di Salvatore Pignataro*
E’ necessaria la valutazione di impatto privacy preventiva quando vengono installati i sistemi di videosorveglianza? La risposta del Garante è assolutamente affermativa, viste le linee dettate in materia a livello europeo. L’articolo 35 del Regolamento Ue/2016/679, infatti, definisce la dichiarazione preventiva di impatto come una procedura che mira a descrivere un trattamento di dati al fine di valutarne la necessità e proporzionalità, e i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Il dottore Salvatore Pignataro, Presidente regionale dell’Associazione Italiana Criminologi per l’Investigazione e la sicurezza nonché specialista in sicurezza, intelligence e criminologia investigativa rimarca le linee guida indicate nel provvedimento del Garante per la Privacy. “A questo proposito, i Garanti della Privacy a livello europeo, hanno elaborato delle Linee Guida (aggiornate il 4 ottobre 2017) individuando alcuni trattamenti che richiedono necessariamente una valutazione di impatto privacy «in virtù del loro rischio intrinseco». Pertanto i criteri che indicano la necessità di una valutazione preventiva sono nove: i trattamenti valutativi o di scoring, compresa la profilazione; le decisioni automatizzate che producono significativi effetti giuridici; il monitoraggio sistematico (ad esempio con videosorveglianza); il trattamento di dati sensibili, giudiziari o di natura strettamente personale; il trattamento di dati su larga scala; la combinazione o corrispondenze di dati; i dati relativi a soggetti vulnerabili (ad esempio minori, lavoratori dipendenti); l’uso o applicazione di nuove tecnologie; i trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio (ad esempio è il caso delle banche per erogare un credito).
Importante è anche il contenuto: la valutazione preventiva di impatto privacy, deve contenere una descrizione dei trattamenti previsti e delle relative finalità; una valutazione della necessità e proporzionalità del trattamento; una valutazione dei rischi per i diritti e le libertà delle persone fisiche e le misure previste per affrontare i rischi e dimostrare la conformità dei trattamenti rispetto al Gdpr.
Il caso della videosorveglianza prevede che la valutazione di impatto privacy è necessaria nel caso di sistemi integrati – sia pubblici, sia privati – che collegano telecamere tra soggetti diversi, o nel caso di sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, per rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. E’ il caso, soprattutto della videosorveglianza pubblica, che consentono la visione delle immagini a soggetti diversi e che si avvalgono di appositi software per l’analisi delle immagini e per il lancio degli allarmi in caso di riscontrate anomalie. La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (articolo 35, paragrafo 3, lettera c) del Gdpr) e negli altri casi indicati dal Garante con il provvedimento 467 dell’11 ottobre 2018. In quest’ultima deliberazione, l’Autorità Garante per la Privacy ha individuato un elenco delle tipologie di trattamenti, comunque non esaustivo, da sottoporre a valutazione d’impatto. Nell’ambito di questo elenco, appunto, sono compresi anche i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di un controllo a distanza dell’attività dei lavoratori dipendenti. Tanto vale anche con riguardo ai sistemi di videosorveglianza e geolocalizzazione”.
*presidente regionale Campania Associazione Italiana per l’Investigazione e la Sicurezza
