GIE - Il Giornale dell'Installatore | Page 59

SICUREZZA 59
prolungare i tempi di conservazione delle immagini rispetto a quanto inizialmente definito dal titolare del trattamento . Si noti che anche con riferimento alla conservazione , il trattamento dei dati personali mediante sistemi di videosorveglianza deve essere valutato secondo parametri oggettivi , per cui una conservazione ulteriore rispetto a quanto previsto anche se dovuta ad errore ( e . g . nel settaggio della telecamera ) potrebbe comunque comportare un trattamento illecito di dati , con una conseguente esposizione del titolare sotto il profilo sanzionatorio .
La comunicazione a terzi delle riprese
Le riprese operate dall ’ impianto di
dovrà avvenire nel contesto di un preciso rapporto giuridico ( e . g . un soggetto nominato responsabile del trattamento ex art . 28 GDPR , una pubblica autorità nel rispetto del contesto normativo applicabile ).
La videosorveglianza “ domestica ”
Come noto , l ’ art . 2 GDPR prevede il medesimo Regolamento non si applichi ai trattamenti di dati personali effettuati da una persona fisica per l ’ esercizio di attività a carattere esclusivamente personale o domestico . E tra questi può rientrare anche l ’ installazione di un sistema di videosorveglianza finalizzato alla sicurezza della propria abitazione . Ovviamente l ’ esclusione dall ’ applivideoriprese
consentano o meno la registrazione delle immagini . Nel caso in cui fosse inevitabile per la conformazione dei luoghi riprendere parzialmente anche aree di terzi , sarà quindi opportuno attivare misure tecniche che consentano l ’ oscuramento delle porzioni non di esclusiva pertinenza del titolare . E ’ inoltre importante rammentare che laddove negli ambienti domestici avessero accesso collaboratori o dipendenti del titolare ( e . g . personale di servizio ) questi dovranno comunque essere informati dell ’ e- sistenza dell ’ impianto di videosorveglianza e delle finalità del relativo trattamento . Infine , è evidente che tali riprese non dovranno essere finalizzate alla
il principio in base al quale il titolare mette in atto misure tecniche e organizzative adeguate per la protezione dei dati sia al momento di determinare i mezzi del trattamento sia all ’ atto del trattamento stesso , e che siano anche idonee a garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento . Questo implica che dovranno essere adeguatamente protetti tutti i componenti del sistema in ogni fase della sua operatività , includendo quindi i trattamenti di dati in fase di raccolta ( ripresa ), transito ( trasmissione ), utilizzo ed archiviazione . Risulta di notevole rilevanza osservare che accanto ai presidi tecnici dovranno poi essere
APPROFONDIMENTI
Per un approfondimento specifico in materia di videosorveglianza e privacy , si fa qui riferimento alle Linee Guida ( Guidelines 3 / 2019 on processing of personal data through video devices ) approvate il 29 gennaio 2020 al Comitato Europeo per la Protezione dei Dati ( European Data Protecion Board – EDPB ), nonché alla documentazione presente sulla specifica sezione del sito dell ’ Autorità Garante per la Protezione dei Dati Personali - https :// www . garanteprivacy . it / temi / videosorveglianza .
videosorveglianza di regola sono oggetto di trattamento da parte del solo titolare . Tuttavia non è escluso che vi possano essere casi in cui un terzo ( persona fisica , giuridica , autorità pubblica …) estraneo all ’ organizzazione del titolare possa accedere ai dati personali oggetto del trattamento . In queste ipotesi occorre distinguere tra la “ semplice ” comunicazione ( che si concretizzarsi nella trasmissione a soggetti specifici ) e la diffusione ( che si rivolge invece ad un numero indefinito di soggetti ). Appare palese che per essere legittima tale attività esiga la sussistenza di una valida base giuridica , la cui valutazione dovrà tenere conto anche della corretta valutazione del contesto in cui avviene ed una verifica di compatibilità rispetto alle finalità per cui il dato era stato raccolto . Anche il ruolo del terzo destinatario dovrà essere oggetto di attenta indagine , posto che l ’ accesso alle immagini
cazione delle disposizioni del GDPR deve essere valutata con grande attenzione e caso per caso , e soprattutto questo non significa che la posizione giuridica del soggetto ripreso rimanga priva di tutela . Innanzitutto , occorre predisporre il sistema in modo tale che l ’ utilizzo di questo non possa venire a configurare ipotesi di interferenze illecite nella vita privata ( reato previsto dall ’ art . 615-bis c . p .), e pertanto si dovrà avere cura che l ’ angolo visuale delle riprese sia comunque limitato ai soli spazi di propria esclusiva pertinenza e sia esclusa ogni forma di ripresa relativa ad aree comuni ( e . g . pianerottoli , scale , parti comuni delle autorimesse , cortili …) ovvero a zone di pertinenza di persone terze , come pure non si potranno riprendere aree pubbliche o di pubblico passaggio . Si noti che con riferimento a tali ipotesi il Garante ha ritenuto irrilevante il fatto che le
comunicazione ovvero alla diffusione : in caso contrario , l ’ esimente dell ’ utilizzo strettamente privato e personale delle immagini oggetto di trattamento potrebbe venire a cadere , con la conseguente riconducibilità della situazione specifica alla generale disciplina normativa in materia di trattamento dei dati personali .
Attenzione alla sicurezza !
Dulcis in fundo , il titolare del trattamento che decide di installare un sistema di videosorveglianza , dovrà avere particolare cura dei presìdi di sicurezza per evitare un utilizzo scorretto od un accesso illegittimo alle relative immagini . I criteri fondamentali in merito possono essere rinvenuti nelle disposizioni di cui agli artt . 25 e 32 GDPR . Il primo - dedicato alla data protection by default e by design - cristallizza
attuati quelli di natura organizzativa , identificando correttamente le responsabilità , i soggetti autorizzati al trattamento ed all ’ accesso alle registrazioni ( incluso il complesso tema della gestione delle credenziali ), le finalità della videosorveglianza e gli utilizzi consentiti dei dati raccolti , modalità e durata dell ’ archiviazione , avendo poi un particolare occhio di riguardo – in considerazione della peculiare tipologia del trattamento - alla gestione degli incidenti ed alle procedure di recovery . Tali tematiche impongono riflessioni anche sulle scelte in termini di acquisto dell ’ impianto , laddove i requisiti di sicurezza garantiti dal fornitore acquistano rilevanza sotto il profilo dell ’ accountability , come ad esempio l ’ adozione di soluzioni che consentano la crittazione dei dati piuttosto che l ’ utilizzo di hardware e software idonei alla protezione da attacchi esterni .
GIE 8 novembre-dicembre-2023