approfondimento dedicato al provvedimento dell’European Data Protection Board n. 3 del mese di luglio 2019, il primo basato sui nuovi principi del Regolamento 679/2016. Sotto i riflettori la consegna a terzi, la diffusione tramite internet e l’utilizzo corretto delle tecnologie biometriche.

Prosegue l’analisi delle linee guida in materia di videosorveglianza diffuse nel mese di luglio dal Comitato Europeo per la protezione dei dati che, al punto 4 del provvedimento, prende in esame la delicata situazione della comunicazione a terzi e della diffusione tramite internet di filmati acquisiti con le telecamere di sorveglianza. Entrambe le attività sono riconducibili alla nozione di trattamento delineata dall’art. 4, co. 2, del GDPR 679/2016.

Per quanto riguarda la consegna a terzi del filmato acquisito dalle telecamere, è importante nella fase di valutazione individuare correttamente la terza parte alla quale viene consegnato il filmato dato che la trasmissione in Paesi extra UE o organizzazioni internazionali è soggetta alle prescrizioni degli articoli 45 e 46 del Regolamento (accordi internazionali, decisione di adeguatezza, norme d’impresa vincolanti, ecc.).

In relazione alla diffusione tramite internet, invece, occorre tenere presente che è sempre necessaria una base giuridica che garantisca la liceità della condotta e che deve essere individuata tra quelle definite dell’art. 6 del Regolamento Europeo.

Per esempio, risulta giustificata la trasmissione a un avvocato delle immagini di un danneggiamento, rilevate dalle telecamere installate in un parcheggio, perché l’azione promossa per ottenere il risarcimento del danno è la logica prosecuzione della finalità di tutela del patrimonio che ha motivato l’installazione dell’impianto di videosorveglianza. Di contro, la diffusione del filmato del danneggiamento tramite un social network, al solo fine di esporre al pubblico ludibrio il malvivente, non è compatibile con le finalità del trattamento.

Con le Forze dell’Ordine collaborare è un obbligo di legge

Un altro argomento spesso dibattuto e per questo preso in esame dalle valutazioni del Comitato è quello della consegna dei filmati delle telecamere alle Forze dell’Ordine, che spesso pone il titolare del trattamento nella delicata posizione di soggetto terzo rispetto al diritto da tutelare.

Il Comitato Europeo ribadisce il principio secondo il quale è un obbligo di legge collaborare con le Forze dell’Ordine e la Magistratura ed è quindi sempre giustificata la cessione dei filmati acquisiti dalle telecamere secondo le norme procedurali che regolano l’attività di indagine della polizia giudiziaria. Per esempio, nel caso di un crimine avvenuto nelle immediate vicinanze di un’azienda che ha un impianto di videosorveglianza posizionato anche all’esterno della recinzione, le Forze dell’Ordine intervenute possono chiedere al titolare di esportare le immagini dalle memorie e consegnarle al fine di utilizzarle nell’instaurando procedimento, poiché la base giuridica del trattamento è in tal caso l’obbligo di legge di cui all’art. 6, lett. c) del GDPR.

Il titolare, infatti, non può opporsi alla richiesta della polizia giudiziaria, la quale, ai sensi dell’art. 354 cpp, potrà procedere al sequestro o intimare al titolare di conservare le immagini fino a nuova disposizione dell’Autorità.

Più delicata è la situazione in cui, attraverso l’analisi delle immagini, il titolare dovesse accorgersi di un crimine perpetrato ai danni di una terza persona e volesse trasmettere di propria iniziativa, alle Forze dell’Ordine, le immagini riprese dalle telecamere. Anche in tal caso, tuttavia, si può correttamente individuare la condizione di liceità del trattamento nella definizione di legittimo interesse del titolare o di terzi, contenuta nell’art. 6, lett. f), del GDPR.

È appena il caso di ricordare che il successivo trattamento da parte delle Forze dell’Ordine non rientrerà nell’ambito di applicazione del GDPR ma in quello della Direttiva UE 680/2016.

Informazioni “collaterali”

Un altro ambito, rispetto al quale il trattamento dei dati acquisiti dalle telecamere di sorveglianza può apparire delicato da valutare, è quello delle informazioni che, indirettamente, si possono trarre dalla grande quantità di immagini che, inevitabilmente, ogni sistema registra quotidianamente, e che possono rientrare nella categoria dei dati particolari di cui all’art. 9 del Regolamento UE 679/2016.

Si può considerare, per esempio, la ripresa di un soggetto in carrozzina o che porta gli occhiali, che potrebbe far pensare a un trattamento di dati particolari ma che, in realtà, non è soggetto a riservatezza accentuata, trattandosi di elementi evidenti, che sono comunque esposti al pubblico. Diversa è la situazione in cui le telecamere riprendono un gruppo di persone che sta parlando di politica o le condizioni di un paziente sottoposto a monitoraggio per motivi di salute. Entrambe le ipotesi rientrano nell’art. 9 del GDPR.

In generale, nell’installare un sistema di videosorveglianza, si dovrebbe sempre procedere a una valutazione dell’ambiente e della possibilità di riprendere anche accidentalmente dati di natura particolare, in base al principio di minimizzazione del trattamento (data protection by default).

Non si dovrebbe riprendere l’ingresso di una chiesa o della sede di un partito politico se non è indispensabile per perseguire la finalità che sta alla base dell’installazione dell’impianto e si dovrebbe comunque valutare la possibilità di mascherare digitalmente l’area che permette di identificare chi entra e chi esce da tali strutture.

Occorre poi valutare la finalità del trattamento rispetto ai diritti dell’interessato, che potrebbero addirittura giustificare le riprese come avviene, per esempio, in ambito sanitario, nel momento in cui è necessario un continuo monitoraggio del paziente per tutelarne la salute e la stessa esistenza in vita e il trattamento rientra pertanto a pieno titolo nella condizione di liceità di cui all’art. 9, co. 2, lett. c) del GDPR.

Titolare e interessato: un bilanciamento delicato

È opportuno anche evidenziare che non tutte le ipotesi di cui all’art. 9 giustificano l’utilizzo della videosorveglianza e che è sempre necessario operare il bilanciamento tra gli interessi del titolare e quelli dell’interessato. Sebbene installato per la tutela del patrimonio e la sicurezza dei lavoratori, un sistema di videosorveglianza non potrà mai essere utilizzato dal datore di lavoro per monitorare l’andamento di uno sciopero all’esterno della fabbrica, poiché i dati potrebbero essere utilizzati surrettiziamente per punire i manifestanti e dedurre la loro appartenenza a una organizzazione sindacale o politica. Eventuali atti di vandalismo o danneggiamenti potranno essere rilevati e puniti a posteriori, fornendo le immagini alle Forze dell’Ordine senza entrare nel merito della partecipazione alla manifestazione da parte di chi non si è macchiato di alcun crimine e ha quindi il diritto di essere presente liberamente, senza subire ritorsioni.

  

L’identificazione biometrica

Uno degli argomenti più dibattuti e delicati degli ultimi tempi, anche per effetto dell’evoluzione dei sistemi di videosorveglianza digitale, capaci di gestire risoluzioni impensabili fino a qualche anno fa e assistiti da software di rilevamento sempre più performanti, è quello della identificazione biometrica degli interessati attraverso l’analisi degli elementi del viso.

È fondamentale che il ricorso a tali tecnologie avvenga nel rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati stabiliti nel GDPR, poiché l’uso di tali tecnologie può essere facilmente distorto e consentire abusi da parte del titolare che deve sempre tenere presente la regola secondo la quale un determinato trattamento è ammesso solo se non ve ne sono di alternativi, meno impattanti sui diritti e sulle libertà dell’interessato, che permettono di perseguire le stesse finalità con pari efficacia.

Un valido esempio può essere fornito con l’impianto di videosorveglianza abbinato al riconoscimento biometrico in due distinte situazioni: il rilevamento delle presenze dei lavoratori in azienda e l’individuazione di criminali in stazioni ferroviarie e aeroporti.

Appare evidente come la finalità di rilevare le presenze per una corretta contabilizzazione dei salari e degli stipendi e per garantire la continuità dell’attività d’impresa possa essere facilmente assolta, con pari efficacia, dall’orologio marcatempo, senza creare un database delle caratteristiche biometriche dei volti degli interessati, che innalzerebbe senza ragione il livello di rischio.

Al contrario, appare più che giustificata l’adozione di un tale sistema di rilevamento negli spazi di aeroporti e stazioni ferroviarie in cui la tempestività dell’intervento delle Forze dell’Ordine, per eventuali controlli a carico di pregiudicati che potrebbero commettere reati gravi o atti terroristici. In tal caso l’obiettivo della tutela dell’incolumità degli utenti e della sicurezza dei trasporti, soprattutto se abbinato a un sistema che scarta automaticamente i rilevamenti che non si abbinano con il database, senza memorizzare le caratteristiche fisiche dei comuni cittadini, appare più che giustificato.

I criteri della definizione

Il provvedimento del comitato europeo chiarisce anche che non è sufficiente la possibile identificazione dell’interessato per richiamare la biometria come elemento di valutazione in negativo del trattamento, poiché per identificazione biometrica si intende il risultato di una specifica tecnica di elaborazione delle “... caratteristiche fisiche, psicologiche o comportamentali dell’individuo...”.

Alla luce degli artt. 4.14 e 9 del GDPR, sono necessari tre criteri per poter parlare di identificazione biometrica:

1) l’individuazione di una o più caratteristiche fisiche, psicologiche o comportamentali dell’interessato;

2) un procedimento tecnico di rilevazione e trattamento di tali caratteristiche;

3) un procedimento di elaborazione del dato (creazione del database o confronto con il database già esistente) che permetta l’identificazione univoca dell’interessato.

L’uso di un sistema di rilevazione biometrica di questo tipo, da parte di un soggetto privato, è sempre subordinato al consenso dell’interessato.

Nell’ipotesi, quindi, di scalo aeroportuale dotato di biglietteria automatica, finalizzata a eliminare le code agli sportelli, basata sull’identificazione biometrica del volto del passeggero, dev’essere previsto un sistema di registrazione che permetta all’interessato di esprimere il proprio consenso al trattamento in modo libero e inequivocabile, e che consenta a chi non ha interesse a utilizzare tale tecnologia di fruire del servizio attraverso canali alternativi che non devono ostacolare l’utente per indurlo ad accettare la rilevazione biometrica come “male minore”, poiché tale costrizione renderebbe invalido il consenso acquisito.

Il principio di adeguatezza

L’adozione di un sistema di rilevazione biometrica comporta, ovviamente, anche il rispetto della condizione di adeguatezza delle misure di sicurezza adottate e del principio di minimizzazione dei dati. I titolari del trattamento devono garantire che i dati estratti da un’immagine digitale per creare un modello non siano eccessivi e contengano solo le informazioni necessarie a perseguire la finalità dichiarata, evitando ogni ulteriore elaborazione. Tra le misure di sicurezza dovrebbe essere garantita la cifratura dei dati o una misura altrettanto efficace per evitare che la diffusione accidentale o la sottrazione dolosa degli stessi possa incidere sui diritti e le libertà degli interessati.

Il Comitato Europeo per la Protezione dei Dati, nel già menzionato provvedimento 3/2019, suggerisce l’adozione delle seguenti misure di sicurezza:

• compartimentare i dati durante la trasmissione e l’archiviazione;

• archiviare modelli biometrici e dati grezzi o dati di identità su database distinti;

• crittografare i dati biometrici, in particolare i modelli biometrici, e definire una politica per la crittografia e la gestione delle chiavi;

• integrare una misura organizzativa e tecnica per il rilevamento delle frodi;

• associare un codice di integrità ai dati (per esempio firma o hash);

• vietare qualsiasi accesso esterno ai dati biometrici.

Il provvedimento n. 3/2019 del Comitato chiarisce anche che la cosiddetta “segmentazione”, cioè l’attività che separa gli utenti per distinguerli in categorie, al fine, per esempio, di ottimizzare i servizi o adeguare la presenza di personale qualificato, non è da considerarsi identificazione biometrica, anche se basata su caratteristiche fisiche degli interessati.