GDPR e videosorveglianza

GDPR e videosorveglianza; cosa cambia?

Come tutti sappiamo, un sistema di videosorveglianza (anche quelli che non registrano immagini) determina un sistema di trattamento di dati personali (tra l’altro, particolarmente invasivo della privacy e potenzialmente lesivo dei diritti personali).

Dopo il 25 maggio, il Regolamento UE 679/2016 ha effetto anche sui sistemi di videosorveglianza, che debbono esservi “compliant”.

Quali sono i cambiamenti più rilevanti?

Intanto il GDPR concede diversi nuovi diritti ai soggetti interessati; come consequenza diretta, occorrerà rivedere le informative estese (non i cartelli esposti al limite delle aree sorvegliate).

Il Regolamento introduce anche il concetto di “accountability” (responsabilizzazione); ciò assegna al titolare del trattamento ogni decisione e responsabilità derivanti, in merito alla implementazione di un impianto di videosorveglianza.

Si riporta l’estratto dal provvedimento 8235119 – 22 febbraio 2018 del Garante per la Protezione dei Dati Personali:
Si tenga comunque presente che, a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento in ossequio al principio di responsabilizzazione di cui all´art. 24 dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del citato Regolamento ovvero attivare la consultazione preventiva ai sensi dell´art. 36 del Regolamento medesimo.

Quindi taluni “particolari” sistemi di videosorveglianza dovranno essere soggetti a DPIA preventiva, al posto della precedentemente prevista (e comoda) verifica preliminare a cura della Autorità Garante.

Inoltre, tutti i sistemi di videosorveglianza sono soggetti ai nuovi principi di Privacy by Design & Privacy by Default.

Dobbiamo anche da valutare se predisporre (e manutenere) il famigerato Registro dei Trattamenti;  a mio avviso, qualora il sistema realizzi un trattamento di dati personali che sottoponga ad un rischio elevato la privacy degli interessati, il Registro è necessario.

Da ultimo, occorre valutare se necessiti la nomina del D.P.O. (sistemi complessi e distribuiti, trasferimento di flussi video, riconoscimento volti, analisi comportamentale, dati biometrici e/o geolocalizzazione, ecc…) e tenere bene a mente che il Data-Breach potrà accadere anche sui sistemi di videosorveglianza (l’effetto potrebbe essere devastante).