/GDPR E VIDEOSORVEGLIANZA : L’EDPB PUBBLICA LE LINEE GUIDA

GDPR E VIDEOSORVEGLIANZA : L’EDPB PUBBLICA LE LINEE GUIDA

Sono state rese note dall’European Data Protection Board (EDPB) le linee guida 3/2019 del 12 luglio 2019 sul trattamento dei dati personali in merito ai servizi di videosorveglianza. Di seguito alcune novità:

Posizionamento del segnale di avvertimento

Il segnale non dovrebbe essere troppo distante dalla postazione di video registrazione in modo tale che l’interessato possa facilmente riconoscere la finalità della videosorveglianza (approssimativamente ad altezza occhi). Non è necessario specificare precisamente ove il sistema è collocato ma deve essere chiara l’area video sorvegliata.

2 tipologie di informative: (di primo livello e di secondo livello)

L’informativa di primo livello deve contenere le seguenti informazioni:

  • Finalità del trattamento
  • L’identità del titolare
  • I diritti dell’interessato
  • La base giuridica del trattamento
  • L’eventuale indicazione del DPO

L’informativa di secondo livello deve essere resa disponibile in un luogo facilmente accessibile agli interessati. L’informativa completa deve essere disponibile in una posizione centrale (es reception). Le informazioni di secondo livello possono essere già richiamate da quelle di primo livello (ad esempio QR o indirizzo di un sito web) oppure disponibili non digitalmente. In ogni caso, deve essere possibile accedere alle informazioni di secondo livello senza accedere all’area videosorvegliata.

Misure tecniche e organizzative

Il titolare, ai sensi dell’articolo 32, deve garantire un elevato standard di misure organizzative e tecniche affinché il trattamento dei dati durante la videosorveglianza sia sicuro.

Tali misure organizzative e tecniche devono essere proporzionali ai rischi per i diritti e le libertà degli interessati, derivanti da:

  • Distruzione accidentale o illecita
  • Perdita
  • Alterazione
  • Divulgazione non autorizzata
  • Accesso ai dati di videosorveglianza non autorizzato

Ai sensi degli articoli 24 e 25 del GDPR, i titolari attuano le misure tecniche e organizzative anche al fine di salvaguardare la protezione dei dati e per consentire l’esercizio dei diritti stabiliti agli articoli 15-22 GDPR. Ciò presume un’implementazione costante e una DPIA preventiva.

Misure organizzative

A parte la necessità di DPIA, il titolare deve predisporre politiche e procedere organizzative specifiche per la videosorveglianza.

In particolare deve stabilire:

  • Chi è responsabile della gestione e del funzionamento del sistema di videosorveglianza;
  • Finalità e ambito del progetto di videosorveglianza
  • L’uso lecito e illecito della video sorveglianza
  • Tipologia di informative
  • Come vengono registrati i video e per quale durata, inclusa l’archiviazione dei filmati e messa in sicurezza in caso di incidenti
  • Chi deve essere sottoposto alla formazione specifica e le relative tempistiche
  • Chi ha accesso alle registrazioni video e per quali finalità
  • Procedure operative (da chi e da dove viene monitorata la videosorveglianza, che cosa fare in caso di data breach)
  • Quali procedure devono seguire i soggetti esterni per richiedere registrazioni video e procedure per negare o assecondare tali istanze
  • Procedure per l’acquisizione, l’installazione e la manutenzione dell’impianto di videosorveglianza
  • Procedure di gestione degli incidenti e di recupero dati.