ETHICA SOCIETAS-Rivista di scienze umane e sociali
Massimiliano Mancini NOTIZIE Privacy

LA DPIA È SEMPRE OBBLIGATORIA PER LA VIDEOSORVEGLIANZA, Massimiliano Mancini

I SISTEMI DI VIDEOSORVAGLIANZA, FISSA E MOBILE (FOTOTRAPPOLE, BODYCAM, AUTOVELOX) SENZA DPIA SONO ILLEGALI

di Massimiliano Mancini

Abstract: La videosorveglianza, le fototrappole e body cam si stanno diffondendo ovunque, nei piccoli comuni come nelle città metropolitane, eppure esse sono tra le attività specificatamente soggette all’obbligo della preventiva redazione della valutazione d’impatto sulla protezione dei dati o DPIA (Data Privacy Impact Assessment). Tuttavia in molti casi questo obbligo è assolto in maniera meramente formale o addirittura omesso nonostante sia punito, senza alcun trattamento di favore per gli enti pubblici, con sanzioni sino a 10 milioni di euro, importi in grado di determinare il dissesto finanziario per qualsiasi ente.

Keywords: #valutazionedimpatto #dpia #pia #valutazionedimpattosullaprotezionedeidatipersonali #trattamentodatipersonali #DPO #DataProtectionOfficer #RPD #responsabileprotezionedati #videosorveglianza #bodycam #ztl #sistemidisanzionamentomobili #MassimilianoMancini #ethicasocietas #ethicasocietasupli

Indice

Premessa 1; Cos’è la valutazione d’impatto 2; Quando sussiste l’obbligo della Valutazione d’impatto-DPIA 2; Gli ulteriori casi di obbligo di DPIA introdotti dal Garante per la Privacy 3; Casi di esclusione dell’obbligo della DPIA 4; L’obbligo di DPIA in tutti i casi di videosorveglianza 5; Videosorveglianza su veicoli e body cam 6.

 

Impianto privo persino delle tabelle di preavviso area videosorvegliata a norma (Linee Guida 3/2019)

Premessa

La videosorveglianza è oggi di gran moda, tra i privati cittadini, tra le aziende, gli enti pubblici e, tra essi, tra gli enti locali in particolare è un fenomeno che ha registrato negli ultimi anni una crescita esponenziale per rispondere alla domanda di sicurezza dei cittadini.

Non sempre però l’attenzione che si pone all’acquisto e all’installazione dei sistemi di videosorveglianza è preceduta, come dovrebbe essere e come impone la legge, da una valutazione preliminare del sistema che si intende adottare e del posizionamento delle telecamere.

In alcuni casi sopravvivono i principi generali della vecchia normativa nazionale e, quindi, l’approccio alla videosorveglianza è vissuto con molta superficialità, come qualcosa che richieda degli adempimenti burocratici.

In alcuni c’è addirittura l’idea che gli enti pubblici siano, in qualche modo, legibus solutibus e quindi, data la finalità istituzionale dell’azione degli organismi pubblici, il fine giustifichi i mezzi e anche le azioni.

Eppure il Regolamento (UE) 2016/679 sulla privacy ha completamente sostituito il precedente quadro normativo sul trattamento dei dati personali e, come Regolamento europeo, non solo non ha bisogno di alcuna conversione in legge da parte degli Stati membri ma è addirittura sovraordinato rispetto le norme nazionali le quali non possono né variarlo né derogarlo.

La disciplina europea della privacy non fa alcuna differenza negli obblighi e nelle sanzioni tra aziende private ed enti pubblici, se non nel fatto che le prime sono sanzionate in maniera proporzionale al fatturato, e non consente alcuna deroga o giustificazione derivante da esigenze di bilancio o urgenze.

Quindi l’omissione delle valutazioni preliminari e delle procedure di gestione del trattamento dei dati in generale e, in particolare, di quanto previsto per la videosorveglianza a cominciare dalla valutazione d’impatto sulla protezione dei dati, determina a carico degli enti pubblici così come dei soggetti privati, tra le altre cose, una sanzione sino a dieci milioni di euro (art. 35 p. 1 e art. 83 p. 4[1]), una somma che, anche se applicata in misura ridotta, determina conseguenze devastanti.

Cos’è la valutazione d’impatto

La valutazione d’impatto sulla protezione dei dati è una procedura, nota anche con l’acronimo DPIA (Data Protection Impact Assessment) o PIA (Privacy Impact Assessment), come si indicherà nel seguito, è prevista dall’articolo 35 del Regolamento UE/2016/679 (GDPR) e ha lo scopo di descrivere un trattamento di dati per valutarne la necessità e la proporzionalità così come tutti gli altri principi fondamentali del GDPR.

Il processo di DPIA può riguardare un singolo trattamento anche più trattamenti che presentino analogie per natura, ambito, finalità e rischi[2].

Dalla descrizione del trattamento ne consegue la valutazione e quindi la predisposizione di idonee misure per affrontarlo.

La PIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare a rispettare le prescrizioni normative ma attesta anche di aver adottato idonee misure per garantirne il rispetto.

Quando sussiste l’obbligo della Valutazione d’impatto-DPIA

La Valutazione d’impatto-DPIA è obbligatorio in tutti i casi previsti dall’articolo 35 par. 1 del Regolamento UE 2016/679 GDPR[3] ossia quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche e questo può avvenire per varie ragioni:

  • per l’implementazione di nuove tecnologie;
  • a causa della natura, dell’oggetto, del contesto o delle finalità del trattamento.

Lo stesso articolo 35 del Reg. UE 2016/679 GDPR al par. 3[4] cita anche alcune ipotesi specifiche che rendono sempre obbligatoria la PIA che sono:

  • la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche (art.35 p. 3 p.a GDPR);
  • il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10 (art.35 c.3 p.b GDPR);
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art.35 c.3 p.c GDPR).

Gli ulteriori casi di obbligo di DPIA introdotti dal Garante per la Privacy

Il GDPR ha previsto espressamente che l’autorità nazionale di controllo ha il potere e la facoltà di prevedere delle specifiche tipologie di trattamento per i quali è obbligatoria l’adozione della Valutazione d’impatto-DPIA (art. 35 p. 4 GDPR[5]), in questi casi con l’obbligo di pubblicare il provvedimento e comunicarlo al comitato europeo per la protezione dei dati (art.35 p. 6 GDPR[6]) che era Gruppo di lavoro art. 29 o Working Party article 29 (noto anche con l’acronimo WP29), fino al 25 maggio del 2018 (data di entrata in vigore del GDPR) e aveva lo scopo di occuparsi di questioni relative alla protezione della vita privata e dei dati personali, ed è stato sostituito in seguito dal Comitato europeo per la protezione dei dati (art.68 GDPR).

Per specificare nel dettaglio e dare maggiore certezza è intervenuto il provvedimento del Garante per la Protezione dei Dati Personali che con la delibera 11 ottobre 2018, n.467 “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35, paragrafo 4, del regolamento (UE) n. 2016/679”, che ha attuato le indicazioni del WP29 del 2017 fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018.

In questo modo si è stabilito l’obbligo della Valutazione d’impatto-DPIA nei casi in cui ricorrano almeno due di questi criteri anche se il titolare può deciderla anche quando ne ricorra uno solo in funzione delle implicazioni sulla sicurezza:

  • trattamenti valutativi o di scoring, compresa la profilazione;
  • decisioni automatizzate che producono significativi effetti giuridici (es. assunzioni, concessione di prestiti, stipula di assicurazioni);
  • monitoraggio sistematico (es. videosorveglianza);
  • trattamento di dati sensibili, giudiziari o di natura estremamente personale (es. informazioni sulle opinioni politiche);
  • trattamento di dati personali su larga scala;
  • combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per differenti finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene ad esempio con i big data);
  • dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
  • utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es. riconoscimento facciale, devices IOT-Internet Of Things, ecc.);
  • trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es. screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

Casi di esclusione dell’obbligo della DPIA

Lo stesso articolo 35 del Reg. UE 2016/679 GDPR al par. 10[7] stabilisce che la Valutazione d’impatto-DPIA è esclusa quando si verificano contemporaneamente le seguenti condizioni:

  1. Finalità del trattamento di interesse pubblico e specificatamente in uno dei seguenti casi:
    1. per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
    2. per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
  2. Disciplina normativa esplicita della finalità di interesse pubblico contenuta in un atto normativo Europeo o dello Stato membro al quale il titolare del trattamento è soggetto.
  3. Sia già stata eseguita una DPIA nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione della disciplina giuridica di cui al punto precedente.

Il Garante per la Protezione dei Dati Personali, secondo quanto previsto dal Regolamento Europeo (art. 35 p. 5 GDPR[8]), ha stabilito che la Valutazione d’impatto-DPIA non è necessario per i trattamenti che:

  • non presentano rischio elevato per i diritti e le libertà delle persone fisiche;
  • hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata svolta una DPIA;
  • sono stati già sottoposti a verifica da parte di un’autorità di controllo prima del maggio 2018 e le cui condizioni (es. oggetto, finalità, ecc.) non hanno subito modifiche;
  • sono compresi nell’elenco facoltativo del trattamento per i quali non è necessaria provvedere alla DPIA;
  • fanno riferimento a norme o regolamenti, UE o di uno Stato membro, per la cui definizione è stata condotta una DPIA.

Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB) nelle Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video del 29 gennaio 2020, ha ribadito l’esclusione della Valutazione d’impatto-DPIA nei casi di trattamento di dati personali da parte di persone fisiche per finalità esclusivamente personali o domestiche, esulando queste attività dall’ambito di applicazione del RGPD[9].

L’obbligo di DPIA in tutti i casi di videosorveglianza

Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB) il 29 gennaio 2020, che chiariscono in quali termini il Regolamento 2016/679 UE (GDPR) si applichi al trattamento dei dati personali mediante dispositivi video e anche di raccolta di immagini fotografiche, ha ribadito l’obbligo di Valutazione d’impatto-DPIA (EDPB Linee Guida 3/2019 punto 2[10]) in tutti i casi di videosorveglianza di aree pubbliche previsto dall’articolo 35 par. 1 del Regolamento UE 2016/679 GDPR.

Tali linee guida si affiancano al Provvedimento del Garante dell’8 aprile 2010, che è ancora in vigore nelle parti compatibili con il Regolamento 2016/679 UE (GDPR).

Quindi l’obbligo di Valutazione d’impatto-DPIA sussiste ancor prima di bandire la gara per l’installazione di impianti di videosorveglianza da parte degli enti pubblici, poiché, in ossequio al principio della privacy by design (art.25 p. 5 GDPR[11]), la valutazione deve essere preventiva e solo a margine di un favorevole processo di analisi che escluda qualsiasi rischio per le libertà fondamentali dei cittadini e l’utilizzo improprio degli impianti di videosorveglianza si può procedere con la decisione di procedere all’acquisto, all’installazione e all’impiego di qualsiasi sistema di videosorveglianza.

Evidentemente, qualora siano stati installati impianti in violazione della Valutazione d’impatto-DPIA preventiva occorre provvedere urgentemente e, nelle more, si deve spegnere immediatamente l’operatività dell’impianto illegale.

La Valutazione d’impatto-DPIA infine non è da considerare un atto statico, ma è soggetto a verifiche e aggiornamenti periodici.

Poiché la Valutazione d’impatto-DPIA è un compito che richiede non solo grandi competenze tecniche ma anche grande scrupolo e fiducia da parte degli amministratori e dei funzionari dell’Ente pubblico, che non sono mai esonerati da alcuna responsabilità anche laddove la colpa sia imputabile al soggetto che ha fornito la propria opera tecnica per la redazione del documento, occorre affidarsi a dipendenti ovvero a consulenti esterni di grande esperienza.

Videosorveglianza su veicoli e body cam

La vigente disciplina non distingue l’obbligo di Valutazione d’impatto-DPIA in funzione del posizionamento delle telecamere e della struttura tecnica dell’impianto di videosorveglianza.

Quindi l’obbligo di DPIA preventivo sussiste anche nei casi di sistemi di ripresa video installati sui veicoli (dette anche dash cam) o indossate da operatori (dette anche body cam), con le stesse procedure e le stesse sanzioni viste in precedenza.

Ovviamente non si applica questo obbligo nei casi esclusi dall’applicazione della normativa sulla privacy e quindi non sono soggetti all’obbligo di Valutazione d’impatto-DPIA i sistemi di ripresa audiovisivi impiegati esclusivamente ai fini di:

  • indagini penali e, in particolare, in attività di polizia giudiziaria;
  • controllo dell’ordine e della sicurezza pubblica;
  • sicurezza nazionale.

Dette finalità devono essere predefinite sin dall’inizio e conformi alle norme, non si possono quindi considerare come eventuali (ad es. nel caso di attività di PG deve esserci l’apertura preventiva di un fascicolo di indagine con iscrizione nel registro degli indagati e autorizzazione del giudice), altrimenti non viene meno l’obbligo di Valutazione d’impatto-DPIA.

Inoltre la violazione dell’obbligo di DPIA preventiva, a causa della sua illegalità, oltre l’applicazione della sanzione amministrativa per la violazione, comporta la nullità dell’accertamento conseguente alle immagini abusivamente rilevate dall’impianto di videosorveglianza, comunque esso sia avvenuto e quindi anche a mezzo fototrappole e body cam (art. 2-decies d. lgs. 196/2003).

[1] Reg. UE/2016/679 GDPR, art. 83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie) «4. In conformità del paragrafo 2 la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 11 da 25 a 39 42 e 43 […omissis…]».

[2] Reg. UE/2016/679 GDPR, art. 35 (Valutazione d’impatto sulla protezione dei dati) «1.…Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi…».

[3] Reg. UE/2016/679 GDPR, art.35 «1.Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, …».

[4] Reg. UE/2016/679 GDPR, art.35 «3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.».

[5] Reg. UE/2016/679 GDPR, art.35 «4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.».

[6] Reg. UE/2016/679 GDPR, art.35 «6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.».

[7] Reg. UE/2016/679 GDPR, art.35 «10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.».

[8] Reg. UE/2016/679 GDPR, art.35 «5. L”autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.».

[9] EDPB-European Data Protection Board. Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video. Versione 2.0 29 gennaio 2020. Punto 2.3 Deroga relativa alle attività a carattere domestico «11. Ai sensi dell’articolo 2 paragrafo 2 lettera c) il trattamento di dati personali da parte di una persona fisica nel corso di un’attività a carattere esclusivamente personale o domestico che può anche includere attività online esula dall’ambito di applicazione del RGPD.».

[10] EDPB-European Data Protection Board. Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video. Versione 2.0 29 gennaio 2020. Punto 2 Ambito di applicazione «7. La sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi per lo più a scopo di protezione della proprietà o per proteggere la vita e la salute delle persone è divenuta un fenomeno significativo dei nostri giorni. Questa attività comporta la raccolta e la conservazione di informazioni grafiche o audiovisive su tutte le persone che entrano nello spazio monitorato identificabili in base al loro aspetto o ad altri elementi specifici. L’identità di tali persone può essere stabilita sulla base delle informazioni così raccolte. Questo tipo di sorveglianza consente inoltre un ulteriore trattamento dei dati personali per quanto riguarda la presenza e il comportamento delle persone nello spazio considerato. Il rischio potenziale di un uso improprio di tali dati aumenta in rapporto alla dimensione dello spazio monitorato e al numero di persone che lo frequentano. Ciò si riflette nel RGPD all’articolo 35 paragrafo 3 lettera c) che impone l’esecuzione di una valutazione d’impatto sulla protezione dei dati in caso di sorveglianza sistematica su vasta scala di un’area accessibile al pubblico e all’articolo 37 paragrafo 1 lettera b) che impone ai responsabili del trattamento di designare un responsabile della protezione dei dati se la tipologia di trattamento per sua natura richiede il monitoraggio regolare e sistematico degli interessati.».

[11] Reg. UE/2016/679 GDPR, art.25 (Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita) «1. Tenendo conto dello stato dell’arte e dei costi di attuazione nonché della natura dell’ambito di applicazione del contesto e delle finalità del trattamento come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate…omissis…».


Copyright Ethica Societas, Human&Social Science Review © 2022 by Ethica Societas UPLI onlus.
ISSN 2785-602X. Licensed under CC BY-NC 4.0   

Related posts

SANZIONI ACCESSORIE ECCESSIVAMENTE AFFLITTIVE: LA REVOCA DELLA PATENTE (Cassazione 246/2022), Luigi De Simone

@Direttore

LA BLOCKCHAIN COME NUOVA FRONTIERA DELLA SOSTENIBILITÀ TRA TRANSIZIONE ECOLOGICA E ZES, Riccardo Feola e Chiara Salzano

Chiara Salzano

NON SI POSSONO REGISTRARE LE RIUNIONI SINDACALI, Massimiliano Mancini

@Direttore