Privacy: videosorveglianza e DPIA


L’autorità di controllo redige e rende pubblico, con il provvedimento dell’11 ottobre 2018, un elenco delle tipologie di trattamenti che obbligatoriamente devono essere soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del GDPR. Quali sono gli orientamenti in materia? Su cosa sono fondate tali indicazioni?

Criteri WP29

Le Linee Guida per lo svolgimento di una DPIA – 4 aprile 2017 – offrono alcuni chiarimenti sul punto. In particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

Nello specifico, secondo il GDPR vanno considerati i seguenti criteri:

  1. Monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico
  2. Dati relativi a interessati vulnerabili: (es. minori, dipendenti nonché i segmenti più vulnerabili della popolazione che richiedono una protezione speciale)
  3. Uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative

La DPIA è quindi sempre necessaria?

A prescindere dal tempo di conservazione delle immagini (il Provvedimento in materia di videosorveglianza – 8 aprile 2010 prevede massimo 24 ore, ad eccezione dei giorni non lavorativi o chiusure in genere), sarà sempre necessario effettuare una DPIA.

In caso di allungamento del tempo di conservazione dettato da motivazioni tecniche o per la particolare rischiosità dell’attività svolta (ad es. banche), il Titolare dovrà valutare e motivare tale esigenza all’interno della DPIA. Quest’ultima permette inoltre di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.

Contenuto della DPIA

Le informazioni minime che dovrebbero essere presenti in una valutazione d’impatto sono:

  • La descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso l’interesse legittimo perseguito dal titolare;
  • La valutazione dei rischi;
  • Le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento.

Il titolare, con il supporto del responsabile del trattamento (ove presente) provvede a redigere la valutazione di impatto. La DPIA implica una analisi e descrizione delle aree critiche da esaminare, del profilo di tutti i soggetti coinvolti, gli effetti e le conseguenze del trattamento dei dati, una valutazione dei rischi collegati, e quindi la stesura di un piano di mitigazione dei rischi. Il passo successivo sarà l’attuazione delle misure di sicurezza proposte.

La DPIA e Statuto dei Lavoratori

La DPIA, nonostante le opportune valutazioni del caso eseguite dal Titolare, non sostituisce l’autorizzazione all’installazione degli impianti audiovisivi rilasciata dall’RSA/RSU o, se assente o né è stata rigettata la richiesta, da parte dell’Ispettorato del Lavoro: tale documentazione, nei casi in cui derivi anche solo la possibilità di controllo a distanza dell’attività dei lavoratori, ai sensi dello Statuto dei lavoratori (L. 20 maggio 1970, n. 300) risulta essere tutt’ora necessaria.

È necessario puntualizzare che nelle recenti autorizzazioni rilasciate, la presenza di DPIA risulta essere condizione necessaria per la validità del documento stesso. Si ricorda che l’utilizzo di tali impianti di videosorveglianza senza previa autorizzazione, oltre alle sanzioni GDPR, comporterebbe anche l’irrogazione delle sanzioni penali previste dal TU Privacy (ammenda da 154 a 1.549 euro o l’arresto da 15 giorni a un anno).

Articolo a cura di Alessandro Bonacossa | Data Protection Consultant, Labor Project

Se ti è piaciuto l'articolo condividi: