Videosorveglianza e GDPR: la sicurezza su schermo (non solo sulla carta)

Photo by Matthew Henry on Unsplash

L’EUROPA CHIEDE ANCHE AGLI INSTALLATORI

DI (IN)FORMARSI PER GARANTIRE IL RISPETTO DELLA PRIVACY

 

Partiamo da due dati:

  • nel 2017, il mercato dei prodotti per la videosorveglianza ha raggiunto, nel mondo, un valore di 15,87 miliardi di dollari (+5,9% rispetto al 2016);
  • la videosorveglianza rappresenta il 54,5% dell’intero business della sicurezza fisica.

(i dati sono presi dal Memoori Annual Report)

A questi numeri, che mostrano quanto il mercato della videosorveglianza sia in movimento, aggiungiamo una data, stavolta: il 25 maggio, quando sarà applicabile in tutti gli Stati membri dell’Unione europea il GDPR, di cui tutti parlano.

È un regolamento che nasce per garantire il corretto trattamento e la tutela dei dati personali dei cittadini di tutta l’Unione.

I settori interessati da questa norma saranno molti, molte le aziende e i professionisti che dovranno adeguarsi, se non lo hanno già fatto.

In questo post, però, vedremo come verrà applicato il GDPR al settore della videosorveglianza.

PERCHÉ IL NUOVO REGOLAMENTO INTERESSA ANCHE ELETTRIC-CO?

Perché interessa tutte le aziende che, nello svolgimento della loro attività, trattano dei dati personali.

CHE COS’È UN DATO PERSONALE?

Qualsiasi informazione su una persona fisica:

  • identificata
  • o identificabile

Anche indirettamente? Sì, con riferimento a qualunque altra informazione.

IN PRATICA?

Anche l’immagine che consente l’identificazione di una persona è un dato personale.

E trattare questo dato comporta dei rischi, come quello di danneggiare la privacy o la libertà della persona interessata.

CHE COSA SIGNIFICA “TRATTARE” DEI DATI PERSONALI?

I dati si possono:

  • raccogliere;
  • registrare;
  • organizzare;
  • conservare;
  • estrapolare;
  • consultare.

Quindi, se come imprese o professionisti svolgiamo anche una sola di queste attività, trattiamo dati e dobbiamo rispettare la nuova disciplina della privacy.

COSA CAMBIA CON IL REGOLAMENTO?

Per capire, cambia tutta la filosofia di fondo, perché viene introdotto il concetto di “accountability”.

Significa “responsabilizzazione”: il Codice della privacy (che è stato abrogato in marzo) non prevedeva questo principio, ma solo un sistema di responsabilità civili, penali e amministrative e l’obbligo di alcuni adempimenti formali (informativa, consenso, misure minime idonee…).

Non c’era un approccio di responsabilizzazione.

Quello che si cerca di fare adesso è passare da un semplice adempimento a una legge a una vera e sostanziale tutela dei dati.

  • Chi tratta dei dati ha l’onere di adempiere a dei provvedimenti, che rendano il GDPR verificabile e comprovabile nei fatti. Non saranno più obblighi esistenti solo sulla carta!
  • Le misure per proteggere la privacy dovranno essere “adeguate” ed “efficaci”.
  • Dovrà, cioè, dimostrare e documentare i motivi per cui ha deciso di mettere in atto una misura di protezione della privacy invece di un’altra.

Tendendo conto che:

  • La libertà delle persone resta inviolabile.
  • La vita è un bene primario assoluto, e qui non c’è privacy che tenga.

Dunque, sono due principi sacrosanti sui quali bisognerà muoversi cercando dei compromessi.

Un impianto di videosorveglianza è per, sua natura, invasiva nella riservatezza della privacy, perché con la tecnologia una persona è inserita in un certo luogo per un certo periodo di tempo, con le implicazioni che questa situazioni comporta” (Riccardo Abeti, Illuminotronica)

TUTTO QUESTO COSA SIGNIFICA?

Si cerca di eliminare procedure troppo lunghe, complesse e onerose e di creare, invece, delle linee guida a livello europeo: per esempio, il documento contenente la valutazione d’impatto sulla protezione dei dati dovrà essere redatto e tenuto in azienda, per mostrare i ragionamenti fatti e le misure adottate.

Altri cambiamenti importanti

  • Si deve pensare di tutelare la privacy già in fase di progettazione e pianificazione di una qualsiasi attività.
  • Si deve garantire che siano trattati solo i dati personali necessari.
  • Il titolare deve valutare l’impatto che il trattamento dei dati ha sulla protezione dei dati stessi, se ci siano dei rischi e cosa fare per limitarli; deve, comunque, garantire un livello di sicurezza adeguato al rischio.
  • Se avviene una violazione dei dati personali, deve comunicarlo al Garante per la protezione dei dati personali.
  • Il cittadino ha dei nuovi diritti: per esempio, il diritto all’oblio, che vedremo più sotto.
  • Nasce una nuova professione, quella del Responsabile della protezione dei dati (in inglese, Data Protection Officer) che interverrà nelle imprese e negli enti in caso di violazione del regolamento e nei casi previsti dal regolamento.
  • Il titolare ha maggiori responsabilità e, di conseguenza, se non rispetta il regolamento, riceverà sanzioni più severe rispetto al passato.

Tutto questo mi serviva come punto di partenza per spiegarvi cosa cambierà nel mio lavoro, in particolare quando installerò impianti di videosorveglianza.

Vediamo, adesso, come sempre, alcune domande che di solito ricevo dai clienti.

NELLE AZIENDE, QUALI REGOLE SI APPLICANO?

Resta in vigore lo Statuto dei lavoratori: quindi si possono utilizzare impianti di videosorveglianza nei luoghi di lavoro, ma nel rispetto della privacy e secondo quanto stabilito dallo Statuto, perciò solo per esigenze organizzative e produttive, per la sicurezza del lavoro e la tutela del patrimonio aziendale.

C’è una novità, però: non serve più fare la planimetria con il numero e l’angolo di ripresa delle telecamere; è sufficiente una relazione.

SERVONO I CARTELLI PER DIRE CHE C’È UN IMPIANTO DI VIDEOSORVEGLIANZA?

Sì, ed è riduttivo chiamarli cartelli, perché sono delle vere informative privacy.

Vanno messi al di fuori del raggio delle telecamere e devono essere compilati.

Nota bene Nel 2016 sono stati notificati circa 200 provvedimenti per queste scorrettezze. Sanzioni secondo il vecchio regolamento: dai 6 mila ai 36 mila euro.

ANCHE IL LIVE È SOGGETTO AL REGOLAMENTO DELLA PRIVACY O SOLO LE REGISTRAZIONI?

Anche il live in quanto consente l’identificazione di una persona.

E LE WEBCAM?

Con le webcam non si ha trattamento di dati personali se non si identifica la singola persona: se hanno una bassa risoluzione e sono messe a una certa distanza, per esempio.

QUANTO TEMPO POSSO CONSERVARE LE IMMAGINI?

Si possono conservare per qualche ora o al massimo 24 ore. Si possono estendere questi tempi fino a una settimana, se ci sono delle motivazioni particolari (ferie in mezzo, weekend…). Per estendere i tempi oltre la settimana, si deve la “valutazione impatto privacy” e inserire i motivi di questo allungo di tempi.

CHI PUÒ VEDERE LE IMMAGINI?

Le può vedere una persona incaricata, che deve essere nominata per iscritto con una lettera di nomina; quindi va da sé che il monitor non deve essere messo in una zona visibile a tutti (vedi casse dei supermercati…)

E PER I PRIVATI? COSA SERVE FARE?

Non ci sono limiti come tempi per le registrazioni di videosorveglianza.

Non servirebbero neanche i cartelli (che sono comunque raccomandati, visto che sono appunto delle informative, oltre che avere un effetto deterrente)

Le immagini però non devono essere diffuse: oltre a non diffonderle direttamente, è bene proteggere anche la connessione (nel caso di visione da remoto). L’ho già accennato in questo articolo, ma riprenderò l’argomento prossimamente, perché è molto attuale.

Poi  consiglio sempre di proteggere fisicamente il videoregistratore che contiene l’hard disk con le registrazioni (non lasciarlo, ad esempio, in vista), in modo che queste immagini non possano essere rubate e successivamente diffuse.

Non posso riprendere le zone pubbliche (interferenza privata in zone pubbliche) né le zone private dei vicini: lo si fa tramite la regolazione delle telecamere oppure (nelle telecamere più buone), inserendo in fase di programmazione delle maschere privacy, cioè oscurando le parti di quadrante interessate.

UNA TELECAMERA PUÒ ESSERE PUNTATA FUORI DAL CANCELLO (AD ESEMPIO SUL MARCIAPIEDE)?

Sì, purché venga ripresa la zona adiacente e limitrofa (il marciapiede, non tutta la strada).

In caso di telecamera all’ingresso di una azienda, vanno escluse dall’applicazione della norma le zone esterne, estranee alle pertinenze dell’azienda, dove cioè non si svolge l’attività lavorativa.

PER I LAVORATORI DOMESTICI?

Non si applicano i parametri dello statuto dei lavoratori, in quanto non c’è una attività imprenditoriale. È bene, però, informarli per iscritto della presenza delle telecamere.

NEI CONDOMINI?

Qui entrano in ballo anche le norme contenute nella riforma del condominio: l’amministratore deve avere il consenso dei condomini (secondo i parametri previsti). Quindi sempre meglio sentire l’amministratore.

SI POSSONO INSTALLARE TELECAMERE FINTE?

Una telecamera finta, di fatto, non è in grado di riprendere suoni o immagini, quindi non tratta dati personali.

Ma: non si può installare, perché comporta una limitazione della libertà, facendo nascere in chi si trova nell’area un comportamento di “affidamento colpevole” (ovvero, “mi comporto come se la telecamera ci fosse davvero”). Dunque, in pratica, chi ha installato la telecamera è responsabile di una modifica nel comportamento di chi passa di lì.

Nelle prossime “puntate”!

Non finisce qui: in altri post, vedremo:

  1. quali responsabilità ha un installatore di impianti di videosorveglianza;
  2. quando un impianto può definirsi “a regola d’arte” (secondo la Dichiarazione di conformità).