Ricerca personalizzata

3. ADEMPIMENTI

3.1. Informativa
Gli interessati devono essere informati che stanno per accedere o che si trovano in una zona videosorvegliata e dell’eventuale registrazione; ciò anche nei casi di eventi e in occasione di spettacoli pubblici (concerti, manifestazioni sportive) o di attività pubblicitarie (attraverso web cam).

L’informativa deve fornire gli elementi previsti dal Codice (art. 13) anche con formule sintetiche, ma chiare e senza ambiguità.

Tuttavia il Garante ha individuato ai sensi dell’art. 13, comma 3, del Codice un modello semplificato di informativa "minima", riportato in fac-simile in allegato al presente provvedimento e che può essere utilizzato in particolare in aree esterne, fuori dei casi di verifica preliminare indicati nel punto successivo. Il modello è ovviamente adattabile a varie circostanze. In presenza di più telecamere, in relazione alla vastità dell’area e alle modalità delle riprese, vanno installati più cartelli.

In luoghi diversi dalle aree esterne il modello va integrato con almeno un avviso circostanziato che riporti gli elementi del predetto art. 13 con particolare riguardo alle finalità e all’eventuale conservazione.

Il supporto con l’informativa:

  • deve essere collocato nei luoghi ripresi o nelle immediate vicinanze, non necessariamente a contatto con la telecamera;
  • deve avere un formato ed un posizionamento tale da essere chiaramente visibile;
  • può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati se le immagini sono solo visionate o anche registrate.

3.2. Prescrizioni specifiche

3.2.1. Verifica preliminare
I trattamenti di dati personali nell’ambito di una attività di videosorveglianza devono essere effettuati rispettando le misure e gli accorgimenti prescritti da questa Autorità, anche con un provvedimento generale, come esito di una verifica preliminare attivata d’ufficio o a seguito di un interpello del titolare (art. 17 del Codice), quando vi sono rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati.

A questo fine, con il presente provvedimento il Garante prescrive a tutti i titolari del trattamento, quale misura opportuna per favorire il rispetto delle previsioni di legge (art. 143, comma 1, lett. c), del Codice), di sottoporre alla verifica preliminare di questa Autorità (anche in tal caso, con eventuali provvedimenti di carattere generale) i sistemi di videosorveglianza che prevedono una raccolta delle immagini collegata e/o incrociata e/o confrontata con altri particolari dati personali (ad es. biometrici), oppure con codici identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce.

La verifica preliminare del Garante occorre anche in caso di digitalizzazione o indicizzazione delle immagini (che rendono possibile una ricerca automatizzata o nominativa) e in caso di videosorveglianza c.d. dinamico-preventiva che non si limiti a riprendere staticamente un luogo, ma rilevi percorsi o caratteristiche fisionomiche (es. riconoscimento facciale) o eventi improvvisi, oppure comportamenti anche non previamente classificati.

3.2.2. Autorizzazioni
I predetti trattamenti devono essere autorizzati preventivamente dal Garante, anche attraverso autorizzazioni generali, quando riguardano dati sensibili o giudiziari, ad esempio in caso di riprese di persone malate o di detenuti (artt. 26 e 27 del Codice).

3.2.3. Altri esami preventivi
Non devono essere sottoposti all’esame preventivo del Garante, a meno che l’Autorità lo abbia disposto, i trattamenti di dati a mezzo videosorveglianza, fuori dei casi indicati nei precedenti punti 3.2.1. e 3.2.2. Non può desumersi alcuna approvazione implicita dal semplice inoltro al Garante di documenti relativi a progetti di videosorveglianza (spesso generici e non valutabili a distanza) cui non segua un esplicito riscontro dell’Autorità, in quanto non si applica il principio del silenzio/assenso.

3.2.4. Notificazione
Gli stessi trattamenti devono essere notificati al Garante solo se rientrano in casi specificamente previsti (art. 37 del Codice). A tale riguardo l’Autorità ha disposto che non vanno comunque notificati i trattamenti relativi a comportamenti illeciti o fraudolenti, quando riguardano immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio (provv. n. 1/2004 del 31 marzo 2004, in G.U. 6 aprile 2004, n. 81 e in www.garanteprivacy.it; v. anche, sullo stesso sito, i chiarimenti forniti con nota n. 9654/33365 del 23 aprile 2004 relativamente alla posizione geografica delle persone).

3.3. Soggetti preposti e misure di sicurezza

3.3.1. Responsabili e incaricati
Si devono designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate ad utilizzare gli impianti e, nei casi in cui è indispensabile per gli scopi perseguiti, a visionare le registrazioni (art. 30 del Codice). Deve trattarsi di un numero molto ristretto di soggetti, in particolare quando ci si avvale di una collaborazione esterna.

Vanno osservate le regole ordinarie anche per ciò che attiene all’eventuale designazione di responsabili del trattamento, avendo particolare cura al caso in cui il titolare si avvalga di un organismo esterno anche di vigilanza privata (art. 29 del Codice).

La designazione di eventuali responsabili ed incaricati "esterni" può essere effettuata solo se l’organismo esterno svolge prestazioni strumentali e subordinate alle scelte del titolare del trattamento. Questo non deve, ovviamente, essere un espediente per eludere la normativa in materia di protezione dei dati personali, come può accadere, per esempio, nel caso in cui la designazione dell’incaricato "esterno" mascheri una comunicazione di dati a terzi senza consenso degli interessati, oppure nel caso di diversità o incompatibilità tra le finalità perseguite dai soggetti che si scambiano i dati.

Quando i dati vengono conservati - naturalmente per un tempo limitato in applicazione del principio di proporzionalità - devono essere previsti diversi livelli di accesso al sistema e di utilizzo delle informazioni, avendo riguardo anche ad eventuali interventi per esigenze di manutenzione. Occorre prevenire possibili abusi attraverso opportune misure basate in particolare su una "doppia chiave" fisica o logica che consentano una immediata ed integrale visione delle immagini solo in caso di necessità (da parte di addetti alla manutenzione o per l’estrazione dei dati ai fini della difesa di un diritto o del riscontro ad una istanza di accesso, oppure per assistere la competente autorità giudiziaria o di polizia giudiziaria). Va infatti tenuto conto che l’accessibilità regolamentata alle immagini registrate da parte degli addetti è fattore di sicurezza.

Sono infine opportune iniziative periodiche di formazione degli incaricati sui doveri, sulle garanzie e sulle responsabilità, sia all’atto dell’introduzione del sistema di videosorveglianza, sia in sede di modifiche delle modalità di utilizzo (cfr. Allegato B) al Codice, regola n. 19.6).


3.3.2. Misure di sicurezza
I dati devono essere protetti da idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, perdita, anche accidentale, di accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta (art. 31 del Codice).

Alcune misure, c.d. "misure minime", sono obbligatorie anche sul piano penale. Il titolare del trattamento che si avvale di un soggetto esterno deve ricevere dall’installatore una descrizione scritta dell’intervento effettuato che ne attesti la conformità alle regole in materia (artt. 33-36 e 169, nonché Allegato B) del Codice, in particolare punto 25; v. anche i chiarimenti forniti con nota n. 6588/31884 del 22 marzo 2004, in www.garanteprivacy.it).

3.4. Durata dell’eventuale conservazione

In applicazione del principio di proporzionalità (v. anche art. 11, comma 1, lett. e), del Codice), anche l’eventuale conservazione temporanea dei dati deve essere commisurata al grado di indispensabilità e per il solo tempo necessario - e predeterminato - a raggiungere la finalità perseguita.

La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria.

Solo in alcuni specifici casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell’attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l’esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), è ammesso un tempo più ampio di conservazione dei dati, che non può comunque superare la settimana.

Un eventuale allungamento dei tempi di conservazione deve essere valutato come eccezionale e comunque in relazione alla necessità derivante da un evento già accaduto o realmente incombente, oppure alla necessità di custodire o consegnare una copia specificamente richiesta dall’autorità giudiziaria o di polizia giudiziaria in relazione ad un’attività investigativa in corso.

Il sistema impiegato deve essere programmato in modo da operare al momento prefissato - ove tecnicamente possibile - la cancellazione automatica da ogni supporto, anche mediante sovra-registrazione, con modalità tali da rendere non riutilizzabili i dati cancellati.

3.5. Documentazione delle scelte
Le ragioni delle scelte, cui si è fatto richiamo, devono essere adeguatamente documentate in un atto autonomo conservato presso il titolare e il responsabile del trattamento e ciò anche ai fini dell’eventuale esibizione in occasione di visite ispettive, oppure dell’esercizio dei diritti dell’interessato o di contenzioso.

3.6. Diritti degli interessati
Deve essere assicurato agli interessati identificabili l’effettivo esercizio dei propri diritti in conformità al Codice, in particolare quello di accedere ai dati che li riguardano, di verificare le finalità, le modalità e la logica del trattamento e di ottenere l’interruzione di un trattamento illecito, in specie quando non sono adottate idonee misure di sicurezza o il sistema è utilizzato da persone non debitamente autorizzate (art. 7 del Codice).

La risposta ad una richiesta di accesso a dati conservati deve riguardare tutti quelli attinenti alla persona istante identificabile e può comprendere eventuali dati riferiti a terzi solo nei limiti previsti dal Codice (art. 10, commi 3 s., del Codice). A tal fine può essere opportuno che la verifica dell’identità del richiedente avvenga mediante esibizione o allegazione di un documento di riconoscimento che evidenzi un’immagine riconoscibile dell’interessato.

Il nostro sito usa i cookies per migliorare l'esperienza di navigazione. Proseguendo con la navigazione accetti l'utilizzo dei cookie da questo sito.