Videosorveglianza: le indicazioni operative per non incorrere in sanzioni

Al giorno d’oggi i sistemi di videosorveglianza sono sempre più diffusi. Grazie alla tecnologia più avanzata e connessa e i costi più ridotti, l’hanno resa il mezzo più rapido e conveniente quando, per motivi diversi, si ha la necessità di tenere qualcosa sotto controllo.

Tuttavia, è proprio questa facilità di installazione che ha portato tantissime aziende a sottovalutare gli step che devono essere eseguiti per non incorrere in sanzioni.

Sorvegliati dal Garante (e non solo)

C’è un grande attenzione da parte del Garante riguardo il tema della videosorveglianza e sono principalmente tre le ragioni:

  1. Quasi tutte le aziende di Italia, di qualsiasi tipo, hanno installato dei sistemi di videosorveglianza;
  2. È il trattamento più visibile: chiunque acceda ad un’azienda le noterà;
  3. molto spesso è la polizia locale che segnala l’inidoneità dell’impianto; non occorre quindi l’intervento diretto del Garante o della Guardia di Finanza, ma anche la polizia locale può segnalare l’inidoneità al Garante che a quel punto si può attivare per richiedere maggiori informazioni o procedere direttamente con una ispezione;

Come capire quando installare un impianto di videosorveglianza

Per capire se l’impianto di videosorveglianza è utile ai propri fini, è necessario porsi alcune domande.

La prima domanda è “perché?” Chiedersi a quale scopo servirà il mio impianto sarà fondamentale per evitare di raccogliere dati personali che risulteranno inutili.

La seconda domanda è “come?” Come voglio raccogliere questi dati. Decidere quali strumenti di raccolta, visualizzazione e conservazione acquistare. Come verranno salvate le immagini e da chi verranno visualizzate, ecc.

Terza domanda: “chi?” Chi saranno i soggetti ripresi. Generalmente gli impianti di videosorveglianza non fanno distinzione su chi verrà ripreso e chiunque farà accesso all’area, verrà videoregistrato. Ci sono dei parametri che ne aumentano il rischio:

  • la quantità di soggetti ripresi: risulta sicuramente meno delicato un impianto che riprende un magazzino dove possono transitare alcuni dipendenti alla settimana, da un’area di parcheggio aziendale dove sostano centinaia di dipendenti al giorno;

  • la tipologia di soggetto interessato: anche qui risulta sicuramente più delicato un impianto che riprende l’ingresso di un centro medico rispetto ad un impianto che riprende dei macchinari di produzione.

Quarta domanda “per quanto tempo? “Per quanto tempo verranno conservate le immagini? Di norma, il Garante consiglia di non eccedere nella loro conservazione per un tempo superiore alle 24-48 ore, fatto salvo di prolungata chiusura aziendale, ad esempio nel periodo delle vacanze estive o natalizie. Vi sono comunque delle eccezioni che si adattano alle esigenze aziendali. Ad esempio, se in un magazzino vi accedono una volta a settimana, il tempo di conservazione delle immagini può essere prolungato.

Tutte queste domande permetteranno di procedere ad una analisi approfondita per capire se e come l’impianto potrà essere installato. Dopo questa analisi e in base alla risposta alla domanda sul “chi”, potrebbe essere necessario effettuare una DPIA (Data Protection Impact Assessment), ovvero un’approfondita valutazione del rischio sul trattamento che si effettuerà. Questo perché il Garante ha stabilito che è obbligatorio effettuare una DPIA nel caso di:

  1. impianti che riprendano su larga scala zone accessibili al pubblico;
  2. trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti. In tal caso oltre alla DPIA occorre procedere con la richiesta dell’autorizzazione da parte dell’ispettorato territoriale del lavoro o del sindacato (ove presente).

Una volta effettuate le analisi e l’eventuale DPIA si dovrà produrre e rendere disponibile ai soggetti interessati la documentazione obbligatoria:

  1. l’informativa di primo livello (la classica cartellonistica) da apporre prima delle zone riprese dall’impianto;
  2. l’informativa di secondo livello, ossia quella completa da mettere a disposizione dell’interessato;
  3. riportare tutte queste informazioni all’interno del registro dei trattamenti.

Tutto deve essere documentabile

Tutte le analisi da effettuare sono documenti fondamentali perché saranno necessari a gestire velocemente una richiesta di controllo da parte del Garante, altrimenti la sanzione può aumentare. In particolare, devono essere documentate:

  1. La DPIA o l’analisi sulla non necessarietà della stessa: dobbiamo infatti essere in grado di dimostrare che abbiamo effettuato un’analisi dalla quale non è emersa la necessità di procedere con una valutazione approfondita;
  2. l’analisi sulle tempistiche di conservazione,
  3. l’analisi sulle misure di sicurezza tecniche e organizzative attuate;
  4. un elenco dei soggetti autorizzati, interni e/o esterni, ad accedere alle immagini;
  5. le istruzioni prodotte per tali soggetti e il relativo piano di formazione;
  6. nomina ad eventuali fornitori esterni quali responsabili del trattamento con le relative istruzioni fornite per il trattamento di dati personali.
Dati e privacy

Contattaci per richiedere supporto e assistenza professionale sulla gestione della Sicurezza dei Dati, dell'applicazione delle regole del GDPR e la Cybersecurity

Ti coadiuveremo nella gestione dei dati dei cittadini e del Tuo Ente.

Sei alla ricerca di contenuti esclusivi, aggiornamenti regolari e risorse utili?

Non perdere l‘opportunità di ampliare la tua conoscenza nel settore privacy!