Garante Privacy: FAQ videosorveglianza

Il Garante Privacy ha rilasciato un documento, sotto forma di F.A.Q. (Frequently Asked Questions) nel quale riepiloga una serie di tematiche che ruotano intorno agli impianti di videosorveglianza e si pongono l’obiettivo di fare il punto della situazione dubbi più frequenti in merito agli aspetti di cui tenere conto nel momento in cui un’azienda privata, un ente pubblico o un privato cittadino decidono di dotarsi di un sistema di telecamere per proteggere i propri beni.

Questa edizione del dicembre 2020 costituisce la prima iniziativa del Garante in questo senso, sul tema, e rappresenta senz’altro un punto di riferimento interessante, rilasciato da una fonte qualificata.

Gli argomenti trattati e le risposte alle F.A.Q. non rappresentano un provvedimento di carattere giuridico-normativo, essendo alcuni degli argomenti al di fuori dell’ambito di competenza dell’istituzione. Danno, in qualche modo, un profilo di ufficialità ad una gamma di argomenti che, chi decide di dotarsi di un impianto di videosorveglianza, deve affrontare e gestire, sia sotto l’aspetto stretto del trattamento dei dati (la conformità al GDPR), sia per quanto concerne la conformità ad altri ambiti giuridico-legislativi.

In questo contesto il documento costituisce un utilissimo strumento di lavoro per tutti i soggetti coinvolti nella scelta di dotarsi di un impianto di videosorveglianza: dal cliente-titolare del trattamento, al progettista dell’impianto, all’installatore, al consulente legale-giuslavoristico, per arrivare, nei casi previsti dal GDPR, al ruolo del DPO nell’affiancare il titolare del trattamento per effettuare una corretta valutazione del rischio.

FAQ-VIDEOSORVEGLIANZA-Il-vademecumDownload

GDPR: qualche riflessione sulla figura del responsabile del trattamento

A quasi un anno dall’entrata in vigore del Regolamento UE 679/2016 possiamo affermare di avere alle spalle un pò di “vita vissuta”, sulla base della quale sviluppare qualche riflessione sul modo nel quale viene interpretata la figura del responsabile del trattamento.

La prima riflessione che merita di essere svolta riguarda l’interpretazione che viene data alla figura del responsabile del trattamento: un mero ruolo formale, nominato, spesso, in modo automatico dalle aziende, più per prassi o procedure consolidate nel tempo, che per effettiva coscienza di ciò che si sta facendo. Succede, ancora, molto frequentemente di ricevere nomine che non hanno nulla a che vedere con i reali trattamenti per i quali la nomina stessa viene emessa: queste nomine sono scritte in modo totalmente generico, senza identificare in modo puntuale i trattamenti ai quali si riferiscono e senza citare i dati oggetto del trattamento. In sostanza, un documento inutile e privo di significato, innanzitutto, per il titolare del trattamento il quale dimostra, senza, evidentemente, rendersene conto, di non gestire affatto il rischio relativo ai trattamenti effettuati, bensì di “produrre carta” che non tutela nè se stesso, nè i soggetti ai quali si riferiscono i dati che fanno parte dei trattamenti.

Un’altra riflessione, ahimè molto triste, consiste nel vedere come le nomine vengano pensate ed utilizzate con la logica del “gioco del cerino“: puntualmente, in fondo alla nomina, viene riportata una cosiddetta “clausola di manleva” che non ha alcuno valore legale. Infatti, il GDPR vieta esplicitamente di trasferire al responsabile del trattamento alcuna responsabilità inerente i trattamenti per i quali un titolare ha deciso di nominarlo (ovviamente, se il responsabile rispetta quanto il titolare gli impartisce). La logica della figura del responsabile, come ben spiegato all’interno del Regolamento, è identificare un soggetto, dotato dei requisiti tecnico-professionali (e, naturalmente, morali) che sia in grado di garantire la corretta esecuzione ed il relativo controllo sui trattamenti che il titolare decide di affidargli, sotto il proprio controllo. L’approccio, invece, ancora in voga è palesemente dettato da un’impronta giuridico-punitiva con la quale si vuole cercare di trasferire ad altro soggetto, diverso dal titolare, responsabilità che sono, al contrario, proprie del titolare stesso. Il Regolamento, infatti, spiega in modo chiaro che è compito del titolare effettuare un’analisi dei trattamenti e costruirli in modo tale da garantire il rispetto dei requisiti di liceità e le finalità per le quali i trattamenti sono stati ideati.

La strada da percorrere per dare concreta attuazione al principio di accountability pare essere ancora lunga: un’analisi preliminare soddisfacente ed oculata sui trattamenti (e sui dati che gli stessi trattamenti coinvolgono) è un modo di pensare che non risulta adeguatamente radicato e diffuso. L’atteggiamento tenuto finora da Garanti della Protezione dei Dati europei, che tendono a dare sanzioni pesanti in palese e totale assenza di evidenze di analisi dei processi aziendali, può contribuire a creare quel modo di pensare che dovrebbe stare alla base dell’analisi dei trattamenti.