Negli ultimi anni la diffusione delle tecnologie volte al controllo del territorio al fine di scongiurare danni e atti vandalici alle nostre città, abbandono di rifiuti, accessi in aree non consentite e tutti quei contesti che vengono riconosciuti e necessitano di un particolare e costante monitoraggio, hanno portato alla diffusione capillare di impianti di videosorveglianza urbana.
L’evoluzione tecnologica inerente le tipologie di apparati disponibili sul mercato consentono nuove opportunità di controllo e danno la possibilità di rendere più sicure le nostre città.
Naturalmente la progettualità di un impianto di videosorveglianza urbana comporta numerosi passaggi e svariati interlocutori a livello progettuale, burocratico e di gestione. Fondamentale è riuscire a produrre un regolamento comunale efficace che possa, attraverso un’opportuna pubblicità, diffondere alla collettività principi, diritti, metodologie e finalità su cui l’impianto si basa.
Tale documento deve essere inquadrato in maniera ben precisa e sottostare a norme di carattere particolare riguardanti la videosorveglianza e principi più generali in ambito privacy e di tutela dei dati personali quali sono le immagini riprese dalle telecamere.
Quali informazioni deve contenere un regolamento comunale sulla videosorveglianza per poter essere promulgato attraverso una delibera della giunta comunale e opportunamente reso pubblico attraverso i canali ritenuti più opportuni?
Il regolamento comunale sugli impianti di videosorveglianza urbana: principi base
Successivamente a una breve premessa iniziale che enunci le decisioni prese dall’amministrazione comunale di dotare il proprio territorio di un sistema di videosorveglianza è necessario esplicitare nel dettaglio le norme che devono essere contemplate e che sostengono tutto ciò che non è specificatamente contemplato nel regolamento stesso.
Necessario quindi menzionare come base giuridica tutte le normative inerenti la privacy primo tra tutti il GDPR e i relativi decreti legislativi di attuazione. Tra le norme specifiche della videosorveglianza poniamo particolare attenzione al Provvedimento del Garante per la Protezione dei dati personali in materia di videosorveglianza dell’aprile 2010 così come la Direttiva del Ministero dell’Interno n.558 del 2 marzo 2012 denominata “Sistemi di videosorveglianza in ambito comunale”.
La panoramica di norme inerenti la videosorveglianza si è arricchita nell’ultimo anno delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” emanate dall’European Data Protection Board (EDPB) adottate il 29 gennaio 2020. Tali linee guida sono fondamentali perché riescono a connettere i principi cardine del GDPR con le metodologie di ripresa delle immagini e le possibili implicazioni a livello privacy che la gestione delle immagini comporta.
A tal proposito la gestione delle informazioni deve avvenire nel pieno rispetto dell’articolo 5 del GDPR che menziona i principi di liceità, necessità, proporzionalità che sono presupposti inamovibili e che devono stare alla base di qualsiasi trattamento di dati.
Particolare attenzione deve essere posta sulle finalità che l’amministrazione comunale deve ricercare per spiegare nel modo più chiaro possibile ai cittadini le proprie intenzioni. Tra le possibili finalità che possono essere menzionate ricordiamo
a) incrementare la sicurezza urbana e la sicurezza pubblica nonché la percezione delle stesse rilevando situazioni di pericolo e consentendo l’intervento degli operatori;
b) prevenire, accertare e reprimere gli atti delittuosi, le attività illecite e gli episodi di microcriminalità commessi sul territorio comunale e quindi ad assicurare maggiore sicurezza ai cittadini nell’ambito del più ampio concetto di “sicurezza urbana” già richiamato; le informazioni potranno essere condivise con altre forze di Polizia competenti a procedere nei casi di commissione di reati;
c) tutelare gli immobili di proprietà o in gestione dell’Amministrazione Comunale e gli edifici pubblici e a prevenire eventuali atti di vandalismo o danneggiamento;
d) controllare le aree considerate a maggiore rischio per la sicurezza, l’incolumità e l’ordine pubblico;
e) attivare uno strumento operativo di protezione civile sul territorio comunale;
f) ad acquisire elementi probatori in fattispecie di violazioni amministrative o penali;
g) per controllare situazioni di degrado caratterizzate da abbandono di rifiuti su aree pubbliche e accertare l’utilizzo abusivo di aree impiegate come discariche di materiali e di sostanze pericolose;
h) monitorare il rispetto delle disposizioni concernenti modalità, tipologia e orario di deposito dei rifiuti;
Gli obblighi per il titolare del trattamento dei dati
Naturalmente, nell’architettura che gestisce gli impianti di videosorveglianza all’interno dell’area comunale il comune assume l’incarico di titolare del trattamento così come predisposto dal GDPR che riconosce «titolare del trattamento» come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
Il comune sarà quindi il responsabile delle misure tecniche e organizzative adottate per gestire l’impianto di registrazione, sarà l’ente che nominerà attraverso un apposito atto contrattuale i responsabili del trattamento come il manutentore dell’impianto o eventuali società di vigilanza e deciderà le operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione di dati, eseguite in sistemi di trattamento automatizzati e deciderà come le immagini registrate in appositi file di log, possano essere conservare per la durata stabilita nel rispetto del D.Lgs. 18 maggio 2018 n. 51 all’articolo 5, comma 2.
In ossequio al disposto di cui all’art. 35, Paragrafo 3, lett. c), GDPR, qualora il trattamento di dati realizzato mediante il sistema di videosorveglianza comunale dia luogo a una sorveglianza sistematica su larga scala di una zona accessibile al pubblico, il titolare del trattamento procederà a una valutazione di impatto sulla protezione dei dati personali. Parimenti si procederà nei casi in cui, il trattamento di dati realizzato mediante il sistema di videosorveglianza presenti un rischio elevato per i diritti e le libertà delle persone fisiche.
Al fine di completare l’architettura predisposta per la gestione delle immagini il comune dovrà individuare con proprio atto, le persone fisiche incaricate del trattamento dei dati, all’utilizzazione degli impianti e, nei casi in cui risulta indispensabile per gli scopi perseguiti, alla visione delle registrazioni tra le mansioni in carico agli autorizzati al trattamento così come previsto dall’articolo 29 GDPR: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Il trattamento dei dati personali
Un altro argomento importante da considerare all’interno del regolamento comunale sono le modalità di raccolta e di trattamento delle immagini oggetto delle riprese.
L’installazione delle telecamere avviene esclusivamente nei luoghi pubblici (strade, piazze, immobili) in conformità all’elenco dei siti di ripresa predisposto dall’amministrazione.
L’attività di videosorveglianza deve raccogliere solo dati strettamente necessari per il raggiungimento delle finalità perseguite, registrando solo immagini indispensabili, limitando l’angolo di visuale delle riprese, evitando (quando non strettamente indispensabili) immagini dettagliate, ingrandite o dettagli non rilevanti.
La conservazione dei dati e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza è limitata al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici, nonché nel caso in cui si debba aderire ad una specifica richiesta investigativa dell’autorità giudiziaria.
Nelle sole ipotesi in cui l’attività di videosorveglianza sia finalizzata alla tutela della sicurezza urbana, alla luce delle richiamate disposizioni normative, il termine massimo di durata della conservazione dei dati è limitato ai sette giorni successivi alla rilevazione delle immagini raccolte mediante l’uso di sistemi di videosorveglianza, fatte salve specifiche esigenze di ulteriore conservazione.
Gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata; ciò anche nei casi di eventi e in occasione di spettacoli pubblici (es. concerti, manifestazioni sportive).
A tal fine il titolare del trattamento utilizzerà lo stesso modello semplificato di informativa “minima”, indicante il titolare del trattamento e la finalità perseguita, riportato in fac-simile nel Provvedimento in materia di videosorveglianza del Garante per la Protezione dei dati Personali del 08/04/2010.
In relazione al trattamento di dati personali che lo riguardano, l’interessato, in ossequio alle disposizioni di cui agli artt. 15 e ss., GDPR, su presentazione di apposita istanza, ha la facoltà di esigere il rispetto dei propri diritti.
Inoltre, chiunque subisca un danno materiale o immateriale per effetto del trattamento di dati personali, ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento ai sensi delle disposizioni di cui all’art. 82 sempre del GDPR.
Il titolare o il responsabile del trattamento è esonerato dalla responsabilità solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2, GDPR.
Occorre infine precisare che se l’installazione di telecamere avviene su edifici comunali o comunque luoghi ove possono transitare dipendenti comunali che accedono a luoghi ove svolgono la propria attività, l’installazione deve avvenire nel rispetto della Legge 300/1970 “Statuto dei lavoratori” ed ottenere la preventiva autorizzazione dell’INL (Ispettorato Nazionale del Lavoro).
Dpia e verifica del Garante per la videosorveglianza urbana
In riferimento al Provvedimento Generale del Garante riguardante la “verifica preliminare” è ancora previsto che i trattamenti di dati personali nell’ambito di una attività di videosorveglianza debbano essere effettuati rispettando le misure e gli accorgimenti prescritti dal Garante come esito di una verifica preliminare attivata d’ufficio o a seguito di un interpello del titolare (art. 17 del Codice privacy), quando vi sono rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati, in relazione alla natura dei dati o alle modalità di trattamento o agli effetti che può determinare.
Tale principio è garantito ai sensi dell’articolo 35, paragrafo 1, GDPR, ove i responsabili del trattamento sono tenuti a effettuare valutazioni d’impatto sulla protezione dei dati (DPIA) quando un tipo di trattamento dei dati può comportare un rischio elevato per i diritti e le libertà delle persone fisiche. L’articolo 35, paragrafo 3, lettera c), del GDPR stabilisce che i responsabili del trattamento sono tenuti a effettuare valutazioni d’impatto sulla protezione dei dati se il trattamento costituisce un monitoraggio sistematico di un’area accessibile al pubblico su vasta scala. Inoltre, ai sensi dell’articolo 35, paragrafo 3, lettera b), del GDPR, è richiesta una valutazione d’impatto sulla protezione dei dati anche quando il responsabile del trattamento intende trattare categorie speciali di dati su larga scala.
Le linee guida sulla valutazione d’impatto della protezione dei dati forniscono ulteriori consigli ed esempi più dettagliati relativi alla videosorveglianza (ad esempio riguardo all'”uso di un sistema di telecamere per monitorare il comportamento di guida sulle autostrade”). L’articolo 35 (4) GDPR prevede che ogni autorità di controllo pubblichi un elenco dei tipi di trattamenti soggetti a DPIA obbligatoria all’interno del proprio paese. Questi elenchi si trovano di solito sui siti web delle autorità. Dati gli scopi tipici della videosorveglianza (protezione delle persone e dei beni, individuazione, prevenzione e controllo dei reati, raccolta di prove e identificazione biometrica dei sospetti), è ragionevole supporre che molti casi di videosorveglianza richiedano una DPIA. Pertanto, i responsabili del trattamento dei dati dovrebbero consultare attentamente questi documenti per determinare se tale valutazione è necessaria e, se necessario, effettuarla. L’esito della DPIA eseguita dovrebbe determinare la scelta da parte del responsabile del trattamento delle misure di protezione dei dati attuate.
È inoltre importante notare che se i risultati della DPIA indicano che il trattamento comporterebbe un rischio elevato nonostante le misure di sicurezza previste dal responsabile del trattamento, allora sarà necessario consultare l’autorità di controllo competente prima del trattamento.