Nuove Linee Guida in materia di Videosorveglianza: quali obblighi?

Nel corso degli ultimi anni, il ricorso ad impianti di videosorveglianza – da parte dell’autorità pubblica, ma altresì dei privati – per il monitoraggio sistematico e automatizzato di determinati spazi è in crescita. L’impiego di tali sistemi, infatti, mira a garantire il massimo grado di sicurezza collettiva, nonché individuale: tuttavia, questa attività comporta la raccolta e la conservazione dati personali – anche a carattere particolare – per tutti i soggetti che transitano nello spazio monitorato, richiedendo adeguate tutele.

Per tali ragioni, il 29 gennaio 2020 sono state approvate in via definitiva le Linee Guida n.3/2019 sul trattamento dei dati personali attraverso dispositivi video.

Le Linee Guida:

• forniscono indicazioni sulla corretta applicazione del GDPR;
• chiariscono la portata applicativa della normativa in materia di protezione dati.

Pertanto il GDPR non trova applicazione ogniqualvolta le attività di trattamento di dati non hanno alcun riferimento a una persona, ad esempio se una persona non può essere identificata, direttamente o indirettamente, come ad esempio:

• telecamere finte che, in quanto tali, non elaborano dati personali;
• registrazioni effettuate da un’altitudine elevata, solo se se i dati elaborati non sono collegati a una persona specifica;
• attività strettamente personale o domestica.

Per tutti i casi che ricadono nell’applicazione del GDPR, le Linee Guida richiamano gli obblighi previsti dal Regolamento, garantendo:

• la liceità del trattamento;
• i principi di correttezza, trasparenza e minimizzazione, nonché di privacy by design e by default;
• i diritti dell’interessato;
• l’implementazione di adeguate misure di sicurezza.

Inoltre, dati gli scopi tipici della videosorveglianza (protezione delle persone e dei beni, individuazione, prevenzione e controllo dei reati, raccolta di prove e identificazione biometrica dei sospetti), le Linee Guida ritengono che, al ricorrere dei requisiti stabiliti all’articolo 35 del GDPR, sia opportuno condurre una DPIA. Pertanto, i titolari del trattamento dovrebbero consultare attentamente la normativa e la prassi applicativa per determinare se tale valutazione è necessaria e, se necessario, effettuarla. L’esito della DPIA eseguita dovrebbe determinare la scelta da parte del titolare del trattamento delle misure di protezione dei dati attuate.

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

La pubblicazione delle nuove Linee Guida dimostra che l’assenza di formazione ed informazione in materia di videosorveglianza costituiscono i primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

• percorsi di formazione e aggiornamento;
• percorsi di approfondimento e perfezionamento;
• servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

1. Corsi di formazione per Data Protection Officer

• Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
• Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

• Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.