Con il provvedimento dell’aprile 2010, che ha modificato il precedente del 2004, il Garante per la protezione dei dati personali ha cercato di porre chiarezza interpretativa in merito al tema tanto delicato qual è la quello della videosorveglianza.
A fronte della costante innovazione tecnologica, e crescente invasività della sfera personale, si sentiva infatti la necessità di uno strumento che regolasse, in assenza di un dettato normativo, la vexata questio del bilanciamento dei contrapposti interessi, necessità di controllo sociale /vs tutela della sfera personale – quella individuata già nel 1890 da Warren e Brandeis e definita magistralmente come right to be let alone.
Il diritto a essere lasciati in pace, parafrasando i sopra menzionati autori, non può ovviamente non tener conto della utilità del controllo mediante sistemi di videosorveglianza e i risvolti, suntivamente elencati all’art. 2 del provvedimento, quali protezione e incolumità degli individui, protezione della proprietà, rilevazione e controllo delle infrazioni, acquisizione di prove.
Videosorveglianza e Regolamento Europeo
La dirompente introduzione del Regolamento Europeo 679/2016 ha contribuito a una svolta, si potrebbe definire epocale, rispetto al tema della protezione dei dati personali, che necessariamente ha determinato una grande influenza sul tema che qui stiamo trattando, in ragione del fatto che le immagini oggetto di riprese attraverso i sistemi di videosorveglianza rientrano necessariamente in ciò che l’art. 4 del GDPR definisce quali dati personali.
In considerazione della possibilità di identificazione dei soggetti ripresi dai sistemi di videosorveglianza, cui sottende la evidente necessaria tutela, i titolari dei trattamenti devono porre in essere le attività di pianificazione di tali strumenti nel rispetto di quanto previsto dal Regolamento 679 e del vigente Codice privacy, così come aggiornato con il D.Lgs 101/2018.
Come noto, Il principio generale che permea l’intero impianto regolamentare è quello della accountability, che rappresenta una innovazione legislativa per il nostro continente, e che assegna al titolare del trattamento l’obbligo di adottare tutte le misure adeguate ed efficaci affinché vengano rispettati i dettami di tutela dei dati, ed inoltre sia in grado di dimostrare la conformità delle attività di trattamento con il regolamento medesimo.
Tale principio generale si concretizza con la necessità di pianificazione di minuziose attività, attraverso l’articolazione dei fondamentali elementi di liceità, correttezza, trasparenza e minimizzazione.
Privacy by design e by default
In via generale, i sistemi di videosorveglianza devono essere progettati e impostati –concretizzando in tal modo i principi by design e by default di cui al GDPR – ponendo l’attenzione ad alcuni fondamentali aspetti, quali le finalità sottese al servizio, la dislocazione dei dispositivi, la previsione di inquadratura fissa o dinamica (possibilità di spostare le videocamere e di realizzare ingrandimenti di inquadratura), la possibilità di vincolare l’utilizzo degli apparecchi da remoto solo a determinati incaricati/delegati, la previsione di cancellazione automatizzata delle immagini al termine prefissato dal titolare.
Gli ambiti maggiormente interessati all’utilizzo della videosorveglianza, previsti già dal provvedimento del Garante, sono i controlli presso i luoghi di lavoro, nelle strutture ospedaliere, case di cura, istituti scolastici, e mezzi di trasporto.
Sicuramente, anche alla luce della emergenza sanitaria determinata dalla pandemia Covid-19, la videosorveglianza in ambito sanitario appare particolarmente delicata e soggetta a necessaria attenta valutazione per la messa in opera, in ragione della duplice valenza degli ambiti e tipologia dei dati trattati.
Videosorveglianza nelle strutture sanitarie
Le strutture sanitarie, sempre di più, stanno incrementando il posizionamento di diffusa videosorveglianza e non sfuggirà che le immagini catturate non possano che interessare sia l’ambito relativo alla sorveglianza sul posto del lavoro, che quello attinente ai dati particolari, così come definiti dall’art. 9 GDPR.
Le strutture sanitarie, nella qualità di datore di lavoro relativamente al personale sanitario, infermieristico e amministrativo, hanno la facoltà, riconosciuta anche dal GDPR con l’art. 88 e considerando 155, di adottare la videosorveglianza nell’ambito dei luoghi deputati alle attività lavorative, nel rispetto dell’art. 4 dello Statuto dei lavoratori, in ragione dei due presupposti codificati:
- installazione dell’impianto finalizzato a esigenze organizzative e produttive, oltre alla sicurezza del personale e la tutela dei luoghi;
- necessaria preventiva autorizzazione attraverso l’accordo sindacale, ovvero accordo ottenuto dalla Struttura con l’Ispettorato Nazionale del Lavoro.
Deve essere fatta chiarezza sul fatto che tale tipologia di sorveglianza rivolta ai lavoratori non possa consentire in alcun modo il controllo a distanza dell’attività lavorativa; consolidato infatti è il principio della utilizzabilità delle immagini raccolte quali elementi probatori in ambito di procedimenti disciplinari e contenzioso di natura lavoristica.
Proprio in ragione del bilanciamento degli interessi e dei diritti poc’anzi cennato, e facendo riferimento al principio di limitazione della conservazione di cui all’art. 5 GDPR, le immagini riprese devono essere conservate esclusivamente per un periodo limitato di tempo, e in ogni caso “non superiore al conseguimento delle finalità per le quali esse sono effettuate”.
Conservazione delle immagini
Generalmente la conservazione delle immagini e delle riprese può essere consentita per un periodo non superiore a una settimana, eccezion fatta per particolari esigenze, quali la richiesta dell’autorità giudiziaria ovvero particolari casi espressamente individuati dall’Autorità Garante in ragione della necessità di adeguata sicurezza sociale, quali sono ad esempio i 30 giorni stabiliti per i sistemi installati in zone di parcheggio, 30 giorni per quelli posizionati nei grandi parchi di divertimento, per giungere a 90 giorni per gli impianti dei data center.
Il combinato disposto del provvedimento GPDP del 2010, del GDPR e del Codice Privacy integrato con le modifiche introdotte con il D.Lgs 101/2018 stabilisce l’obbligo per il titolare dei trattamento degli strumenti di videosorveglianza di fornire un’adeguata informativa a tutti gli interessati relativamente alla presenza delle videocamere installate, alla finalità della raccolta delle immagini, alla identità e dati di contatto del titolare del trattamento, ma per fare ciò, vista la palese difficoltà di poter adeguatamente e concretamente fornire una completa informativa in loco, è stata introdotta la particolare facoltà della doppia informativa.
Accanto all’informativa completa ai sensi dell’art. 13 GPDR è infatti consentita l’apposizione di una cosiddetta informativa semplificata, prevista dall’art. 3 del Provvedimento GPDP che stabilisce che gli interessati debbano essere informati sul fatto di trovarsi in una zona videosorvegliata; il Garante ha ritenuto che, proprio in ragione della materiale estrema difficoltà di informare con ampiezza gli interessati presso i luoghi ove sono posizionati gli strumenti di sorveglianza, possano essere utilizzati modelli semplificati che contengano gli elementi “minimi”, predisposti secondo il modello presente nell’allegato n. 1 del provvedimento del 2010.
In buona sostanza, vista la necessità di fornire informazione a tutti gli interessati di trovarsi in zona soggetta a videosorveglianza, il titolare del trattamento ha la possibilità di posizionare cartelli informativi nei pressi di ogni videocamera, in modo da garantire che tale informativa:
- debba essere collocata prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti
- debba avere un formato e un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno
- possa inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificate al fine di informare se le immagini sono solo visionate o anche registrate.
Come dianzi si faceva menzione, le strutture sanitarie (ospedaliere) hanno la facoltà di porre in essere installazioni di videosorveglianza che possano raccogliere immagini che possano ritrarre i pazienti, con la conseguente raccolta dei dati particolari evidenziati all’art. 9 GDPR.
L’art. 4 del Provvedimento 2010 recita infatti che “l’eventuale controllo di ambienti sanitari e il monitoraggio di pazienti ricoverati in particolari reparti o ambienti, stante la natura sensibile di molti dati che possano essere in tal modo raccolti, devono essere limitati ai casi di comprovata indispensabilità, derivante da specifiche esigenze di cura e tutela della salute degli interessati….”
Particolare attenzione deve essere posta dal titolare in ragione del fatto che le immagini che ritraggono i pazienti di determinate aree e reparti all’interno del nosocomio possano rappresentare palesemente la sussistenza di determinate patologie di detti pazienti.
Proprio in ragione della delicatezza cennata, è consentito l’utilizzo di tale tipologia di videosorveglianza solo nei casi in cui essa sia ritenuta indispensabile e finalizzata a una concreta e fattiva esigenza di cura e tutela della salute dei pazienti, ovviamente nel rispetto della riservatezza e dignità dei pazienti medesimi.
Come si accennava in inizio di questo contributo, sta costantemente crescendo il fenomeno della installazione di sistemi di videosorveglianza all’interno di reparti e aree destinate ai pazienti, in ragione di una crescente sensibilizzazione da parte delle strutture a fornire un attento monitoraggio, controllo e tutela dei soggetti sottoposti alle attività cliniche.
Si ricorda peraltro che, proprio in ragione della tutela dei pazienti, è consentita l’installazione degli impianti di videosorveglianza anche all’interno dei bagni, ma solo nei casi di patologie particolarmente gravi che giustifichino quindi la presenza di tale tipologia di controllo.
Ovviamente, proprio in considerazione della particolare delicatezza delle immagini raccolte, le strutture sono obbligate a fornire tutta una serie di garanzie quali:
- l’accesso alle immagini solo a personale specificamente autorizzato
- gli schermi che riproducono le immagini devono essere collocati in luoghi riservati, privi di accesso a persone estranee
- la conservazione delle immagini deve essere limitata temporalmente all’effettiva necessità individuata dal titolare
- la previsione di attente misure di sicurezza tali da impedire la diffusione, manomissione o cancellazione delle immagini
La particolare attenzione volta alla tutela dei soggetti interessati prevede la necessità di effettuazione di un attenta valutazione d’impatto sulla protezione dei dati (DPIA) prevista ai sensi dell’art. 35 GDPR nei casi in cui il trattamento comporti, come è nel caso dei dati poc’anzi riferiti alla videosorveglianza dei pazienti, un rischio elevato per i diritti e le libertà delle persone fisiche.
Il Regolamento Europeo ha inoltre previsto con l’art 36 che il titolare del trattamento sia tenuto a consultare l’Autorità Garante successivamente all’effettuazione della DPIA ove essa manifesti la sussistenza di gravi rischi per i diritti e le libertà delle persone fisiche nonostante la messa in atto di tutte le misure ritenute appropriate al caso di specie; ciò pone evidenza rispetto alla particolare tutela posta all’attenzione di quei dati che la previgente denominazione individuava come sensibili e meritevoli di particolare attenzione.
Difficilmente si può negare che la recente emergenza sanitaria determinata dalla pandemia Covid-19 abbia rappresentato un punto di svolta anche sul fronte della avvertita necessità di installazioni di videosorveglianza sempre più sofisticate da parte delle strutture sanitarie, volte a monitorare lo stato di salute dei pazienti ed avventori all’interno delle strutture medesime, incrementando le finalità, finanche giungendo a integrare il servizio di videosorveglianza “classico” con più evoluti sensori di temperatura corporea; si sta assistendo al riguardo una esponenziale crescita di investimenti nel settore della videosorveglianza, quantificabili nell’ordine di circa 10 miliardi di dollari.
Il dibattito circa il possibile ulteriore incremento della tecnologia applicata ai sistemi di videosorveglianza è estremamente attivo e dinamico, anche in considerazione della tecnologia di riconoscimento facciale utilizzata ai fini di prevenzione/monitoraggio in svariati paesi, con trend in continua crescita e ciò si ritiene potrà trovare terreno fertile anche nel nostro Paese, con risvolti che necessiteranno di attente valutazioni legislative e dispositive da parte dell’Autorità di controllo.