GDPR e videosorveglianza; cosa cambia?
Come tutti sappiamo, un sistema di videosorveglianza (anche quelli che non registrano immagini) determina un sistema di trattamento di dati personali (tra l’altro, particolarmente invasivo della privacy e potenzialmente lesivo dei diritti personali).
Dopo il 25 maggio, il Regolamento UE 679/2016 ha effetto anche sui sistemi di videosorveglianza, che debbono esservi “compliant”.
Quali sono i cambiamenti più rilevanti?
Intanto il GDPR concede diversi nuovi diritti ai soggetti interessati; come consequenza diretta, occorrerà rivedere le informative estese (che non sono i cartelli esposti al limite delle aree sorvegliate).
Il Regolamento introduce anche il concetto di “accountability” (responsabilizzazione); ciò assegna al titolare del trattamento ogni decisione e responsabilità derivanti, in merito alla implementazione di un impianto di videosorveglianza.
Si riporta l’estratto dal provvedimento 8235119 – 22 febbraio 2018 del Garante per la Protezione dei Dati Personali:
Si tenga comunque presente che, a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento in ossequio al principio di responsabilizzazione di cui all´art. 24 dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del citato Regolamento ovvero attivare la consultazione preventiva ai sensi dell´art. 36 del Regolamento medesimo.
Quindi taluni “particolari” sistemi di videosorveglianza dovranno essere soggetti a DPIA preventiva, al posto della precedentemente prevista (e comoda) verifica preliminare a cura della Autorità Garante.
Inoltre, tutti i sistemi di videosorveglianza sono soggetti ai nuovi principi di Privacy by Design & Privacy by Default.
Dobbiamo anche da valutare se predisporre (e manutenere) il famigerato Registro dei Trattamenti; a mio avviso, qualora il sistema realizzi un trattamento di dati personali che sottoponga ad un rischio elevato la privacy degli interessati, il Registro è necessario.
Da ultimo, occorre valutare se necessiti la nomina del D.P.O. (sistemi complessi e distribuiti, trasferimento di flussi video, riconoscimento volti, analisi comportamentale, dati biometrici e/o geolocalizzazione, ecc…) e tenere bene a mente che il Data-Breach potrà accadere anche sui sistemi di videosorveglianza (l’effetto potrebbe essere devastante).
Aggiornamento: l’Ente Italiano di Normazione ha pubblicato recentemente le Prassi di Riferimento (UNI/PdR 43.1:2018); al punto 22.6 Videosorveglianza Aziendale viene specificato che:
... prima di progettare il sistema di videosorveglianza, o sue modifiche, il titolare conduce una analisi dei rischi per i diritti e le libertà delle persone che operano nell'area di azione del sistema, considerate le finalità per cui esso vorrà essere utilizzato. L'analisi dei rischi individua le modalità corrette di disposizione, configurazione ed utilizzo del sistema, definisce i compiti e le responsabilità, le misure adeguate per proteggere le informazioni, gli adempimenti occorrenti (p.es., i cartelli di informativa, i profili di autorizzazione, la valutazione preliminare d'impatto) formalizzando il tutto in un documento delle scelte conservato dal titolare ...