Lo strumento delle FAQ è sempre più utilizzato dalle authority per fornire supporto nell’interpretazione delle norme di legge e regolamentari. Difficilmente inseribili nella gerarchia delle fonti, sono ormai diffuse in molti settori del diritto.
Le FAQ in commento non possono essere ritenute vincolanti, tuttavia permettono ad enti ed aziende di conoscere anticipatamente i criteri interpretativi che i funzionari dell'Autorità Garante probabilmente utilizzeranno nel valutare la conformità dei trattamenti di dati personali in sede ispettiva.
Le FAQ sulla Videosorveglianza non presentano particolari novità, tuttavia offrono lo spunto ad alcune riflessioni.
I termini di conservazione delle immagini
Con le FAQ diventa finalmente chiaro a tutti che non sono più vincolanti i termini massimi di conservazione delle immagini fissati dal Garante con il provvedimento del 2010.
Come peraltro era già ben noto agli addetti ai lavori, compete esclusivamente al Titolare del trattamento la definizione dei tempi di conservazione delle immagini. Nel rispetto del principio di accountability, il Titolare dovrà essere in grado di documentare il processo decisionale, a partire dalle motivazioni, che lo hanno portato a stabilire il tempo di conservazione delle immagini, così come ogni altra caratteristica del sistema di videosorveglianza installato.
il Garante tuttavia non rinuncia a raccomandare la prosecuzione del rispetto dei termini che la stessa autorità aveva definito con il provvedimento citato, rispettivamente 24 e 72 ore. Appare chiaro che in caso di ispezione l'Autorità si attenda che il Titolare abbia continuato ad aderirvi in base ad una propria, autonoma, valutazione di adeguatezza.
I termini indicati però possono non essere adeguati in molti casi, per svariate esigenze e motivazioni sia tecniche che organizzative. In termini squisitamente operativi, la nostra raccomandazione è di predisporre in ogni caso un'accurata documentazione descrittiva dei principali parametri dei sistemi di videosorveglianza, avendo cura di motivare in modo particolarmente approfondito l'eventuale scelta di conservare le immagini per un periodo superiore a quello suggerito dall’Autorità Garante. Oltre a contribuire alla creazione di una memoria storica delle scelte effettuate con le relative motivazioni, sarà di grande aiuto in caso di richiesta informazioni o ispezione da parte dell'Autorità.
Videosorveglianza e Valutazione di impatto
È interessante notare che l’Autorità non ha ritenuto di utilizzare le FAQ per chiarire se la Valutazione di impatto ex art. 35 GDPR è obbligatoria in tutti i casi di videosorveglianza nelle sedi di lavoro; sia nella FAQ 7 che nella FAQ 9 non v’è traccia dell’obbligo. Riteniamo che ciò rappresenti l’esito di una scelta, a parziale rideterminazione del perimetro definito con il Provvedimento n. 467/2018, punto 5 dell’Allegato.
Andrà quindi eseguita una valutazione, caso per caso, sulle caratteristiche dell’impianto che il Titolare del trattamento intende installare; per le configurazioni più semplici, prive di particolari soluzioni tecnologiche innovative o di sistemi di analisi intelligente delle immagini, il Titolare potrà non eseguire la Valutazione di impatto.
Rimane comunque fermo l’obbligo di addivenire all’accordo con le rappresentanze dei lavoratori o, in mancanza di accordo, di ottenere l’autorizzazione dell’Ispettorato del Lavoro (art. 4, Legge n. 300/1970).
Cartelli informativi
Sembra rendersi necessario sostituire tutti i cartelli informativi sulla videosorveglianza, ormai diffusi pressoché ovunque e fino ad ora predisposti sulla base del provvedimento pubblicato dal Garante nel 2010.
L’Autorità oggi rinvia al formato proposto dall’European Data Protection Board o EDPB, il Comitato Europeo per la Protezione dei Dati di cui lo stesso Garante è componente; il nuovo cartello dovrà contenere più informazioni, come peraltro già prescritto dalle Linee guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, Versione 2.0, adottate il 29 gennaio 2020 dall’EDPB e disponibili qui. In tema di cartellonistica, il Comitato prescrive che il nuovo formato contenga informazioni circa: “…le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento. Si può fare riferimento, ad esempio, ai legittimi interessi perseguiti dal titolare (o da un soggetto terzo) e ai recapiti del responsabile della protezione dei dati (se applicabile). Occorre anche fare riferimento alle informazioni di secondo livello, più dettagliate, indicando dove e come trovarle. Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi)”.
Non può tacersi la perplessità sulla scelta di imporre la sostituzione dei cartelli fino ad oggi utilizzati da ogni ente o azienda. L’arricchimento di informazioni, pur importanti, rischia di non assicurare all’interessato alcun vantaggio; salvo che da pochi addetti ai lavori, ci appare difficile immaginare che i cartelli ricchi di testo descrittivo possano essere letti con interesse da parte dei soggetti che si apprestano ad entrare in un’area videosorvegliata. Il rischio “boomerang” è evidente e i banner cookies costituiscono un chiaro precedente: disposizioni eccessivamente formalistiche rischiano di allontanare gli interessati dalla percezione dell’importanza della normativa data protection e di rappresentare per enti ed aziende un mero aumento di costi.
Torna alle news