Le linee guida dell’European Data Protection Board

di Paolo Marini  – Avvocato

Pubblicato il 03/03/2020

 

L’European Data Protection Board premette un’ampia introduzione in cui spiega le ragioni del proprio intervento sui trattamenti dei dati personali attraverso i dispositivi video.

Segue un testo articolato che affronta l’argomento aspirando alla completezza, partendo dalle basi giuridiche e concludendo con indicazioni/criteri di dettaglio circa le misure di sicurezza tecniche ed organizzative.

Come è ormai ben noto, le linee guida dell’European Data Protection Board – già Gruppo art. 29 nel ‘vecchio ordinamento’, d’ora in poi qui semplicemente ‘Board’ – non sono assimilabili a disposizioni cogenti, non contengono prescrizioni in senso stretto, bensì una lettura integrativa delle disposizioni del Regolamento UE 2016/679: sono ‘stampelle’ di carattere interpretativo, servono a guidare, precisare, esemplificare.

E tuttavia, la circostanza che siano riconducibili al mondo della c.d. ‘soft law’, non è un buon motivo per sottovalutarne la portata, né sono automaticamente da salutare come un banale salvagente lanciato all’interprete, visto che non necessariamente lo sottraggono alle acque agitate della materia ‘data protection’. Talora esse stesse potranno costituire motivo o ragione di ulteriore complicazione, là dove l’assetto giuridico che, promanando dal Regolamento UE, scende a cascata nel diritto interno, rappresenta un corpus vasto e assai poco ‘ergonomico’ – l’ennesimo esempio di come nel diritto positivo contemporaneo sia sempre più difficile vedere tradotto in concreto l’invito del prof. Epstein a produrre “regole semplici per un mondo complesso”^[1].

Le Linee guida 3/2019 (testo in calce) sul trattamento dei dati personali attraverso dispositivi video sono state adottate il 10 luglio 2019. Il testo in commento (versione 2.0 del 29 gennaio 2020) è quello risultante dalla successiva consultazione pubblica.

Il Board prende atto della massiccia diffusione di impianti/apparecchiature di videosorveglianza e, con essa, del fatto che queste tecnologie “possono limitare le possibilità di movimento e di utilizzo anonimo dei servizi” e, in generale, la possibilità di passare inosservati, per cui “le implicazioni per la protezione dei dati sono enormi”. La videosorveglianza è divenuta “altamente performante grazie alla crescente implementazione dell’analisi video intelligente”, con lo sviluppo di tecniche sempre più intrusive e l’incremento dei rischi di utilizzi secondari e impropri. Ne consegue, per il Board, che “rimanere anonimi e preservare la propria privacy è in generale sempre più difficile”. Per questo la videosorveglianza non è da considerare automaticamente una necessità, quando siano disponibili altri mezzi per raggiungere lo scopo sottostante. Diversamente – avverte il Board – si rischia un cambiamento culturale che porterà all’accettazione della mancanza di privacy come se fosse una condizione scontata, indiscutibile.

Partendo dal campo di applicazione del documento, si ribadiscono le esclusioni già note, dal momento che il Regolamento 2016/679 (nel prosieguo saranno ad esso da ricondurre gli articoli citati senza ulteriori specificazioni) non si applica ai trattamenti di dati:

– che non hanno alcun riferimento a una persona, in quanto non identificata e neppure identificabile;

– eseguiti da parte delle autorità competenti ai fini della prevenzione, delle indagini, dell’accertamento o del perseguimento di reati o dell’esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla sicurezza pubblica (poiché ambito di riserva della Direttiva UE 2016/680);

– da parte di una persona fisica nell’ambito di un’attività puramente personale o domestica, esclusione che nel presente contesto (videosorveglianza) “deve essere interpretata in modo restrittivo”, per cui fuoriescono dall’esclusione, per fare degli esempi, la pubblicazione del video su internet che renda disponibili le immagini ad un numero indefinito di persone, ovvero quelle riprese che coprano, anche parzialmente, uno spazio pubblico^[2].

Ribaditi i principi di cui agli artt. 5 (finalità dei trattamenti da specificare e documentare per iscritto per ciascun apparecchio) e 13 (informare gli interessati), il Board ritiene che, almeno in teoria, qualsiasi fattispecie di cui all’art. 6.1 possa costituire la base giuridica di un trattamento mediante videosorveglianza. Tuttavia, scendendo dalla teoria alla pratica, le basi giuridiche più ricorrenti saranno il legittimo interesse (art. 6.1, lett. f) e la necessità dell’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (art. 6.1, lett. e). Al consenso (art. 6.1, lett. a) è destinato uno spazio residuale, per cui dovrà essere chiamato in causa in ipotesi “piuttosto eccezionali”.

Una particolare attenzione è allora dedicata al legittimo interesse (rammentiamolo, nell’occasione: è base giuridica inapplicabile ai trattamenti eseguiti dalle autorità pubbliche nell’esecuzione dei loro compiti), che potrà dirsi correttamente richiamato e invocato allorché sia stata preventivamente e scrupolosamente valutata la sua prevalenza sugli interessi, i diritti e le libertà degli interessati – valutazione da compiere mai in astratto, bensì caso per caso.

Questo interesse deve essere reale e attuale e potrà anche essere giustificato da fatti/incidenti accaduti che, nel caso, è consigliato al titolare di documentare (si fa l’esempio del negozio, per il quale rileveranno anche le informazioni relative a eventi come effrazioni, furti, rapine, occorsi presso altri esercizi del quartiere/vicinato). Il requisito della realtà e attualità dovrà essere a sua volta periodicamente rivalutato. Il Board suggerisce al Titolare di pianificare con una certa frequenza (da definire, more solito, secondo le circostanze) la verifica della sua perdurante sussistenza. Situazioni di pericolo imminente potranno costituire un interesse legittimo, come nei casi di banche o negozi che vendono beni preziosi (ad es. gioiellerie), o di aree note come abituali scene di condotte aggressive contro la proprietà (ad es. stazioni di servizio).

E’ il principio di necessità del trattamento, in quanto rapportato ad altre modalità con cui raggiungere lo scopo prefisso, a dover guidare l’interprete. Così, la videosorveglianza potrà essere, per lo più, prescelta quando lo scopo del trattamento non potrà essere ragionevolmente raggiunto con altri mezzi meno invasivi. Quindi, laddove l’esigenza sia quella di prevenire reati contro la proprietà, occorre appurare se non siano altrettanto o anche più efficaci misure alternative, quali “la recinzione della proprietà, l’installazione di pattuglie regolari del personale di sicurezza, l’utilizzo di guardiani, la fornitura di una migliore illuminazione, l’installazione di serrature di sicurezza, finestre e porte a prova di manomissione o l’applicazione di rivestimenti anti-graffiti o lamine alle pareti”.

Infine, sempre nel segno della necessità, le valutazioni e le decisioni ex ante del titolare non potranno non riguardare aspetti di ulteriore dettaglio, come la collocazione degli apparecchi, gli orari della loro messa in funzione, i tempi di conservazione e cancellazione delle eventuali registrazioni.

Dall’altro versante del trattamento, restano rilevanti, anche ai sensi del considerando 47, le ragionevoli aspettative dell’interessato. Qui il criterio dirimente per stabilire la correttezza o meno del trattamento è che l’interessato possa (appunto) ragionevolmente aspettarsi di essere soggetto a monitoraggio in una specifica situazione. I cartelli o segnali che informino l’interessato della presenza di apparecchi di videosorveglianza non hanno/avranno alcuna rilevanza nel determinare ciò che un interessato possa oggettivamente aspettarsi. Ciò significa, in concreto, che il proprietario di un negozio non potrà presumere che i clienti abbiano oggettivamente ragionevoli aspettative di essere sorvegliati solo perché un cartello all’ingresso li avrà informati della presenza di apparecchi di videosorveglianza.

One LEGALE | Experta GDPRTutta la normativa in tema di privacy, gli orientamenti di organi giudicanti e Autorità garante, tanti strumenti operativi per ogni adempimento: guide pratiche, commentari, riviste, action plan, check list, formule, news.

Con il termine divulgazione si allude nelle Linee guida tanto alla comunicazione che alla diffusione dei dati. Per esse dovrà parimenti essere definita, di volta in volta, la base giuridica adeguata all’eventuale ulteriore trattamento, sempre che di ulteriore trattamento si tratti. Non sarà così, per esempio, quando la videosorveglianza di un accesso ad un parcheggio sia stata installata allo scopo di accertare eventuali danni ai veicoli. Se si verifica un danno e la registrazione viene consegnata ad un avvocato per la gestione della controversia, in questo caso lo scopo della registrazione sarà lo stesso di quello della successiva comunicazione per la tutela dei diritti.

Infine, posto che “anche la divulgazione delle registrazioni video alle forze dell’ordine è un processo indipendente, che richiede una giustificazione separata”, nel caso della comunicazione a quelle delle registrazioni, si potrà invocare l’art. 6.1. lett. c), nella misura in cui dal diritto nazionale sia stabilito per il titolare un obbligo giuridico in tal senso.

 

I sistemi di videosorveglianza raccolgono notevoli quantità di dati personali che potrebbero/possono rivelare dati di natura altamente personale e perfino particolari categorie di dati. Osserva il Board che “dati apparentemente non significativi originariamente raccolti attraverso il video possono essere utilizzati per dedurre altre informazioni per raggiungere uno scopo diverso (ad esempio, per mappare le abitudini di un individuo)” e quando “le riprese video vengono elaborate per dedurre particolari categorie di dati si applica l’articolo 9”. Così, per esempio, le video-riprese che offrono immagini di soggetti identificabili partecipanti ad un evento politico, contengono dati sensibili. Ciò implica in capo al titolare la scrupolosa considerazione del principio di minimizzazione dei dati, oltre che del fatto che non saranno fruibili, giuridicamente, tutte le eccezioni previste al divieto generale di trattamento di cui all’art. 9. In particolare, non potrà invocarsi l’art. 9.2, lett. e) (trattamento di dati personali resi manifestamente pubblici dall’interessato), poiché dal semplice fatto di entrare nel raggio d’azione della telecamera non potrà desumersi che l’interessato avrà inteso rendere pubblici i dati sensibili che lo riguardano.

 

Se per l’art. 4.1, n. 14, il dato biometrico è quello che risulta da “un trattamento tecnico specifico” relativo alle “caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica”, che consenta o confermi l’identificazione univoca di tale persona fisica, le riprese video di una persona non potranno ipso facto essere considerate dati biometrici, quando non vengano specificamente elaborate al fine di identificarla in modo univoco.

Con ciò, il ricorso alla videosorveglianza che includa la funzionalità del riconoscimento biometrico, richiederà nella gran parte dei casi il consenso esplicito degli interessati. Quando sarà in campo il consenso, il titolare non potrà condizionare l’accesso ai servizi all’accettazione del trattamento biometrico. Solo in casi eccezionali, potrà verificarsi una situazione “in cui il trattamento dei dati biometrici è l’attività principale di un servizio fornito per contratto, ad es. museo che allestisce una mostra per dimostrare l’uso di un dispositivo di riconoscimento facciale, nel qual caso l’interessato non potrà rifiutare l’elaborazione dei dati biometrici se desidera partecipare alla mostra”. Il consenso sarà ancora valido, in tale fattispecie, a condizione che siano soddisfatti i requisiti di cui all’art. 7.

Al trattamento di questa sotto-categoria di dati dovrà associarsi l’applicazione di stringenti cautele/misure di sicurezza, che il Board individua puntualmente (“compartimentare i dati durante la trasmissione e la memorizzazione, memorizzare i modelli biometrici e i dati grezzi o i dati di identità su database distinti, cifrare i dati biometrici, in particolare i modelli biometrici, e definire una politica di cifratura e di gestione delle chiavi, integrare una misura organizzativa e tecnica per l’individuazione delle frodi, associare un codice di integrità ai dati [ad esempio firma o hash] e vietare qualsiasi accesso esterno ai dati biometrici”), senza tralasciare una particolare attenzione al tema della loro cancellazione.

Ribadite alcune ovvietà (si applicano ai trattamento con videosorveglianza tutti i diritti previsti dal Regolamento UE 2016/679) meritano specifica menzione alcuni passaggi del documento, per esempio nell’ipotesi di esercizio del diritto di accesso, quando le sequenze abbiano ripreso un certo numero di persone e la ricezione di una copia del materiale potrebbe pregiudicare i diritti e le libertà degli altri interessati. Per evitare questo effetto il titolare del trattamento dovrà attuare misure tecniche per soddisfare comunque la richiesta di accesso (ad esempio, la modifica delle immagini come il mascheramento o lo scrambling): la circostanza, cioè, non dovrebbe adito ad un diniego del riscontro alla richiesta.

Altro caso problematico è quello in cui il titolare non sia in grado di rintracciare (nelle riprese, dovendo passare al setaccio una notevole quantità di materiale) l’interessato; ciò che in soldoni (al netto di tutte le sorprendenti indicazioni, come se titolare e interessato fossero dei minus habens) si suggerisce, è una sorta di cooperazione tra titolare e interessato tesa a restringere l’ambito della ricerca, al fine (di nuovo) della soddisfazione della richiesta.

E’ qui meritevole di menzione il richiamo agli obblighi di trasparenza informativa, per cui le persone interessate devono essere consapevoli del fatto che la videosorveglianza è in funzione, anzi dovrebbero essere informate in modo dettagliato sui luoghi monitorati.

I titolari potranno dal canto loro seguire approcci a più livelli, scegliendo di utilizzare combinazioni di metodi per garantire la trasparenza, cosicché le informazioni più importanti siano visualizzate sul cartello stesso (primo livello), mentre gli ulteriori dettagli obbligatori saranno forniti con altri mezzi (secondo livello). Tralasciando i dettagli, che pure dovranno essere valutati da chi intenda avviare un simile trattamento, le informazioni da offrire al primo livello dovrebbero essere quelle più importanti (finalità del trattamento, identità del titolare, diritti degli interessati, insieme a quelle… sui maggiori impatti del trattamento [?]), senza tralasciare un riferimento al secondo livello di informazioni e al come e dove trovarle. Si aggiunge che il cartello dovrebbe contenere anche le informazioni che potrebbero “sorprendere” l’interessato (potendo trattarsi, ad esempio, di trasmissioni a terzi, in particolare se si trovano al di fuori dell’UE, e del periodo di conservazione; in difetto, l’interessato dovrebbe potersi fidare del fatto che ci sia solo un monitoraggio in tempo reale – cioè senza registrazione o trasmissione di dati a terzi). Quanto all’accesso alle informazioni del secondo livello, esso dovrà rendersi possibile senza l’ingresso nell’area censita, ciò essendo tutt’altro che difficile in quest’era di sviluppo tecnologico (basterà che il titolare le pubblichi sul sito web, per esempio).

I dati personali non possono essere conservati più a lungo di quanto necessario per le finalità per le quali sono trattati (articolo 5.1, lettere c) ed e). In alcuni Stati membri possono

esistere, ex art. 6.2, disposizioni specifiche per i periodi di conservazione in materia di videosorveglianza. Se i dati personali sono necessari per la memorizzazione o meno, devono essere controllati entro un periodo di tempo limitato. In generale, se gli scopi legittimi della videosorveglianza sono per lo più la protezione della proprietà e/o la conservazione delle prove, abitualmente i danni eventualmente arrecati e/o comunque gli accadimenti potranno essere accertati entro uno/due giorni. Per facilitare la dimostrazione del rispetto del quadro normativo sulla protezione dei dati, il titolare assumerà ex ante disposizioni organizzative (ad es. nominare, se necessario, un rappresentante per la proiezione e la messa in sicurezza del materiale video). Sempre tenendo conto dei principi di minimizzazione dei dati e di limitazione della loro conservazione, i dati personali dovrebbero nella maggior parte dei casi essere cancellati, idealmente in modo automatico, dopo pochi giorni. In ogni caso, quanto più lungo sarà il periodo di conservazione stabilito (soprattutto se superiore a 72 ore), tanto più si dovranno argomentare la legittimità dello scopo e la necessità di conservazione.

Le misure tecniche e organizzative dovranno essere proporzionate ai rischi derivanti da distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata o accesso ai dati di videosorveglianza. Qui il Board rispolvera le principali disposizioni che possono attagliarsi alla fattispecie: in primo piano è sempre la responsabilità del titolare, cui spetta la definizione delle misure di sicurezza. Ma non potrà fare a meno di pianificare la videosorveglianza in modo da rispettare l’art. 25, integrando tecnologie per migliorare la privacy, applicando impostazioni predefinite che riducano al minimo il trattamento dei dati e procurando gli strumenti necessari alla massima protezione possibile dei dati personali. Non è escluso che debba ricorrere ad una valutazione di impatto sulla protezione dei dati quando un trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche (e comunque nelle fattispecie di cui all’art. 35), oltre a dover definire una politica e delle procedure di videosorveglianza, i cui adempimenti qualificanti sono declinati nelle Linee guida in puntuale sequenza.

Le Linee guida 3/2019 – documento articolato e complesso – sono soltanto una piccola, ulteriore tessera del grande mosaico della normativa in materia di protezione dei dati personali. Il prossimo passaggio, almeno per la videosorveglianza, potrebbe essere un provvedimento del Garante che, sulla scorta di questa novità, aggiornerà quello del 2010 ancora vigente. Confermandoci quello che già sappiamo: cioè che, a differenza che nel passato, la normativa sulla protezione dei dati è diventata un cantiere intricato e senza fine.