Questo disegno comprende anche l’esecuzione di una valutazione di impatto sulla protezione dei dati, la c.d. DPIA (Data Protection Impact Assessment).
Vediamo come eseguirla validamente.
Indice
- L’obbligo giuridico di eseguire una DPIA sull’attività di videosorveglianza per la sicurezza urbana
- Le Linee Guida dei Garanti Europei
- La descrizione sistematica del trattamento
- La valutazione della necessità e della proporzionalità del trattamento in relazione alle finalità
- La gestione dei rischi per i diritti e le libertà degli interessati
- La fase finale
1. L’obbligo giuridico di eseguire una DPIA sull’attività di videosorveglianza per la sicurezza urbana
L’art. 35 del GDPR stabilisce che il titolare del trattamento, quando deve sviluppare, attraverso l’uso di nuove tecnologie, un trattamento di dati personali che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere al trattamento, deve effettuare una valutazione di impatto, i.e. quella specifica attività nota con l’acronimo DPIA (Data Protection Impact Assessment).
La stessa norma, in particolare, fissa l’obbligo di eseguire una DPIA a carico del titolare che voglia realizzare la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Quindi, non è revocabile in dubbio che, prima di avviare un processo di gestione di un sistema di videosorveglianza per la sicurezza urbana, anzi, auspicabilmente, ancor prima di predisporre il capitolato di appalto per l’acquisto del sistema stesso, è necessario eseguire una DPIA.
2. Le Linee Guida dei Garanti Europei
I Garanti Europei nelle specifiche Linee Guida WP 248 rev.01 chiariscono che:
- per svolgere una DPIA vi sono metodologie diverse, ma criteri comuni;
- spetta al titolare del trattamento scegliere una metodologia che, comunque, deve essere conforme ai criteri fissati nell’allegato 2 alle stesse Linee Guida WP248 rev.01.
Il titolare del trattamento deve quindi pedissequamente seguire le indicazioni fissate in tale allegato 2, per poter sviluppare validamente una DPIA.
Questo allegato descrive 4 fasi di esecuzione della DPIA finalizzate rispettivamente a:
- descrivere sistematicamente il trattamento,
- valutare la necessità e la proporzionalità del trattamento in relazione alle finalità;
- gestire i rischi per i diritti e le libertà degli interessati;
- coinvolgere il DPO ed eventualmente gli interessati.
Si tratta, in sintesi, di 4 fasi di un unico processo che va analiticamente documentato, in quanto costituisce un fondamentale strumento di accountability a disposizione del titolare del trattamento.
Di conseguenza, nel disegnare il processo di gestione della videosorveglianza per la sicurezza urbana bisogna necessariamente seguire il framework di seguito descritto.
3. La descrizione sistematica del trattamento
La prima parte della DPIA va eseguita rispondendo in modo particolareggiato ed approfondito alle seguenti domande:
- Qual è la natura, l’ambito di applicazione, il contesto e la finalità del trattamento?
- Quali sono le tipologie di dati personali trattati?
- Chi sono i destinatari dei dati personali?
- Qual è il periodo di conservazione dei dati raccolti e trattati?
- Come si sviluppa il trattamento? (fornire una descrizione funzionale).
- Quali sono gli «asset» utilizzati per il trattamento dei dati personali (hardware, software, reti, persone, canali cartacei o di trasmissione cartacea)?
- Esiste un codice di condotta approvato?
Potrebbero interessarti anche:
- Comuni e videosorveglianza -come gestirla nel rispetto dei diritti
- Utilizzo di fototrappole e sistemi di videosorveglianza: trattamento dei dati
- L’installazione di un sistema di videosorveglianza per la verifica delle modalità di smaltimento dei rifiuti viola la normativa privacy se non è stata resa l’informativa ai cittadini
4. La valutazione della necessità e della proporzionalità del trattamento in relazione alle finalità
Nella seconda parte di predisposizione della DPIA, il titolare del trattamento è chiamato a rispondere alle domande chiave (c.d.“key questions”) di seguito specificate.
Prima domanda chiave: gli scopi del trattamento sono determinati, espliciti e legittimi ?
L’aggettivo “legittimi” riferito agli scopi impone di individuare le norme dell’Ordinamento Eurounitario o Nazionale che li preveda.
Quindi bisogna chiedersi se vi è una norma del diritto nazionale che, in modo diretto o mediato, attribuisca al Comune la legittimazione a perseguire la finalità di videosorvegliare una parte del territorio per tutelare la sicurezza urbana.
Invero, l’art. 6, comma 7 del D. L. n. 11/2009 convertito in Legge n. 38/2009, sancisce che proprio “per la tutela della sicurezza urbana”, i comuni possono utilizzare sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico. Inoltre l’art. 4 del D.L.14/2017 convertito in Legge 48/2017 chiarisce che “si intende per sicurezza urbana il bene pubblico che afferisce alla vivibilità e al decoro delle città, da perseguire anche attraverso [….] la prevenzione della criminalità, in particolare di tipo predatorio”.
Nel documento che descrive le attività poste in essere per sviluppare la DPIA andrà quindi esplicitata la finalità che, oltre ad essere determinata, è certamente legittima perché prevista dalle norme richiamate.
Seconda domanda chiave: quali sono le basi giuridiche che rendono lecito il trattamento?
I presupposti che rendono lecito un trattamento sono stabiliti dall’art. 6 del GDPR. Quello che interessa ai fini della videosorveglianza per la sicurezza urbana è indicato alla lettera e), ed è l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, che, in base all’art. 6, par.3 del GDPR, deve essere indicato da una norma Eurounitaria o nazionale.
La norma nazionale che autorizza i Comuni ad eseguire attività di videosorveglianza, è la stessa che pone la finalità, i.e. il citato art. 6 comma 7, laddove precisa che “i Comuni possono utilizzare sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico”.
Terza domanda chiave: i dati raccolti sono adeguati, pertinenti e limitati a quanto è necessario in relazione alle finalità per cui sono trattati?
Secondo il principio di minimizzazione dei dati, che include anche i principi di necessità e proporzionalità, bisogna verificare se, per realizzare questa finalità sia proprio necessario trattare dati personali dei cittadini in modo massivo tramite il sistema di videosorveglianza.
Al riguardo, Il Considerando 26 della Direttiva 2016/680 (la c.d. LED: Law Enforcement Directive) stabilisce che “i dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi”. Lo stesso principio è contenuto nel Provvedimento del Garante in materia di videosorveglianza dell’8 aprile 2010 [Doc. Web 1712680] ove si prevede che l´utilizzo di sistemi di videosorveglianza è lecito se risultano inefficaci o inattuabili altre misure.
ATTENZIONE: Questo è il punto centrale di tutto il design del trattamento. Bisogna argomentare bene e far comprendere che non è possibile far ricorso ad alternative meno impattanti, quali ad esempio servizi di appostamento del personale di polizia o sistemi di allarme nell’area del territorio che si deve sorvegliare.
Quarta domanda chiave: qual è il periodo di conservazione dei dati ?
Per la finalità da realizzare con il sistema di videosorveglianza per la sicurezza urbana, sempre il D.L. 11/2009 offre un’indicazione chiara, laddove l’art.6, comma 8 stabilisce che “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione.”
Circa il prolungamento di tali tempistiche, questo è possibile in alcuni casi, e.g. dietro richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad un’attività investigativa in corso.
Quinta domanda chiave: il trattamento che si sta progettando è corretto e trasparente?
Il punto 110 delle Linee Guida EDPB 3/2019 stabilisce che la normativa europea in materia di protezione dei dati dispone da tempo che gli interessati debbano essere consapevoli del fatto che è in funzione un sistema di videosorveglianza; i.e. essi dovrebbero essere informati in modo dettagliato sui luoghi sorvegliati.
Bisogna quindi verificare se sono state previste le informative i.e. un’adeguata cartellonistica che renda consapevoli i cittadini di dove sono ubicate le videocamere, e di tutte le informazioni relative al trattamento circa “chi”, “come”, “perché” e “per quanto tempo” tratta le immagini.
Il punto 111 delle citate Linee Guida prevede che, alla luce della quantità di informazioni da fornire all’interessato, i titolari del trattamento possono seguire un approccio scalare, optando per una combinazione di metodi al fine di assicurare la trasparenza (WP260, punto 35; WP89, punto 22).
Quindi il titolare del trattamento, anche in linea con le indicazioni del Garante (vds. provv. GPDP n. 214 del 9 giugno 2022 [doc. web n. 9794895]), deve:
- rendere l’informativa “di primo livello”, mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza;
- fornire anche “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del GDPR ed essere facilmente accessibili per l’interessato.
5. La Gestione dei rischi per i diritti e le libertà degli interessati
E’ questa è la fase più complessa della DPIA che necessita di specifica conoscenza ed abilità (knowledge & skill) del valutatore. Pertanto, è auspicabile ed opportuno che il titolare del trattamento, che non disponga di personale dipendente appositamente formato e competente, si rivolga a consulenti privacy professionisti.
In questa fase devono essere determinate, dalla prospettiva degli interessati, l’origine, la natura, la particolarità e la gravità dei rischi e, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati). Vanno quindi considerate, in modo distinto, diacronicamente, 3 diverse dimensioni del rischio: perdita di riservatezza, perdita di integrità e perdita di disponibilità.
In particolare il titolare dovrà:
- individuare le fonti di rischio;
- comprendere e valutare l’impatto potenziale per i diritti e le libertà degli interessati in caso di eventi che includono l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati (che possono comportare quindi perdita di riservatezza, di integrità e di disponibilità);
- definire possibili minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati nonchè valutare la loro probabilità (probabilità di occorrenza della minaccia);
- valutare quindi il rischio – combinando l’impatto e la probabilità di accadimento della minaccia;
- determinare le misure previste per gestire tali rischi.
In linea con quanto stabilito dal Considerando 76 del GDPR, il rischio dovrà essere comunque considerato in base a una valutazione oggettiva, i.e. una valutazione che porti delle evidenze misurabili e non sia il risultato di processi sviluppati sulla base di una visione soggettiva del valutatore.
6. La fase finale
Il titolare del trattamento che esegue la DPIA, al termine del processo di valutazione, deve comunque consultarsi con il proprio DPO e, se del caso, deve raccogliere le opinioni degli interessati e dei loro rappresentanti.
Inoltre va sempre tenuto presente che come precisato al Paragrafo III, D, a) delle citate Linee Guida WP 248 rev. 01, la DPIA non è un esercizio “una tantum”, ma un processo continuo, soprattutto quando un trattamento è dinamico ed è soggetto a variazioni continue.
Volume consigliato
Compendio breve sulla privacy
L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.
Jean Louis a Beccara | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento