Studiamo la norma

Introduzione

In Italia non esiste una specifica legislazione in materia di videosorveglianza, ciononostante, osservato lo stretto legame che intercorre tra l’immagine di una persona, in quanto identificativa della stessa ed il concetto di “dato personale”, è applicata la disciplina stabilita dal “Codice in materia di protezione dei dati personali” (D.lgs. 196/2003). 

 
[1]Art.4, comma 1, lettera b: “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
 

Il Garante ed i provvedimenti

In attesa di una specifica normativa che affrontasse la materia il Garante per la protezione dei dati personali emanò in data 29 Novembre 2000 un provvedimento nel quale furono enunciati 10 principi base a cui ispirarsi nel realizzare un impianto di videosorveglianza.
Tale provvedimento è noto anche come decalogo e fu stilato ad integrazione della legge 675/96 in vigore fino al 2003.
Dopo l'emanazione del D.lgs.196/2003 il Garante ha lavorato ad un nuovo provvedimento generale che spiegasse come applicare quanto previsto dal codice al mondo della videosorveglianza.
Il risultato di questo lavoro è stato il "Provvedimento Generale in materia di videosorveglianza" del 29 Aprile 2004, un vero e proprio vademecum da seguire nella progettazione e/o realizzazione di un impianto.
Le continue evoluzioni tecnologiche e le numerose segnalazioni da parte degli utenti, a cui hanno fatto seguito specifici provvedimenti da parte dell'Autorità, hanno determinato l'emanazione dell'attuale  provvedimento generale sulla materia in data 8 Aprile 2010, nel quale fossero affrontati in modo pratico e dettagliato numerosi aspetti trascurati nel precedente.
In particolare sono state evidenziate le sanzioni di riferimento, indicando gli articoli del codice da considerare in funzione della particolare violazione, ed affrontati singolarmente diversi settori specifici quali: scuole, trasporto pubblico, ospedali e luoghi di cura, web cam turisitche, ecc.....
 

I 4 principi base

Quando si progetta e/o si installa un impianto di videosorveglianza, in quanto trattamento di dati personali,  è necessario rispettare 4 principi fondamentali:
  1. Principio di liceità;
  2. Principio di necessità;
  3. Principio di proporzionalità;
  4. Principio di finalità.

I principi sono alla base del d.lgs. 196/2003 ed ulteriormente specificati in modo chiaro nel provvedimento del 29 aprile 2004.


I soggetti che effettuano il trattamento

Il Codice individua in modo preciso negli artt. 28-30 i soggetti coinvolti in un trattamento di dati personali:

  1. Titolare;
  2. Responsabile/i;
  3. Incaricato/i.
A titolo di esempio supponendo che la società immaginaria VIDEOS S.r.l. debba realizzare un impianto in un capannone industriale di sua proprietà si profilerà il seguente scenario:
  • la VIDEOS S.r.l. sarà il Titolare del trattamento e nominerà
  • il Responsabile del trattamento che sarà il Sig. Caio, suo dipendente o consulente esterno.
  • Insieme nomineranno gli Incaricati del trattamento che potrebbero essere gli uomini della vigilanza preposti alla visione delle immagini.  

Gli incaricati del trattamento devono essere designati per iscritto. Per incaricato si intende anche il personale addetto alla visualizzazione delle sole immagini in tempo reale!

Nella lettera di incarico saranno elencate le mansioni e le possibilità di accesso ai dati: visione live, visione registrazioni, utilizzo dello zoom, ecc.....


Gli adempimenti

Il Titolare dell'impianto e/o il Responsabile dovrà espletare tutti gli adempimenti previsti dal Codice nonchè quelli specifici indicati nel provvedimento del 8 aprile 2010.

  1. Informativa ex art. 13 del d.lgs. 196/2003;
  2. Informativa minima - punto 3.1 del provvedimento del 8 aprile 2010;
  3. Individuazione del Responsabile del trattamento ex art. 29 del d.lgs. 196/2003 e punto 3.3.2 del provvedimento 8 aprile 2010;
  4. Individuazione degli Incaricati del trattamento ex art. 30 del d.lgs. 196/2003 e punto 3.3.2 del provvedimento 8 aprile 2010;
  5. D.P.S. (Documento programmatico sulla sicurezza) - punto 19 dell'allegato B del Codice; (oggi non piú obbligatorio ma a mio avviso consigliato)
  6. Verifica Preliminare, Notifica se necessarie;
  7. Registro delle annotazioni -  punto 3.3.1 del provvedimento 8 aprile 2010;
  8. Moduli per l'esercizio dei diritti dell'interessato - punto 3.5 del provvedimento 8 aprile 2010.

Le misure minime di sicurezza

Alle misure di sicurezza già previste nell'allegato B del Codice è necessario aggiungere le misure specifiche indicate nel punto 3.3 del provvedimento 8 aprile 2010.

  1. Il titolare deve aver modo di verificare l'attività espletata da parte di chi accede alle immagini o controlla i sistemi di ripresa, da cui nasce il Registro delle annotazioni o l'utilizzo di log dedicati;
  2. Le registrazioni devono essere protette contro eventuali perdite, anche accidentali, rischi di accesso non autorizzato, rischi di trattamento non consentito, ecc.....
  3. Deve essere regolarmente formalizzata la nomina del responsabile/i e dell'incaricato/i; 
  4. Le credenziali di autenticazione devono essere differenziate e permettere l'accesso alle operazioni per le quali di è ricevuta autorizzazione;
  5. Le registrazioni non devono andare oltre il limite massimo consentito di 24 ore fatte salve esigenze speciali dovute a festività e/o giorni di chiusura. E' necessario prevedere delle misure tecniche o organizzative per garantire la cancellazione entro il termine previsto;
  6. In caso di interventi di manutenzione è necessario che gli operatori non prendano visione delle registrazione se non in caso di stretta necessità e che sia rilasciata una dichiarazione a fine intervento che ne attesti la conformità alla norma;
  7. I dispositivi collegati a reti informatiche devono essere adeguatamente protetti contro i rischi di accesso abusivo. Questo ha senso in particolar modo per i DVR basati su PC;
  8. La consultazione da remoto delle immagini (PC o cellulare)  live o delle registrazioni non deve essere consentita a meno che non si abilitino adeguati sistemi di crittografia delle immagini.

Il mancato rispetto di quanto indicato nel punto 3.3 comporta l'applicazione di una sanzione dai 30000,00 € ai 180000,00 € come previsto dall'art. 162 comma 2-ter del Codice. 


Comments