La normativa vigente (artt. 3 e 6 del Regolamento UE n. 2016/679 o GDPR; art. 2-ter del D.Lgs. n. 196/2003; par. 41 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video) riconosce la legittimità del trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici, laddove sia necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri. Eppure, ferma la generale legittimità di principio, la Pubblica Amministrazione è in ogni caso tenuta a rispettare, anche in questi casi, i principi in materia di protezione dei dati – tra i quali quello di liceità, correttezza e trasparenza (art. 5 del GDPR) – adottando misure appropriate per fornire all'interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12 del GDPR).
Su questa linea, in più occasioni il Garante per la protezione dei dati personali ha ribadito che le Pubbliche Amministrazioni, nell’esercizio dei poteri di propria competenza, sono tenute, in qualità di titolari del trattamento, all’osservanza del principio di responsabilizzazione (artt. 5 e 24 del GDPR), che impone di valutare se, tenuto conto dello specifico contesto locale, il trattamento di dati personali mediante dispositivi video sia effettivamente necessario e proporzionato riguardo al perseguimento di una (di per sé, giusta) finalità di accertamento di violazioni. D’altronde, già nella FAQ n. 13 del 3 dicembre 2020 (doc. web n. 9496574), il Garante aveva chiarito che il ricorso alla videosorveglianza ai fini, in senso lato, della tutela ambientale è ammesso “solo se non risulta possibile, o si riveli non efficace, il ricorso a strumenti e sistemi di controllo alternativi e comunque nel rispetto del principio di minimizzazione dei dati”.
Il Provvedimento n. 312 del 18 luglio 2023 (doc web n. 9920578) analizza un’ipotesi di videosorveglianza impiegata per l’accertamento degli illeciti amministrativi previsti dalla normativa in materia ambientale. In quest’ambito, l’interessato aveva segnalato al Garante:
1. Informativa di primo e secondo livello Quando sono impiegati sistemi di videosorveglianza, il titolare del trattamento – spiega il Garante – deve innanzitutto rendere un’informativa di primo livello (cartello di avvertimento), apponendo una segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza. Attenzione: le informazioni di primo livello devono essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata. Non è necessario rivelare l’ubicazione della telecamera, ma non devono esserci dubbi su quali zone sono soggette a sorveglianza e deve essere chiarito in modo inequivocabile il contesto della sorveglianza stessa. L’informativa di primo livello (sintetica) deve indicare i dati più rilevanti:
Unitamente a quella di primo livello, il titolare del trattamento deve predisporre e rendere disponibile un’informativa di secondo livello, anch’essa contenente – questa volta in forma chiara, non sintetica e agevolmente accessibile – tutti gli elementi obbligatori a norma dell’art. 13 del GDPR, avendo cura di offrire informazioni “veritiere”, tenuto conto delle sanzioni irrogate dal Garante nelle ipotesi in cui quanto dichiarato nell’informativa non trova effettiva corrispondenza con le modalità di trattamento. Ricordiamo, inoltre, che qualunque modifica o variazione delle modalità di trattamento (es. prolungamento del periodo di conservazione dei dati) deve essere portata a conoscenza degli interessati prima dell’inizio del trattamento stesso.
2. I tempi di conservazione delle registrazioni di videosorveglianza In base al principio di responsabilizzazione (artt. 5 e 24 del GDPR), le immagini acquisite tramite videosorveglianza non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite. Dunque, spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati (ad es., l’art. 6, co. 8, D.L. n. 11/2009, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, prevede espressamente una conservazione dei dati limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione). Nella FAQ n. 5 del 3 dicembre 2020 (doc. web n. 9496574) il Garante spiega che, nella maggior parte dei casi, i principi di minimizzazione dei dati e di limitazione della loro conservazione, impongono una cancellazione dopo pochi giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.
Resta fermo che, in alcuni casi può essere necessario (dunque, legittimo) prolungare i tempi di conservazione delle immagini inizialmente fissati dal titolare o previsti dalla legge: ad esempio, nel caso in cui tale prolungamento si renda necessario per dare seguito ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad un’attività investigativa in corso. Tuttavia, tale prolungamento, anche se legittimo e pertanto giustificato, deve essere oggetto di idonea informativa. Sul tema, il Garante evidenzia l’importanza del principio di privacy by default (protezione dei dati per impostazione predefinita), ai sensi dell’art. 25, par. 2, del GDPR, che obbliga il titolare del trattamento a mettere in atto misure tecniche e organizzative adeguate a garantire che le immagini riprese dai dispositivi video siano trattate, per impostazione predefinita, soltanto per il tempo di conservazione da esso previamente definito.
3. Sanzione da 45.000 euro e pubblicazione accessoria Con il Provvedimento n. 312 del 18 luglio 2023 (doc web n. 9920578), il Garante per la protezione dei dati personali ha irrogato una sanzione di 45.000 euro, avendo rilevato l’illiceità del trattamento di dati personali tramite videosorveglianza effettuato da una Pubblica Amministrazione:
4. Conclusioni Anche nelle ipotesi in cui il trattamento di dati personali mediante videosorveglianza venga svolto da una Pubblica Amministrazione nel perseguimento di finalità legittime e normate che, pertanto, sembrano garantire quasi un’automatica liceità del trattamento, permane l’obbligo per l’Ente titolare di porre in essere quelle attività obbligatorie che assicurino la conformità alla normativa europea e nazionale in materia di dati personali. Così, diviene indispensabile analizzare in modo approfondito e sicuro – prima ancora di iniziare il trattamento – ogni aspetto rilevante ai fini del GDPR, delineando attività, procedimenti e azioni che non solo garantiscano la liceità del trattamento ma, ancor prima, siano in grado di evitare azioni o errori di valutazione e progettazione che determinino l’irrogazione di una sanzione certa.