1. Introduzione
Il concetto di privacy è assai risalente nel tempo.
Basti pensare che la nozione moderna di privacy in senso proprio nasce in America, precisamente a Boston, alla fine dell’Ottocento. Tutto inizia con un saggio scritto da due giovani avvocati bostoniani, Samuel D. Warren e Louis D. Brandeis dal titolo “The Right to privacy”, pubblicato il 15 dicembre 1890 sulla rivista Harvard Law Review. Questi, sin da subito, misero in luce il concetto di privacy inteso come “the right to be left alone” e cioè il diritto ad essere lasciati soli. Tale saggio è stato considerato il punto di partenza scientifico e teorico del diritto alla privacy.
In Italia è solo nel 1975 che la Corte di Cassazione riconosce l’esistenza di un diritto alla riservatezza[1], mentre a livello comunitario, pochi anni dopo, vengono emanate alcune direttive in materia di protezione dei dati: la 95/46/CE, la 97/66/CE, e la 2002/58/CE.
Successivamente alla summenzionata direttiva 95/46/CE, in Italia viene istituita la figura del Garante per la protezione dei dati personali e nel 2003 viene emanato il codice per la protezione dei dati personali (c.d. Codice privacy) di cui al D. Lgsl. 30 giugno n.196. La privacy viene, poi, riconosciuta e disciplinata anche nella Carta dei diritti fondamentali dell’UE, (c.d. Carta di Nizza), del 7 dicembre 2000, con gli artt. 7 e 8, che fanno esplicito riferimento, il primo al rispetto della vita privata e familiare, mentre il secondo al diritto alla protezione dei dati personali.
Dopo un lento cammino, il 14 aprile 2016 si giunge, in sostituzione della direttiva 95/46/CE, all’approvazione del nuovo Regolamento Europeo generale sulla protezione dei dati n. 679 o GDPR (General Data Protection Regulation), pubblicato sulla GUCE il 4 maggio del 2016, ma avente efficacia a decorrere dal 25 maggio 2018. Tale Regolamento viene recepito dal legislatore italiano con il D. Lgs. 10 agosto 2018 n. 101, il quale abroga diversi articoli del Codice privacy perché incompatibili o già presenti nel Regolamento e aggiunge gli articoli per le materie riservate alla disciplina dei singoli Stati.
2. Le linee guida dell’EDPB sul sistema di videosorveglianza tra principio di accountability e minimizzazione dei dati
Il Regolamento europeo ha istituito il Comitato europeo per la protezione dei dati, l’European Data Protection Board (EDPB), un organismo indipendente il cui scopo è quello di garantire un’applicazione coerente del suddetto Regolamento e di promuovere la cooperazione tra le autorità di protezione dei dati dell’UE[2]. In tema di videosorveglianza l’EDPB il 29 gennaio 2020 ha adottato le Linee guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video[3]. Tali Linee guida chiariscono in quali termini il Regolamento europeo si applichi al trattamento dei suddetti dati e si affiancano al Provvedimento del Garante dell’8 aprile 2010, ancora in vigore nelle parti compatibili con tale Regolamento.
Vi è da affermare innanzitutto che, nel trattare i dati personali attraverso sistemi di videosorveglianza, non si può prescindere dal rispetto di due pilastri cardine del GDPR.
Il primo è il principio di accountability (ossia di “responsabilizzazione”) consistente nell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento[4]. In altre parole con tale principio, viene affidato ai titolari il compito di “determinare le finalità ed i mezzi del trattamento di dati personali” (art. 4, par. 7 del GDPR), nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento. In base a ciò, spetta al titolare del trattamento valutare la liceità e la proporzionalità del trattamento ed effettuare un bilanciamento tra il suo legittimo interesse o quello di un terzo ed i diritti e le libertà dell’interessato.
Il secondo è il principio di minimizzazione dei dati di cui all’ art. 5, par.1 lett. c) del GDPR, per cui i dati personali oggetto di trattamento devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Uno degli ammonimenti più importanti che si leggono nelle linee guida di cui sopra è quello per cui “la videosorveglianza non è di per sé indispensabile se esistono altri mezzi per raggiungere lo scopo che ci si prefigge”[5]. Sulla base di ciò, pertanto, il titolare del trattamento prima di installare un sistema di videosorveglianza, dovrebbe sempre esaminare in primis se questa misura sia idonea al raggiungimento dell’obiettivo desiderato ed in secondo luogo se sia adeguata e necessaria per i suoi scopi.
3. Obbligo di informativa e trasparenza
Un ulteriore ed imprescindibile obbligo per il titolare del trattamento è quello di informare adeguatamente gli interessati che stiano per accedere ad un’area, della presenza di un sistema di videosorveglianza funzionante.
All’ art. 12 par.1 il GDPR sottolinea, infatti, che “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 [6] e le comunicazioni di cui agli articoli 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
Proprio rispetto a tale obbligo, il Garante, nelle FAQ pubblicate sul proprio sito web[7], fa proprio l’orientamento espresso dall’EDPB nelle Linee guida 03/2019, le quali suggeriscono di adottare un’informativa articolata in due livelli, al fine di garantire il rispetto del principio di trasparenza.
Per quanto concerne le informazioni di primo livello, queste, infatti, dovrebbero figurare sul segnale di avvertimento, ovvero il cartello “Area Videosorvegliata”[8] – che tutti noi abbiamo visto almeno una volta nella vita – il quale deve essere posizionato ad una distanza ragionevole dai luoghi monitorati, in modo tale che l’interessato, prima di entrare nel raggio dell’area videosorvegliata, possa agevolmente riconoscerla. Inoltre, occorre, che tali informazioni facciano riferimento alle informazioni più dettagliate, definite di secondo livello, contenenti gli ulteriori dettagli obbligatori ai sensi dell’art. 13 del GDPR, indicando come e dove trovarle.
È richiesto, poi, che le informazioni di secondo livello debbano trovarsi in un luogo di facile accesso per l’interessato, il quale deve potervi accedere senza entrare nell’area sottoposta a videosorveglianza, soprattutto quando le medesime informazioni siano fornite digitalmente.
4. Periodo di conservazione dei dati ed obbligo di cancellazione
Il Garante, afferma che, in ottemperanza al principio di accountability di cui abbiamo già parlato, spetta al titolare la decisione circa il periodo di conservazione dei dati e la loro successiva cancellazione, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
Anche in tale ambito, poi, trova applicazione il principio di minimizzazione dei dati e di limitazione della conservazione ex art. 5, par.1 lett. c) ed e) del GDPR.
Pertanto, le immagini registrate e contenute nei sistemi di videosorveglianza non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite. Alla luce di ciò, i dati personali, quindi, dovrebbero essere – nella maggior parte dei casi – cancellati dopo alcuni giorni, preferibilmente tramite meccanismi automatici.
Il termine entro cui poter conservare le videoriprese prima della loro necessaria cancellazione può variare, però, a seconda del contesto in cui vengono effettuate. Ad esempio il Garante ha previsto che, nei casi in cui l’installazione di un sistema di videosorveglianza sia collegato ad esigenze di sicurezza e di protezione del patrimonio personale, un tempo limite potrebbe essere ricompreso tra le 24 e le 72 ore. Se la conservazione va oltre detti termini, questa deve essere adeguatamente motivata con riferimento a specifiche finalità[9].
5. Trattamento dei dati sensibili, in particolare dei dati biometrici
I sistemi di videosorveglianza raccolgono innumerevoli quantità di dati personali che possono riguardare anche dati di natura “sensibile”.
Quando la videosorveglianza configura un trattamento di categorie particolari di dati personali, trova applicazione l’ art. 9 del GDPR.
Anche secondo le Linee guida di cui sopra, per queste particolari categorie di dati è richiesta,ove necessario, una preventiva valutazione di impatto sulla sicurezza e sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, una vigilanza intensificata e continua, un’analisi del rischio, un’implementazione di misure tecniche ed organizzative adeguate e la notifica della violazione di dati personali (c.d. data breach).
Una particolare categoria di dati sensibili che potrebbe comportare maggiori rischi per i diritti degli interessati è quella dei dati biometrici (ad es. il riconoscimento facciale).
Ai sensi dell’ art. 4 par.1, n. 14 del GDPR, il dato biometrico è quello che risulta da “un trattamento tecnico specifico” relativo alle “caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica”, che consenta o confermi l’identificazione univoca di tale persona fisica; pertanto, le riprese video di una persona non potranno ipso facto essere considerate dati biometrici, quando non vengano specificamente elaborate al fine di identificarla in modo univoco.
In tutti i casi in cui è necessario acquisire un dato biometrico è necessario ottenere il consenso esplicito, libero, specifico, informato ed inequivocabile dell’interessato (art. 9 par. 2. lett. a) del GDPR), cui deve riconoscersi il diritto di opposizione.
Inoltre, secondo le linee guida dell’EDPB, “il titolare del trattamento deve prendere tutte le precauzioni necessarie per preservare la disponibilità, l’integrità e la riservatezza dei dati trattati, [… ] procedere alla cancellazione dei dati grezzi (immagini del volto ecc.) e garantire l’efficacia di tale cancellazione”.
6. Le regole fondamentali del garante in materia di videosorveglianza privata
Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito web[10] un’infografica aggiornata a gennaio 2022, al fine di illustrare le regole fondamentali per gli impianti di videosorveglianza privata. Con esso vengono indicate tre prescrizioni e tre divieti per chi installa e usa le telecamere ad uso personale e domestico[11]. Vi è da sottolineare che, per questi sistemi di videoripresa non occorre chiedere un’autorizzazione per la loro installazione, anche se sono soggetti comunque al rispetto della normativa in materia di privacy.
Vediamo, dunque, quali sono nel dettaglio queste regole stabilite dal Garante privacy.
La prima è che le telecamere “siano idonee a riprendere solo aree di propria esclusiva pertinenza”. L’area videosorvegliata, pertanto, non può estendersi a luoghi esterni alla proprietà privata e alle sue immediate vicinanze, in ottemperanza al principio su enucleato di “minimizzazione dei dati”. Non si può, quindi, creare un occhio a distanza per monitorare la vita dei vicini, poiché bisogna sempre avere pieno rispetto della riservatezza altrui.
La seconda regola impone che il titolare “attivi misure tecniche per oscurare porzioni di immagini in tutti i casi in cui, per tutelare adeguatamente la sicurezza propria o dei propri beni, sia inevitabile riprendere parzialmente anche aree di terzi”. In tal caso, il titolare è tenuto ad adottare alcuni accorgimenti tecnici (come ad es. pixelizzare le immagini), altrimenti potrebbe incorrere nel reato di interferenze illecite nella vita privata (art. 615 bis c.p.).
La terza regola disciplina i casi in cui, sulle aree riprese, vi sia una servitù di passaggio in capo a terzi; chi vuole attivare un sistema di videosorveglianza privata deve acquisire “formalmente” – quindi in modo esplicito e possibilmente per iscritto – il consenso di chi esercita tale diritto di passaggio[12].
La quarta regola è un divieto: la telecamera privata non deve riprendere “aree condominiali comuni o di terzi” (ad es. il parcheggio del condominio). Ogni forma di ripresa “in chiaro”, ovvero senza oscuramenti delle aree comuni, è da ritenersi illegittima. Bisogna ricordare che, la videosorveglianza all’interno della propria abitazione è libera, mentre l’installazione delle telecamere in condominio deve avvenire con delibera adottata dall’assemblea con la maggioranza dei partecipanti, rappresentativi di almeno 1/2 del valore dell’edificio secondo le tabelle millesimali di proprietà (art. 1136 c.c.).
La quinta regola stabilisce che i sistemi di videosorveglianza installati da persone fisiche non possano riprendere le “aree aperte al pubblico” (strade pubbliche o aree di pubblico passaggio[13]). Solo agli enti pubblici è permesso installare telecamere per motivi di controllo del territorio e di prevenzione dei reati.
L’ultima regola fissata dal Garante è imperativa: le immagini riprese dalle telecamere e registrate sui supporti dell’impianto di videosorveglianza non devono essere “oggetto di comunicazione a terzi o di diffusione”.La comunicazione a terzi o la diffusione illecita di dati personali, oltre a costituire un illecito civile che dà diritto a chiedere un risarcimento del danno, può integrare il reato di cui all’ art. 167-bis D.Lgs. n. 196/2003, come modificato dal D.Lgs. n. 101/2018, quando la comunicazione o la diffusione di dati personali oggetto di trattamento avvenga su larga scala al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno.
7. Conclusioni
Il diritto alla privacy è un tema molto delicato. Quotidianamente tutti noi esponiamo al mondo intero, anche inconsapevolmente, i nostri dati personali ed ancora oggi mancano adeguati strumenti in grado di tutelare il diritto alla riservatezza di un individuo a 360°. È vero, le Linee guida 3/2019 sono uno dei tanti strumenti di tutela, ma purtroppo a carattere non vincolante; servono stringenti normative in grado di contrastare ogni fenomeno di abuso e diffusione illecita di dati, soprattutto dopo questi due anni di pandemia che sono stati uno stress test per la protezione dei dati personali. L’obiettivo è quello di restituire alla privacy il ruolo che le compete nella società moderna.
