Dal sito di Enisa informazioni utili i merito agli incidenti Denial-of-Service (DoS) verificati durante il…
Nuove linee guida sulla videosorveglianza
Da Key4biz.it
Dopo la pubblicazione delle linee guida del Comitato Europeo per la Protezione dei Dati, nessun titolare del trattamento può permettersi un impianto di videosorveglianza non compliant al GDPR: per l’Italia comunque resta sempre valido il provvedimento del Garante dell’8 aprile 2010, che dovrà essere aggiornato ai dettami del GDPR dal nuovo Collegio.
Il 29 gennaio 2020, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato le nuove linee guida n. 3/2019 in materia di trattamento di dati personali mediante impianti di videosorveglianza.
Il Comitato ha sottolineato l’urgenza di tali linee guida in quanto l’utilizzo intensivo di sistemi di videosorveglianza rischia di condizionare sensibilmente il comportamento degli individui, soprattutto quando i dati vengono trattati mediante strumenti cosiddetti “intelligenti” o tecnologicamente avanzati: gli impianti di videosorveglianza, infatti, possono suscitare sia un senso di maggior sicurezza, sia il timore di limiti alla libertà e altri diritti fondamentali.
Per tale motivo diventa necessario per i DPO e i Titolari del trattamento garantire sempre più l’adozione di misure tecniche ed organizzative adeguate in grado di garantire la liceità dei trattamenti nel rispetto del Regolamento UE 2016/679 (GDPR).
Quali principali novità o punti importanti?
Persone fisiche
Le linee guida non trovano applicazione nei casi in cui l’impianto di videosorveglianza sia utilizzato da persone fisiche nell’ambito della propria vita domestica (nonché nei casi di videoregistrazioni da alta quota e in caso di utilizzo di telecamere da park assist).
Informativa e vignetta
È necessario fornire idonea informativa agli interessati circa l’esistenza di un impianto di videosorveglianza, sia mediante un’informativa di primo livello, sotto forma di “vignetta” (c.d. informativa breve), sia mediante un’informativa estesa.
La nuova vignetta predisposta dall’EDPB consente agli interessati di conoscere preventivamente quali dati personali vengono trattati entrando nel raggio di azione delle videocamere: per maggior trasparenza il Comitato suggerisce di inserire nella stessa un QR code o un indirizzo web che rinvii all’informativa estesa dove saranno disponibili tutte le altre informazioni richieste dal GDPR. Il Comitato conferma poi che i dati trattati dovranno essere conservati per il periodo strettamente necessario per le finalità – esplicite, determinate, legittime – perseguite e riportate nell’informativa.
Base giuridica
Il Comitato individua tale fondamento nel legittimo interesse (art. 6 comma 1, lett. F GDPR), che deve sempre essere oggetto di bilanciamento (LIA) o nella sussistenza di un interesse pubblico (art. 6, comma 1 lett. e GDPR); il consenso dell’interessato invece si conferma base giuridica residuale.
Il Comitato conferma infine la possibilità di utilizzare impianti di videosorveglianza per il trattamento di dati particolari, purché vi sia una adeguata base giuridica.
Quali sanzioni GDPR sono state ad oggi irrogate dalle Autorità Garanti Privacy Europee?
A conferma dell’importanza della compliance privacy relativa alla videosorveglianza, si evidenzia l’adozione di numerose sanzioni.
- L’Autorità garante greca a gennaio 2020 ha emesso una sanzione di 15.000 euro per l’installazione, senza autorizzazioni di legge, di un impianto di videosorveglianza e per non aver fornito ai dipendenti adeguata informativa.
- L’Autorità spagnola, con un provvedimento di dicembre2019, ha richiesto il pagamento della somma di 1.600 euro ad una società che riprendeva parzialmente aree pubbliche esterne a quelle di sua proprietà e che non aveva neppure segnalato con vignetta la presenza dell’impianto di videosorveglianza.
- La stessa Autorità, nel Novembre 2019, ha irrogato a un bar sport una sanzione di 6.000 euro per aver installato videocamere che riprendevano parzialmente aree pubbliche ad esso adiacenti.
- In Romania, inoltre, il Garante ha erogato una sanzione di 5.000 euro per trattamento di dati personali eccessivo: il titolare riprendeva i lavoratori all’interno degli uffici e degli spogliatoi.
Dopo la pubblicazione delle presenti linee guida, nessun titolare del trattamento può permettersi un impianto di videosorveglianza non compliant al GDPR: per l’Italia comunque resta sempre valido il provvedimento del Garante dell’8 aprile 2010, che dovrà essere aggiornato ai dettami del GDPR dal nuovo Collegio.