La videosorveglianza nei Comuni: come si esegue la valutazione di impatto dell’impianto

di LUISA DI GIACOMO*

Abbiamo già parlato degli adempimenti che un Comune deve porre in essere prima di installare qualsiasi impianto di videosorveglianza con foto camere, foto trappole e ogni altro strumento idoneo alla ripresa dei cittadini su aree pubbliche, ed in particolare abbiamo posto l’accento sull’importanza della valutazione di impatto. La valutazione di impatto, (D.P.I.A., cioè Data Protection Impact Assessment nell’originale inglese) prevista dall’art. 35 del GDPR, è un processo volto a descrivere il trattamento, valutarne la necessità e la proporzionalità e a gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento ed il Titolare, ovvero il Comune che vuole installare l’impianto, deve svolgerla prima di piazzare anche solo una videocamera finta.

Si tratta di un procedimento complesso e non privo di dubbi, che non va confusa con la valutazione del rischio, che della DPIA costituisce una parte fondamentale, ma non unica, e che serve, in sostanza, per comprendere se e come i rischi insiti in qualsivoglia trattamento (e a maggior ragione insiti in un trattamento su larga scala e così invasivo come quello della video sorveglianza) possano avere impatti sui diritti e le libertà fondamentali degli interessati, secondo alcuni criteri: scoring, decisioni automatizzate, monitoraggio regolare e sistematico, categorie particolari di dati, trattamenti su larga scala, dataset correlati, dati relativi a soggetti vulnerabili, soluzioni tecnologiche innovative, trasferimenti extra UE, caratteristiche e identificabilità dell’interessato.

Con una corretta valutazione di impatto si assicura la trasparenza nel trattamento e la sicurezza dei dati, sia da un punto di vista tecnico sia organizzativo, nel rispetto del principio di accountability che permea l’intero regolamento privacy. Senza una DPIA correttamente svolta, ogni impianto di videosorveglianza è soggetto a sanzione e di conseguenza il Comune ed i suoi dirigenti a responsabilità.

Vediamo quindi, nella pratica, come deve essere svolta una valutazione di impatto su un sistema di video sorveglianza.

I soggetti coinvolti

Dal punto di vista soggettivo, si occupano ed interessano della DPIA il Titolare, il DPO del Comune ed i Responsabili del trattamento, nonché gli amministratori di sistema, i soggetti installatori e chiunque abbia le competenze tecniche per “mettere le mani” nell’impianto di telecamere.

Il Titolare del trattamento è come sempre il soggetto richiamato alla responsabilità dal Regolamento. La sua partecipazione non è facoltativa, ma necessaria, pur se non sufficiente, per la redazione della DPIA. Che la rediga materialmente egli stesso (difficile) o che la deleghi a un dipendente o, più probabilmente, a un consulente esterno, il Titolare non può essere Ponzio Pilato e lavarsi le mani di quello che accade. Sarà lui, in caso di ispezione a dover dimostrare e illustrare le misure tecniche ed organizzative utilizzate, quindi sarà bene che le conosca.

Il Data Protection Officer, nel suo ruolo consultivo (art. 35 comma 2 del GDPR) e di sorveglianza del Regolamento (art 39 comma 1 lett. c) è chiamato dal Regolamento ad assistere il Titolare in questa procedura complessa. Attenzione: non è il DPO che redige la DPIA. Troppo spesso, infatti, si vedono Comuni che nominano un DPO perché non ne possono fare a meno (peraltro disponendo per la loro funzione una soglia di spesa da considerarsi offensiva) e poi lo “usano” comeun consulente. Questo non è corretto dal punto di vista della accountability: il DPO verifica, controlla, dirige, indirizza e convalida, ma non può fare tutte queste cose se è lui stesso che ha redatto la DPIA, per un evidente problema di conflitto di interessi.

I responsabili del trattamento vanno coinvolti, in quanto l’impianto di videosorveglianza è certamente affidato ad una società esterna, che fornisce, installa e configura i dispositivi e pertanto non si può procedere senza di loro.

In alcuni casi piò essere caldamente consigliata una richiesta di parere agli interessati, che in questo caso sono i cittadini: si tratta di un’ottima dimostrazione di accountability e i rapporti tra PA e cittadini potrebbero trarne giovamento (si badi però che quest’ultimo punto è meramente opzionale e facoltativo).

>> Leggi anche Impianti di videosorveglianza nei Comuni del Sud: fondo da 30 milioni di euro.

Il contenuto minimo di una DPIA

Il contenuto minimo di una DPIA è sancito normativamente dall’art 35 comma 7 del GDPR, quindi almeno in questo il Comune si trova ad essere facilitato. La valutazione deve contenere almeno:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
  4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Procedura

Raccolta delle informazioni per effettuare una descrizione puntuale del trattamento da svolgere: nel nostro caso quante telecamere verranno installate, di che tipo, con quali software e con quale tipo di tecnologia.

Descrizione dei trattamenti: quali finalità si pone il trattamento, quali interessati saranno coinvolti, quale base giuridica ha scelto il Titolare.

Valutazione della proporzionalità dei trattamenti: rispetto dei principi del GDPR, di minimizzazione e conservazione dei dati.

Data Flow: descrizione del flusso dei dati, per capire quali problemi possono sorgere e dove è possibile (o necessario) intervenire.

Revisione dei principi e dei diritti: principi del GDPR e diritti dell’interessato devono sempre essere il parametro secondo cui effettuare tutta la valutazione.

Identificazione dei rischi: questa è la fase più delicata. I rischi del trattamento vanno sempre valutati tenendo conto i diritti e le libertà fondamentali degli interessati e dai rischi è necessario approfondire di un ulteriore gradino e scendere all’impatto. Per esempio, se esiste il rischio che attraverso una certa telecamera installata in un certo posto particolare gli interessati vengano identificati in maniera inequivocabile perché la telecamera inquadra il volto, quale sarà l’impatto di questo rischio sugli interessati? Discriminazione? Scoring? Perdita di riservatezza? E così via. È necessario che il Titolare, con l’aiuto dei suoi consulenti, appronti prima le domande da porsi e per ogni domanda, a cui sarà attribuito un punteggio, deve essere collegata una misura di minimizzazione di quel rischio. Si parla di minimizzazione, perché è sostanzialmente impossibile che il rischio venga del tutto eliminato, ma la minimizzazione del rischio dovrà essere tale da rendere sostanzialmente nullo il verificarsi di quell’impatto. La minimizzazione, naturalmente, avviene attraverso l’approntamento di misure tecniche ed organizzative adeguate gestite dal Titolare (nel caso di cui sopra, per esempio: l’impatto si minimizza rendendo quella particolare telecamera inaccessibile a chicchessia tranne che al Titolare stesso del trattamento).

Realizzazione del rapporto: il tutto va documentato in un rapporto, che costituisce l’output della DPIA, che stabilirà se quel trattamento potrà essere effettuato o meno.

Il rischio residuo dovrà essere considerato “accettabile”. Solo nel caso in cui il rischio residuo abbia un impatto basso o nullo (difficile, meglio attestarsi sul basso e lì puntare: un rischio residuo zero potrebbe semplicemente significare che non tutti i parametri sono stati presi correttamente in considerazione) il trattamento potrà proseguire.

In caso contrario, il Titolare ha la scelta o di abbandonare il trattamento, oppure di consultare il Garante.

Ricordiamo che lo scopo di una DPIA non è quello di eliminare ogni rischio possibile, ma l’accettazione del rischio residuo come accettabile, nell’ottica della accountability del Titolare, anche in relazione ai benefici che quel trattamento può portare, non solo al Titolare stesso, ma anche agli interessati (incremento della sicurezza nei luoghi pubblici, prevenzione dei reati e delle infrazioni, controllo sulle aree sottoposte a raccolta differenziata per la tutela dell’ambiente e così via).

Del resto, come sempre, la base del vivere collettivo, sta proprio in quel pizzico di rinuncia alla propria libertà individuale in nome di un superiore bene comune.

>> CONSULTA TUTTI GLI ARTICOLI ARRETRATI DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.

Riconoscere e difendersi dagli attacchi phishingL’AUTORE

* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

 

© RIPRODUZIONE RISERVATA

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.