Comuni e videosorveglianza -come gestirla nel rispetto dei diritti

La videosorveglianza per la sicurezza urbana va necessariamente gestita nel rispetto dei diritti e delle libertà fondamentali dei cittadini 

Da qualche anno, sempre più spesso si ha notizia di rilevanti fondi statali posti a disposizione dei Comuni per implementare sistemi di videosorveglianza funzionali alla prevenzione ed al contrasto dei fenomeni di criminalità diffusa e predatoria.

Bisogna però considerare che questi sistemi di videosorveglianza, che sono strumenti certamente molto utili per garantire la sicurezza urbana, possono portare più danni che vantaggi alle Amministrazioni locali se non sono gestiti secondo modalità rispettose delle norme Eurounitarie poste a protezione dei diritti e delle libertà fondamentali delle persone fisiche e, in particolare del diritto alla protezione dei dati personali.

Vediamo perché.

     Indice

  1. La videosorveglianza utile strumento per la prevenzione ed il contrasto dei fenomeni di criminalità diffusa e predatoria
  2. Le possibili sfavorevoli conseguenze di una gestione “non compliant” dei sistemi di videosorveglianza
  3. Come disegnare un processo di gestione della videosorveglianza “compliant” alla normativa privacy/data Protection

1. La videosorveglianza utile strumento per la prevenzione ed il contrasto dei fenomeni di criminalità diffusa e predatoria

Il D.L. 14/2017 convertito in Legge 48/2017 ha introdotto nell’Ordinamento Nazionale un corpus normativo volto, tra l’altro, a realizzare la prevenzione ed il contrasto dei fenomeni di criminalità diffusa e predatoria, anche attraverso l’installazione di sistemi di videosorveglianza da parte dei Comuni a favore dei quali è stato anche previsto lo stanziamento di speciali fondi. In tale quadro, recentemente il Ministero dell’Interno ha messo a disposizione di alcuni Comuni dell’Italia meridionale 30 milioni di euro reperiti nell’ambito del Programma Operativo Complementare “Legalità” 2014 – 2020 (c.d. POC “Legalità”) per realizzare impianti di videosorveglianza integrata.

E’, questa, l’ultima di varie iniziative volte a dotare le Amministrazioni locali di risorse adeguate per garantire la sicurezza urbana, i.e. il bene pubblico che afferisce alla vivibilità e al decoro delle città, da perseguire anche attraverso la prevenzione della criminalità, in particolare di tipo predatorio.

Bisogna però tenere ben presente che la scelta, l’acquisto ed il conseguente processo di gestione di questi sistemi, che non siano pienamente rispettosi dei principi in materia di protezione dei dati personali potrebbero comportare rilevanti danni e problemi per le Amministrazioni locali.

2. Le possibili sfavorevoli conseguenze di una gestione “non compliant” dei sistemi di videosorveglianza

Per comprendere quanto inopportuna e svantaggiosa sia una gestione “non compliant” dei sistemi di videosorveglianza è utile focalizzare l’attenzione su una particolare norma del Codice Privacy novellato, l’art. 2 decies il quale stabilisce che i dati personali trattati in violazione della normativa privacy/data protection non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis.

Invero, l’art. 160 bis del codice della privacy, che è l’eccezione a questa regola, stabilisce che nel procedimento giudiziario (i.e. nel procedimento penale o civile) – ATTENZIONE: non nel procedimento amministrativo – la validità, l’efficacia e l’utilizzabilità dei dati personali trattati in violazione della normativa privacy/data protection restano disciplinate dalle norme processuali di quegli ecosistemi.

Da questa semplice regola è agevole indurre che i Comuni che basino una o più contestazioni di illecito amministrativo su dati personali raccolti attraverso l’uso non conforme di un sistema di videosorveglianza, saranno esposti:

  1. non solo a pesanti sanzioni amministrative pecuniarie che potrebbero essere irrogate dal Garante della Privacy,
  2. ma anche, – circostanza forse ancor più dannosa –, ad un annullamento, con un effetto valanga, dei vari procedimenti sanzionatori attivati sulla base del citato trattamento illecito di dati personali.

Potrebbero interessarti anche:


3. Come disegnare un processo di gestione della videosorveglianza “compliant” alla normativa privacy/data Protection

Sulla base di quanto evidenziato, non è revocabile in dubbio che le immagini, rectius, i dati personali, raccolti tramite i sistemi di videosorveglianza, debbano necessariamente essere trattati in modo conforme alla normativa privacy.

Vediamo allora, sinteticamente, come disegnare un adeguato processo di gestione di detti sistemi.

L’art. 22, comma 1 del D.Lgs. 101/2018 che ha novellato il codice della privacy ed ha reso compatibili le norme privacy nazionali con quelle eurounitarie ha fissato un importantissimo principio:

tutte le disposizioni dell’ordinamento nazionale in materia di privacy si interpretano e si applicano alla luce della disciplina dell’Unione europea.

Quindi, un’Amministrazione locale, ogni volta che è chiamata a progettare e disciplinare un’attività di trattamento di dati personali, deve primariamente fare riferimento alla normativa Eurounitaria che è fondamentale nel senso che costituisce le fondamenta dell’intero ecosistema privacy. Tutte le norme nazionali possono quindi essere applicate solo se ed in quanto compatibili con detta normativa, altrimenti devono essere disapplicate.

La normativa eurounitaria di interesse è diversa a seconda della finalità che il Comune intende realizzare. Se la finalità è quella di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali si dovrà applicare il D.Lgs. 51/2018l che ha recepito la Direttiva UE 2016/680 nota anche con l’acronimo LED (Law Enforcement Directive). Per ogni altra diversa finalità dovrà essere applicato il Regolamento UE 2016/679, noto con l’acronimo GDPR (General Data Protection Regulation).

Seppure le normative eurounitarie di riferimento siano distinte, i principi in materia di protezione dei dati personali, sui quali bisogna fondare il design dei processi di gestione della videosorveglianza, sono gli stessi.

Dopo aver individuato il corpus normativo, si dovrà applicare il principio di privacy by design fissato dall’art. 25 del GDPR e dall’art. 16 del D.Lgs. 51/2018.

In pratica, il Comune, sia al momento di determinare i mezzi del trattamento (i.e. quando decide di installare un impianto di videosorveglianza) sia all’atto del trattamento stesso (i.e. al momento dell’implementazione dello stesso sistema) dovrebbe progettare il processo di gestione della videosorveglianza allineandolo ai principi di protezione dei dati. Questi principi sono fissati dall’art. 5 del GDPR e dall’art. 3 del D.Lgs. 51/2018.

Il design di tale processo dovrà quindi prevedere che:

  1. gli scopi del trattamento siano determinati, espliciti e legittimi;
  2. le basi giuridiche che rendono lecito il trattamento siano state correttamente individuate;
  3. sia stato definito il periodo di conservazione dei dati;
  4. i dati da raccogliere e trattare siano:
  5. adeguati, pertinenti e limitati a quanto è necessario in relazione agli scopi del trattamento
  6. esatti e, se necessario, aggiornati;
  7. trattati in una cornice di sicurezza che garantisca integrità e riservatezza.

Ma tutto questo non basta! Per realizzare la compliance occorre un adempimento ulteriore. Bisogna eseguire una valutazione di impatto sulla protezione dei dati (la c.d DPIA: Data Protection Impact Assessment).

Si tratta di uno specifico processo che il Comune dovrebbe sviluppare ancor prima di predisporre il capitolato di appalto per l’acquisto del sistema di videosorveglianza.

Infatti l’art. 35 GDPR stabilisce che il titolare quando deve eseguire un trattamento che prevede l’uso di nuove tecnologie e che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere al trattamento, deve effettuare una valutazione di impatto.

Il comma 3 dello stesso art. 35 individua in particolare anche 3 categorie di trattamenti per i quali sussiste l’obbligo di eseguire una DPIA:

  1. la profilazione,
  2. il trattamento su larga scala di dati personali di particolare natura (i.e. quelli che una volta erano definiti dati sensibili);
  3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Quindi prima di avviare un processo di gestione di un sistema di videosorveglianza – ATTENZIONE: prima e non dopo – bisogna eseguire una DPIA.

Per sviluppare correttamente una DPIA è necessario seguire pedissequamente le indicazioni fissate nell’allegato 2 delle Linee Guida dei Garanti Europei contrassegnate dalla sigla WP248 rev.01.

Questo allegato descrive 4 fasi di esecuzione della DPIA:

  1. la prima è finalizzate a descrivere sistematicamente il trattamento,
  2. la seconda a valutare la necessità e la proporzionalità del trattamento in relazione alle finalità;
  3. la terza è volta a gestire i rischi per i diritti e le libertà degli interessati;
  4. la quarta riguarda il coinvolgimento del DPO ed eventualmente degli interessati.

Volume consigliato

Compendio breve sulla privacy

L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.

Jean Louis a Beccara | 2021 Maggioli Editore

Giuseppe Alverone

Scrivi un commento

Accedi per poter inserire un commento