MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

La videosorveglianza nei Comuni: istruzioni per un impianto a norma di legge (e a prova di sanzioni)
I martedì della cybersecurity/ La nuova rubrica in tema di cybersicurezza nella PA a cura dell'avvocato Luisa Di Giacomo

di LUISA DI GIACOMO*

Ormai che le smart cities sono diventate una realtà sempre più vicina, parlare di videosorveglianza nei Comuni sembra quasi obsoleto. Il controllo continuativo da remoto tramite videocamere è diventato talmente parte della nostra realtà quotidiana, da decenni ormai, che nessuno si stupisce più nel vedere scritte come “Comune Videosorvegliato” all’ingresso in una città.
Eppure, l’attività di video sorveglianza per i Comuni è delicata e deve rispettare regole precise, per evitare che l’amministrazione incappi in sanzioni che in alcuni casi possono essere davvero molto salate: controllare ogni mossa dei cittadini, infatti, è un privilegio e un diritto che molte Pubbliche Amministrazioni hanno in virtù di un interesse superiore di sicurezza urbana e pubblica, ma questo non può e non deve avvenire a discapito dei diritti e delle libertà fondamentali dei singoli.
Vediamo quindi quali sono le norme ed i requisiti da rispettare affinché un impianto di videosorveglianza pubblico sia a norma di legge (e a prova di sanzioni).

La normativa di riferimento

Come accennato, il trattamento dei dati tramite video sorveglianza è una prerogativa dei Comuni che, ai sensi del d.l. 11/2009 possono utilizzare impianti per la tutela della sicurezza urbana in luoghi pubblici o aperti al pubblico, ovvero riprendendo le strade e le piazze: questo è quanto previsto dal decreto in materia di sicurezza pubblica.
La norma, tuttavia, si deve necessariamente coordinare con il Reg. UE 679/2016, il GDPR, Regolamento Europeo sulla Protezione dei Dati Personali, che ha stabilito una serie di limiti al trattamento a carico dei Titolari (la Pubblica Amministrazione che installa il dispositivo) ed a favore degli interessati (i cittadini), in particolare in merito ai tempi di conservazione, alle finalità del trattamento ed ai requisiti tecnici degli impianti. In sostanza, il Comune che decida di installare un impianto di video sorveglianza se ne assume tutte le responsabilità, accettando di porre in essere una attività giuridicamente rischiosa (il trattamento dei dati) e obbligandosi a porre in essere tutte le misure tecniche ed organizzative necessarie, in ossequio al principio di accountability e di privacy by design.
Ancora, poiché gli impianti di videosorveglianza pubblica servono anche ad una finalità di sicurezza in senso stretto, cioè alla prevenzione e repressione della criminalità, i Titolari del trattamento (i Comuni in persona dei sindaci pro tempore) possono stipulare appositi patti per la sicurezza e mettere a disposizione anche di Polizia di Stato e Carabinieri gli impianti di telecontrollo. In questa particolare eventualità, si applica la poco conosciuta Direttiva UE 680/2016, recepita dal nostro ordinamento dal d.lgs. 51/2018, disposizione legislativa che pone deroghe ad alcuni principi fondamentali del GDPR a favore dei soggetti che svolgono indagini in ambito di sicurezza urbana (ivi compresa la Polizia Locale).
È dunque imprescindibile che i Comuni adottino un Regolamento comunale di applicazione specifica per questo decreto legislativo, per evitare di trovarsi nella paradossale situazione di non poter utilizzare le immagini delle telecamere di sicurezza perché non installate a norma o perché in contrasto con quanto stabilito dal GDPR.

Gli adempimenti fondamentali

Prima di installare un qualsiasi impianto di video sorveglianza con foto camere, foto trappole o qualsiasi altro strumento idoneo alla ripresa dei cittadini su aree pubbliche, il Titolare dovrà necessariamente svolgere una valutazione di impatto. La valutazione di impatto, (D.P.I.A., cioè Data Protection Impact Assessment nell’originale inglese) prevista dall’art. 35 del GDPR, è un processo volto a descrivere il trattamento, valutarne la necessità e la proporzionalità e a gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento. Non va confusa con la valutazione del rischio, che della DPIA costituisce una parte fondamentale, ma non unica. Partendo dalla valutazione dei rischi del trattamento, infatti, si passa a valutare come questi rischi possano impattare sui diritti e le libertà fondamentali degli interessati, secondo alcuni criteri: scoring, decisioni automatizzate, monitoraggio regolare e sistematico, categorie particolari di dati, trattamenti su larga scala, dataset correlati, dati relativi a soggetti vulnerabili, soluzioni tecnologiche innovative, trasferimenti extra UE, caratteristiche e identificabilità dell’interessato.
Con una corretta valutazione di impatto si assicura la trasparenza nel trattamento e la sicurezza dei dati, sia da un punto di vista tecnico sia organizzativo, nel rispetto del principio di accountability che permea l’intero regolamento privacy. Senza una DPIA correttamente svolta, ogni impianto di videosorveglianza è potenzialmente a rischio sanzione.
Successivamente, è necessario stilare un regolamento relativo alle telecamere, aggiornando il registro dei trattamenti del Comune, indicando specificamente anche la retention policy, ovvero per quanto tempo le immagini verranno conservate e per quali finalità vengono raccolte.
I soggetti autorizzati al prendere visione delle immagini devono essere formalmente designati ed appositamente formati a carico del Titolare, non solo genericamente per quanto riguarda il GDPR, ma specificamente per quanto attiene al trattamento in esame, e se ci si avvale di una società esterna è d’obbligo la nomina a responsabile esterno del trattamento ex art. 28. Infine, devono essere stilate le apposite informative, che devono contenere i requisiti previsti dall’art. 13 del Regolamento. Sarà necessaria un’informativa breve, tramite cartellonistica, che dovrà comunque contenere come minimo i dati del Titolare del trattamento, le finalità del trattamento, i tempi di conservazione e le modalità di esercizio dei diritti degli interessati, ed un rimando ad una informativa completa, che potrà essere contenuta, ad esempio, sul sito del Comune.

>> PER APPROFONDIRE: Formazione Maggioli consiglia Videosorveglianza urbana e obblighi di legge per il Comune – Sanzioni e responsabilità, il corso online in diretta in programma mercoledì 29 giugno 2022 dalle ore 9 alle 11. Docenti: Luisa Di Giacomo e Stefano Manzelli.

Le sanzioni

Duole constatare che le Pubbliche Amministrazioni sono piuttosto indietro, ad oggi, non solo nell’applicazione del GDPR, ma anche nell’adozione di misure di sicurezza adeguate in materia di cybersecurity per la protezione dei dati dei propri cittadini, ed in particolare in ambito video sorveglianza. Ad oggi, il 71% delle sanzioni irrogate dal Garante per la protezione dei dati personali dall’entrata in vigore del GDPR riguarda proprio Enti Pubblici e si stima che il 92% delle telecamere installate violi la normativa sulla privacy.
Recentissime sono le sanzioni irrogate al Comune di Taranto, che ha ricevuto una multa di 150.000,00 euro per l’installazione di foto trappole per il controllo dello smaltimento rifiuti non a norma di legge, ed alla società partecipata che ha provveduto all’installazione, che invece è stata sanzionata per ben 200.000,00 euro.
Peraltro, è bene non cadere nella “trappola” di pensare che le sanzioni a carico delle PA siano solo un fatto che, appunto, riguarda le PA, e che non ha alcun impatto sui singoli. In più di un ‘occasione, infatti, la Corte dei conti si è rivalsa direttamente sui dirigenti per chiedere il risarcimento dei danni da violazione della privacy per le sanzioni ricevute dal Garante, per i danni richiesti ed ottenuti dagli interessati: il cosiddetto danno erariale (cfr. Regione Calabria e Regione Lazio).
Insomma, comunque la si voglia mettere, non c’è modo di eludere la normativa. Parafrasando il noto supereroe-ragno della nostra infanzia, da grandi data base derivano grandi responsabilità, e da queste responsabilità non c’è modo di essere esentati.
Anche, e soprattutto, se si tratta di Pubbliche Amministrazioni.

****

L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.