Molto spesso le Organizzazioni (imprese, enti pubblici, uffici, negozi) sono dotate di un sistema di videosorveglianza allo scopo di tutelare il proprio patrimonio da furti, intrusioni, atti dolosi e atti vandalici. L’Organizzazione infatti provvede alla raccolta, alla registrazione, alla conservazione e all’utilizzo delle immagini.
Allo scopo di progettare e gestire l’impianto di videosorveglianza, l’Organizzazione si deve attenere a quanto stabilito dal provvedimento del Garante dell’8 aprile 2010 e al Regolamento Europeo 2016/679 GDPR.
Gli adempimenti ed i principi da rispettare in questi casi riguardano:
Principio di necessità
l’Organizzazione deve configurare l’intero sistema di videosorveglianza riducendo al minimo l´utilizzazione di dati personali
Principio di proporzionalità
nella scelta delle modalità di ripresa e dislocazione (es. tramite telecamere fisse o brandeggiabili, dotate o meno di zoom), l’Organizzazione può trattare i soli dati pertinenti e non eccedenti rispetto alle finalità perseguite
Informativa
ai fini dell’informazione fornita agli interessati, questi devono essere consapevoli di entrare in una zona videosorvegliata infatti l’Organizzazione deve apporre dei cartelli in posizioni visibili ed illuminate con l’indicazione di “Area Videosorvegliata”. I cartelli devono essere collocati prima del raggio di azione della telecamera. Il titolare deve provvedere ad informare gli interessati anche oralmente.
Verifica preliminare del Garante
il sistema di videosorveglianza non deve comportare uno specifico rischio per i diritti e le libertà fondamentali, nonché per la dignità degli interessati. Tale sistema infatti non deve raccogliere le immagini unitamente ai dati biometrici. Il sistema non deve essere in grado di riconoscere l’identità di un soggetto attraverso il confronto tra le immagini che vengono acquisite e dati biometrici (es. morfologia del volto) precedentemente rilevati. Il sistema di videosorveglianza non deve essere un “sistema intelligente” che adotta software in grado di riconoscere automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. Considerate tutte le caratteristiche sopra riportate il sistema di videosorveglianza non è sottoposto a verifica preliminare del Garante.
Tempo di conservazione
il sistema di videosorveglianza conserva le immagini al massimo per 7 giorni dalla loro acquisizione. Di conseguenza, anche per questo periodo di conservazione non è prevista la verifica preliminare del Garante. Le immagini vengono automaticamente cancellate entro i giorni prestabiliti.
Misure di sicurezza
l’Organizzazione deve considerare i rischi di distruzione, di perdita, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini. A tale riguardo deve adottare specifiche misure tecniche ed organizzative che consentano al titolare di verificare l´attività espletata da parte di chi accede alle immagini o controlla i sistemi di ripresa.
Profili di autorizzazione
l’Organizzazione deve configurare diversi livelli di visibilità e trattamento delle immagini in relazione ai differenti profili di autorizzati oppure responsabili del trattamento che in possesso di credenziali di autenticazione possono effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza.
Limiti di accesso e operatività
Il sistema di videosorveglianzacome sappiamo è configurato per la registrazione e la successiva conservazione delle immagini rilevate. L’Organizzazione deve provvedere a limitare l’accesso in sincronia alle immagini ai soggetti autorizzati e ai responsabili esterni e deve impedire la cancellazione e la duplicazione.
La manutenzione
l’Organizzazione deve stabilire che i soggetti preposti alla manutenzione del sistema che registra le immagini possono operare soltanto in presenza di soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini.
Protezione degli apparati
l’Organizzazione, in relazione agli apparati di ripresa digitali connessi a rete informatica, deve assicurare che tali siano protetti contro i rischi di accesso abusivo.
Trasmissione delle immagini in rete
le immagini riprese dalle telecamere possono essere trasmesse con l’applicazione di tecniche crittografiche che ne garantiscono la riservatezza. Analogamente accade per la trasmissione wireless.
Responsabili e autorizzati
il titolare deve designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate ad accedere ai locali dove sono situate le postazioni di controllo ed accedere alle immagini e a registrare, copiare, cancellare, spostare l´angolo visuale, modificare lo zoom, ecc.). Ciascuna persona deve avere in livello di accesso in corrispondenza delle specifiche mansioni attribuite.
Diritti degli interessati
il titolare deve assicurare agli interessati identificabili l´effettivo esercizio dei propri diritti in conformità al GDPR, in particolare quello di accedere ai dati che li riguardano, di verificare le finalità, le modalità e la logica del trattamento.
Rapporti di lavoro con dipendenti e terzi
l’Organizzazione deve rispettare il divieto di controllo a distanza dell´attività lavorativa. Non devono essere effettuate riprese al fine di verificare l´osservanza dei doveri di diligenza stabiliti per il rispetto dell´orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa.
Le riprese relative alle aree esterne
le riprese effettuate con o senza registrazione delle immagini che il titolare effettua per il controllo delle aree esterne perimetrali (adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), possono essere effettuate con modalità tali da limitare l’angolo visuale alla sola area da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.).