischio valutando il potenziale impatto per i diritti e le libertà dei cittadini nell’eventualità di un accesso illegittimo, della scomparsa dei dati, di una qualsiasi modifica indesiderata. Dovrà definire eventuali minacce che potrebbero comportare questi pericoli e valutare il rischio considerando sia l’impatto sia la possibilità che si verifichino minacce nonché prevedere misure operative per gestire i rischi.

La valutazione deve essere oggettiva con evidenze misurabili.

FASE CONCLUSIVA

Una volta effettuata la valutazione d’impatto, il titolare del trattamento dovrà consultarsi con il proprio DPO raccogliendo eventualmente anche i pareri degli interessati e dei relativi rappresentanti.

La DPIA non rappresenta un’attività una tantum, bensì un processo continuo che richiede aggiornamenti, specie se il trattamento è soggetto a continue variazioni.