Recentemente il Garante della Privacy ha adottato un provvedimento sulla Videosorveglianza che ha sostituito il provvedimento di pari oggetto del 2004.
Tale cambiamento ha fatto sorgere alcuni dubbi interpretativi, a cui di seguito ho fornito le mie risposte.
Le riprese sono dati sensibili?
Per rispondere al quesito se le immagini rientrano nella categoria dei dati sensibili è doveroso analizzare il dettato normativo, anche alla luce di un recente pronunciamento giurisprudenziale.
L’art. 4, comma 1, lettera d), del D. Lgs 196/2003 definisce i dati sensibili come i dati personali “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
Il Garante, nel Provvedimento dell’08.04.2010, prevede che “l’utilizzo di immagini configura un trattamento di dati personali” e, nella sezione relativa ad ospedali e luoghi di cura, ricorda “la natura sensibile di molti dati che possono essere in tal modo raccolti” presso tali strutture.
Nella recente sentenza n° 1972/2010 con cui il Tribunale di Milano ha condannato i vertici di Google per la presenza su un loro sito di un video contenente vessazioni nei confronti di una persona diversamente abile, è riportato che “non vi è dubbio sul fatto che il video in questione contenga della ‘pesanti’ allusioni allo stato di salute del soggetto … non vi è nemmeno il dubbio che il video in questione sia, di per sé, un ‘dato personale e sensibile’”.
Visto quanto sopra, ci si chiede se le videoriprese vanno considerate quali dati comuni o dati sensibili.
A mio parere, le immagini sono dati potenzialmente sensibili, infatti alcune di esse sono idonee a rivelare uno degli elementi di differenziazione che rende sensibile un dato personale; sono da considerarsi sensibili, ad esempio, l’immagine di una persona che indossa un determinato copricapo da cui sia desumibile l’orientamento religioso o politico, od anche la ripresa dell’acquisto di un contraccettivo da cui desumere la vita sessuale dell’acquirente.
Pertanto, considerando che i normali impianti di videosorveglianza non possono essere impostati per cancellare – in fase di rilevazione – quei tratti distintivi che sensibilizzano le immagini, se ne deduce che, anche se non tutte le riprese si configurano quali dati sensibili, comunque per la videosorveglianza sarà necessario porre in essere tutte le misure minime di sicurezza previste dal D. Lgs. 196/2003 per il trattamento elettronico di dati sensibili, in quando le videoriprese sono dati “idonei a rivelare” elementi discriminanti.
Documento Programmatico della Sicurezza
Acclarato che le immagini vanno gestite come dati sensibili, sicuramente il Titolare del trattamento deve redigere il Documento Programmatico della Sicurezza (di seguito DPS).
Al riguardo, colgo l’occasione per riportare sinteticamente gli estremi di un dibattito interpretativo circa il dubbio se il DPS debba essere adottato da qualunque titolare che tratti dati personali oppure se deve essere redatto dai soli titolari che trattano dati sensibili o giudiziari.
A mio avviso, rifacendosi strettamente al dettato normativo, è più corretta l’interpretazione restrittiva secondo cui il DPS va redatto solo nel caso di trattamento con strumenti elettronici di dati sensibili o giudiziari.
A supporto della teoria restrittiva da me sposata, si osserva che la previsione dell’art. 34, comma 1, del D. Lgs. 196/2003, prevedendo la “tenuta di un aggiornato documento programmatico sulla sicurezza” in base ai “modi previsti dal disciplinare tecnico contenuto nell’allegato B)”, rimanda fattivamente alle specifiche contenute nell’allegato B, il cui punto 19 prevede che “entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo”.
Inoltre, nella Guida pratica e misure di semplificazione per le piccole e medie imprese del 24 maggio 2007, il Garante ha precisato che “in base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi informatici deve essere redatto il documento programmatico sulla sicurezza”
Invece, secondo i sostenitori dell’interpretazione estensiva, la specifica di cui al punto 19 dell’allegato B) significherebbe invece che il DPS deve essere comunque redatto e che tale documento, in caso di trattamento di dati sensibili, deve essere redatto od aggiornato al massimo entro il 31 marzo di ogni anno.
Amministratore di sistema
L’Amministratore di Sistema (di seguito AdS), in base alla prima FAQ sull’AdS, pubblicata dal Garante, è una “figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi”.
Il Titolare del trattamento deve riportare gli estremi identificativi e le funzioni degli AdS in un “documento interno”, quale ad esempio il DPS.
L’individuazione dell’AdS è necessaria non solo se vengono trattati sensibili o giudiziari, ma anche in caso di trattamento di dati personali comuni, sempre che il Titolare non rientri nelle categorie per cui non è necessaria l’individuazione dell’AdS, così come precisato dalle FAQ sull’AdS.
Riguardo la videosorveglianza, a mio parere, il Titolare del trattamento dovrà individuare l’AdS principalmente nei seguenti due casi:
-
se vengono utilizzati sistemi integrati di videosorveglianza, ossia sistemi che centralizzano e talvolta condividono le immagini riprese dagli impianti di videosorveglianza di più Titolari;
-
qualora il manutentore possa accedere sempre alle immagini, in remoto od presso la sede del Titolare, senza che l’accesso venga preventivamente autorizzato dal Titolare (comunque il manutentore dovrà essere nominato quale Responsabile o Incaricato del trattamento); infatti in tal caso non si può parlare di “soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software”, ma di persone che potenzialmente possono accedere liberamente alla base dati.
Telecamere non funzionanti
Nel provvedimento del Garante sulla Videosorveglianza del 2004 veniva riportato che “anche l’installazione meramente dimostrativa o artefatta di telecamere non funzionanti o per finzione, anche se non comporta trattamento di dati personali, può determinare forme di condizionamento nei movimenti e nei comportamenti delle persone in luoghi pubblici e privati e pertanto può essere legittimamente oggetto di contestazione”.
In seguito a tale frase, solitamente si dava l’indicazione ai detentori di impianti non funzionanti o di rimuovere gli impianti ovvero di esporre un informativa sulla videosorveglianza.
Il provvedimento del Garante sulla Videosorveglianza del 2010 non riporta più l’avvertimento contenuto nella frase sopra citata; conseguentemente ci si è chiesti se era ancora valida l’indicazione di affiggere l’informativa anche in presenza di telecamere non funzionanti.
A mio parere, in presenza di un impianto di videosorveglianza non funzionante, l’esposizione di un’informativa ex art. 13 del D. Lgs. 196/2003 è opportuna, ma non necessaria, in quanto non vengono trattati dati personali
Bisogna però ricordare che l’installazione di telecamere non funzionanti invece configura certamente la violazione dell’art. 4 dello Statuto dei Lavoratori, salvo che non sia intervenuto il richiesto accordo con la RSA o che l’installazione sia stata preventivamente autorizzata dall’Ispettorato del Lavoro, così come a suo tempo chiarito dalla sentenza 1490/86 con cui la Sezione lavoro della Corte di Cassazione stabiliva che “il divieto di controllo a distanza posto al datore di lavoro dall’art. 4 dello statuto dei lavoratori è assoluto e pertanto non può ritenersi escluso né dalla circostanza che le eventuali apparecchiature all’uopo installate non siano ancora funzionanti, né che i lavoratori ne siano stati preavvertiti, né infine dal fatto che tale controllo sia destinato ad essere discontinuo potendo unicamente derivare dal mancato esercizio di fatto del controllo, l’esonero del datore di lavoro dalle sanzioni penali previste dall’art. 38 dello statuto”. Si segnala che il principio espresso in tale sentenza è stato ripreso anche nella sentenza n° 9211 emessa nel 1997 dalla stessa Sezione della suprema Corte.
Informativa senza telecamere
Il Codice della Privacy non prevede una sanzione nel caso di esposizione di un’informativa per un trattamento effettivamente non svolto.
L’art. 161 del D. Lgs. 196/2003 sanziona la mancanza o l’inidoneità dell’informativa, ossia l’informativa che non rispetta il contenuto dell’art. 13 del D. Lgs. 196/2003, ma non sanziona l’aver fornito un’informativa di un trattamento assente.
A mio parere l’esposizione di una informativa in assenza di trattamento non è di per sé sanzionabile, tuttavia, volendo ragionare in maniera paradossale, mi chiedo quale decisione potrebbe assumere l’Autorità Giudicante nei confronti del soggetto identificabile che ha esposto l’informativa, nel caso in cui ad esempio un passante, volendo sottrarsi alla riprese di una fantomatica telecamera, spostandosi venisse investito da un automezzo!
Relazione di conformità rilasciata dall’installatore
Nel provvedimento sulla Videosorveglianza del 2010 non è stato ripreso il contenuto del secondo capoverso del punto 3.3.2 del provvedimento sulla Videosorveglianza del 2004, dove era previsto che “il titolare del trattamento che si avvale di un soggetto esterno deve ricevere dall’installatore una descrizione scritta dell’intervento effettuato che ne attesti la conformità alle regole in materia (artt. 33-36 e 169, nonché Allegato B) del Codice, in particolare punto 25”.
Alla luce di tale carenza, alcuni installatori di impianti di videosorveglianza hanno smesso di rilasciare le relazioni di conformità, asserendo che tale onere sarebbe venuto meno, così esponendo il Titolare del trattamento al rischio di essere sanzionato per non aver posto in essere una misura minima di sicurezza.
Infatti l’onere di ricevere la relazione di conformità è comunque previsto dal punto 25 dell’Allegato B) del Codice della Privacy e rimane in vigore anche se tale onere non viene ricordato nel provvedimento sulla sorveglianza del 2010.
Pertanto il Titolare del trattamento dovrà farsi rilasciare dall’installatore la dichiarazione di conformità dell’impianto.
Documentazione delle scelte
Il punto 3.5 del provvedimento sulla Videosorveglianza del 2004 prevedeva che “le ragioni delle scelte, cui si è fatto richiamo, devono essere adeguatamente documentate in un atto autonomo conservato presso il titolare e il responsabile del trattamento e ciò anche ai fini dell’eventuale esibizione in occasione di visite ispettive, oppure dell’esercizio dei diritti dell’interessato o di contenzioso”.
Alla luce di tale previsione si era soliti suggerire la redazione di un documento riportante le motivazioni, le finalità e le caratteristiche dell’impianto di videosorveglianza.
Il provvedimento del Garante del 2010 non prevede più l’emissione di un atto documentativo delle scelte.
A parere di chi scrive è comunque consigliabile documentare in maniera chiara e comprensibile le motivazioni, le finalità e le caratteristiche dell’impianto di videosorveglianza che non dovranno necessariamente essere riportate in un documento autonomo. Il Titolare potrebbe riportare tali informazioni nel DPS ovvero potrebbe comunque emettere un documento autonomo od infine aggiornare, se necessario, il documento redatto quando era stato installato l’impianto.
Scrivi un commento
Accedi per poter inserire un commento