La videosorveglianza costituisce uno strumento fondamentale per garantire la sicurezza urbana.
Tuttavia, il trattamento dei dati personali raccolti attraverso questi sistemi deve essere gestito nel pieno rispetto dei principi di protezione dei dati personali fissati dall’art. 5 del GDPR.
Uno di questi principi fondamentali è la “limitazione delle finalità”, che vieta l’uso dei dati personali per usi secondari, cioè per scopi diversi da quelli per cui sono stati raccolti.
Questo articolo esplora come le immagini di videosorveglianza per la sicurezza urbana possano, comunque, essere utilizzate per ulteriori diverse finalità (le cc.dd. further purposes), senza violare il GDPR.
In questi casi occorre eseguire il test di compatibilità.
Vediamo come.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. Il principio della limitazione della finalità e la c.d. “Mission Creep”
La sicurezza urbana è una priorità per molte Amministrazioni locali, che spesso ricorrono a sistemi di videosorveglianza per monitorare aree pubbliche al fine di garantire la sicurezza ed il rispetto del decoro urbano.
Tuttavia, l’uso di tali sistemi comporta la raccolta e il trattamento di dati personali, che devono essere gestiti nel pieno rispetto del GDPR. Il principio della “limitazione delle finalità” impone che i dati raccolti siano utilizzati solo per gli scopi dichiarati al momento della raccolta, prevenendo così il fenomeno della c.d. “Mission Creep”, cioè la deriva degli obiettivi.
“Mission Creep” è un termine che proviene dal contesto militare, ma che è stato adottato anche in ambiti civili, incluso il contesto della protezione dei dati personali. Si riferisce alla tendenza di un’organizzazione o di un progetto a espandere gradualmente i propri obiettivi originari, oltre il loro scopo iniziale. Questo può avvenire senza un’adeguata giustificazione, spesso portando a inefficienze o violazioni della normativa in materia di Data Protection.
Nel contesto del GDPR, la “Mission Creep” può manifestarsi quando i dati personali raccolti per una specifica finalità vengono successivamente utilizzati per scopi diversi, senza riconoscere un’adeguata base giuridica.
Questo scenario è problematico perché comporta la violazione del principio di limitazione della finalità. Il principio della limitazione delle finalità richiede, in particolare, che i dati personali siano raccolti per scopi specifici, espliciti e legittimi, e che non siano trattati ulteriormente in modo incompatibile con tali scopi. Questo principio è essenziale per mantenere la fiducia dei cittadini e garantire la trasparenza nelle operazioni di videosorveglianza per la sicurezza urbana. Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
2. Come evitare la “Mission Creep”
Come già evidenziato, il fenomeno della cosiddetta “Mission Creep” si verifica quando i dati personali vengono utilizzati per scopi diversi da quelli per cui sono stati originariamente raccolti[1]. Nell’ambito della gestione della videosorveglianza per la sicurezza urbana, questo fenomeno può portare a violazioni della Data Protection e a un uso improprio dei dati personali raccolti sotto forma di fotografie e videoregistrazioni.
Il GDPR mira a prevenire tali situazioni attraverso il meccanismo della “incompatibilità”.
Secondo tale meccanismo, una volta raccolti, i dati personali non devono essere ulteriormente trattati in modo incompatibile la finalità originaria che ha giustificato l’avvio del trattamento. Per espressa previsione normativa, solo un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali, seppure nel rispetto di alcune condizioni previste dall’articolo 89, paragrafo 1 del GDPR (misure adeguate quali minimizzazione e pseudonimizzazione).
Negli altri casi, un uso secondario di foto e video raccolti dai sistemi di videosorveglianza è comunque possibile.
Occorre, però, eseguire il test di compatibilità.
3. Utilizzo delle immagini di videosorveglianza per ulteriori finalità
Un esempio concreto di possibile utilizzo secondario delle immagini di videosorveglianza è il caso in cui una fototrappola, installata per garantire il decoro di un’area comunale, registri un incidente stradale senza feriti.
In questo scenario, è legittimo chiedersi se le immagini registrate dalle fototrappole possano essere utilizzate per accertare le responsabilità civilistiche connesse all’incidente.
Potrebbero interessarti anche:
4. Il test di compatibilità
L’art. 6, paragrafo 4 del GDPR prevede il test di compatibilità, come strumento chiave per valutare la conformità di detti trattamenti ulteriori.
Questo test prevede una valutazione dettagliata di diversi fattori per garantire che ogni uso secondario, cioè ogni trattamento ulteriore dei dati personali sia compatibile con gli scopi originari per i quali sono stati inizialmente raccolti.
Al fine di offrire un tool per eseguire il test di compatibilità, si riportano, di seguito, 4 schemi di valutazione che, in un’unica vista, riportano:
- i fattori da considerare;
- un’analisi dettagliata degli stessi fattori;
- i criteri di valutazione.
5. Conclusioni
Il trattamento dei dati personali raccolti tramite sistemi di videosorveglianza richiede un equilibrio delicato tra le finalità di sicurezza urbana e la protezione dei dati personali dei cittadini.
Il principio della “limitazione delle finalità” gioca un ruolo centrale in questo equilibrio, impedendo l’uso improprio dei dati raccolti e prevenendo il fenomeno della c.d.”Mission Creep“.
Tuttavia, il GDPR riconosce anche la necessaria flessibilità in determinate circostanze, offrendo strumenti come il test di compatibilità per valutare la legittimità di trattamenti ulteriori.
È quindi fondamentale che le Amministrazioni locali e le organizzazioni che utilizzano sistemi di videosorveglianza comprendano e applichino correttamente questi principi e strumenti.
Solo così sarà possibile garantire la sicurezza urbana senza compromettere i diritti fondamentali delle persone.
In conclusione, con una gestione attenta e conforme alla normativa di settore è possibile utilizzare le immagini di videosorveglianza per diverse finalità, assicurando sempre il rispetto delle leggi e la protezione dei dati personali.
Scrivi un commento
Accedi per poter inserire un commento