VIDEOSORVEGLIANZA: 24 ore, 7 giorni, 90 giorni o 24 mesi?
L’Autorità Garante per la Protezione dei Dati Personali, con il provvedimento di carattere generale del 2010, ha dettato determinati vincoli da rispettare per utilizzare, in maniera lecita e corretta, gli impianti di videosorveglianza. Tra gli stessi viene stabilito, prima di tutto, l’obbligo di garantire a che i dati raccolti siano “protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini”. In relazione a ciò, è stata messa in risalto la necessità di adottare “specifiche misure tecniche ed organizzative” che siano in grado di verificare l’attività espletata da parte di chi accede alle immagini o controlla i sistemi di ripresa, attività che, secondo la normativa, deve essere circoscritta e disciplinata in maniera specifica (mediante la prevenzione di determinate regole da attribuire ad ogni singolo soggetto in relazione alla mansione svolta, a titolo meramente esemplificativo, sicuramente il soggetto che “visualizza” le immagini dovrà seguire delle specifiche tecniche differenti rispetto al soggetto che invece ha il compito di controllare che il server contenente le immagini sia situato in una area non soggetta a rischi esterni).
Tra le misure minime di sicurezza che la disciplina detta, oltre all’obbligo di informare il soggetto ripreso della presenza della telecamera ed al divieto di riprendere soggetti non necessari in relazione alla finalità di trattamento effettuato, si ritrova, anche e soprattutto, l’obbligo di cancellare le immagini registrate una volta raggiunta la finalità. Secondo il provvedimento del 2010 le immagini acquisite possono essere conservate solo per un periodo strettamente necessario – e predeterminato – a raggiungere la finalità perseguita col trattamento dei dati costituiti dalle immagini acquisite tramite l’impianto di videosorveglianza. Tale periodo è circoscritto a poche ore o, al più, ventiquattro ore, eccetto nel caso di speciali esigenze di “proroga” dovuta a festività o chiusura di uffici o esercizi oppure per adempiere a una specifica richiesta investigativa dell’autorità giudiziaria, ovvero, in casi eccezionali, quando la finalità perseguita richieda la conservazione delle immagini per un periodo di tempo maggiore alle 24 ore.
Il provvedimento prevede che alcuni soggetti (i comuni, le banche, etc.) hanno la possibilità di conservare le immagini fino a 7 giorni, questo quando l’attività di videosorveglianza è finalizzata alla tutela di interessi meritevoli di una maggiore difesa, quali la sicurezza pubblica, ovvero l’attività posta in essere dal titolare del trattamento delle immagini è alquanto rischiosa. Il Garante, inoltre, concede la possibilità di prolungare i tempi di conservazione per un periodo superiore alla settimana, tramite una specifica richiesta, la c.d. verifica preliminare, sancita dall’articolo 17 del Codice della Privacy, Decreto Legislativo n. 196 del 2003. Mediante tale verifica il garante, tenuto conto degli elementi complessivamente acquisiti e della specifica esigenza di sicurezza presentata dal richiedente, ma soprattutto alla luce dei principi di pertinenza e non eccedenza e di proporzionalità stabiliti dal Codice Privacy, valuta la possibilità di concedere al richiedente il prolungamento dei termini di conservazione delle immagini oltre rispetto al limite delle 24 ore stabilito dalla Legge. Premesso ciò, rilevanti sono le recenti pronunce del Garante in tale materia. Da evidenziare è la facilità con cui l´autorità conceda il prolungamento dei termini per la conservazione delle immagini, che, a discapito del termine di 24 ore previsto dalla normativa, varia dai 90 giorni ai 24 mesi. Vediamone alcune.
Tramite il provvedimento del 14 luglio 2011, il Garante ha consentito di conservare per novanta giorni le immagini registrate mediante l´impianto di videosorveglianza ad una società che opera nel settore della componentistica elettronica. La richiesta risponde all´esigenza, da parte della società, di potersi uniformare ai criteri dettati da un protocollo di sicurezza più severo (standard di sicurezza delle ISO/177799 e ISO/15408 del settore informatico ed elettronico, le quali richiedono che venga garantito un elevato grado di sicurezza, compreso appunto la videosorveglianza e la conservazione delle immagini registrate), dal rispetto del quale dipende l´ammissione alla qualifica di “fornitore” in favore di una multinazionale tedesca. In tale caso, il Garante ha ritenuto giustificata la richiesta di allungamento del periodo di conservazione in considerazione del particolare settore di attività e dalla necessità dell’impresa di aderire agli standard richiesti. In posizione diametralmente opposta al provvedimento su riportato, si ritrova invece quello emesso dal Garante il 21 marzo 2012 che nega l´allungamento dei termini di conservazione a 90 giorni per una azienda che opera nel settore grafico e produce “tessere magnetiche ed a microprocessore per applicazioni di sicurezza e sanitarie” (carte di credito, carte regionali dei servizi e, più in generale, carte di identificazione).
Le ragioni poste a base della richiesta risiedevano, oltre al rafforzamento del livello di sicurezza della società e delle persone che operano nella stessa, soprattutto nella necessità di adeguarsi ai parametri fissati dai circuiti internazionali MasterCard International e Visa International, presso i quali l´azienda sarebbe certificata per la produzione di carte di credito. Il Garante ha negato il prolungamento della conservazione delle immagini acquisite mediante impianto di videosorveglianza sostenendo che le regole prescritte dai manuali degli enti certificatori non sono tassative, ma in presenza di limitazioni legali interne possono essere oggetto di deroga, purché sottoposta al vaglio e all´approvazione scritta da parte delle stesse committenti. Tali due provvedimenti sono di particolare interesse, in primo luogo, in quanto si soffermano sull´analisi dell´applicazione della privacy in un settore di forte sviluppo com´è appunto quello del settore informatico ed elettronico, ma soprattutto in relazione al rapporto sussistente tra la figura del Garante e il valore legale attribuito in via indiretta agli standard di sicurezza europei ed internazionali, che costituiscono un punto di riferimento ineludibile anche per il Garante stesso, contrapposte, invece, alle regole prescritte da enti certificatori (quali MasterCard, Visa) considerate non tassative e quindi non prescrittive rispetto alla privacy. Oltre a ciò, i due provvedimenti sono di rilevante importanza in relazione alla competenza tecnica dell’Autorità nella valutazione delle effettive situazioni di rischio che gravano sui richiedenti.
Il Garante sottolinea che l´allungamento dei tempi di conservazione dei dati oltre i sette giorni, giustificabile solo in casi eccezionali, deve essere adeguatamente motivato “con riferimento ad una specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di rischio riguardanti eventi realmente incombenti e per il periodo di tempo in cui venga confermata tale eccezionale necessità”. In entrambi i casi sopradescritti le società giustificano la richiesta di prolungamento dei termini di conservazione, oltre che per il perseguimento degli standard di sicurezza richiesti per raggiungere una determinata certificazione, anche per una specifica esigenza di sicurezza perseguita. Tuttavia, il Garante ha ritenuto opportuno accogliere solo la prima delle due richieste esaminate in questa sede, vale a dire quella giustificata da una idonea documentazione comprovante il grave e concreto rischio scaturito da episodi realmente accaduti nel periodo antecedente alla stessa, a discapito della seconda la quale invece, non giustifica la richiesta mediante alcuna documentazione comprovante il rischio reale e concreto che grava sulla società. Altro interessante provvedimento in materia di conservazione dei dati costituiti da immagini è quello del 07 luglio 2011 sulla richiesta di prolungamento dei termini di conservazione delle immagini fino a 24 mesi (ribadisco non 24 ore, ma 24 mesi), presentata da un’azienda metalmeccanica che produce componenti meccanici di elevata precisione. Tramite la verifica preliminare ex articolo 17 del Codice Privacy, l´azienda è riuscita a provare il bisogno di conservare le immagini per 24 mesi documentando come quest’ultimo è il periodo di tempo necessario per scoprire eventuali sabotaggi dei prodotti (già verificatisi e denunciati in passato presso il richiedente), posto che le contestazioni possono avvenire anche dopo un lungo periodo di tempo.
Il Garante comunque, nel provvedimento in questione, ha precisato che acconsente a che avvenga la conservazione di tutte le immagini registrate per 24 mesi, ma le immagini possono essere visionate esclusivamente per l´accertamento di possibili atti di sabotaggio e nel rispetto di rigide procedure concordate con le stesse rappresentanze sindacali.
