Videosorveglianza: come cambia nel tempo il ruolo dei soggetti terzi deputati al trattamento delle immagini
Con l’avvento delle digitalizzazione in ogni settore della nostra vita, si sono aperti nuovi ed interessanti scenari nell’ambito dei sistemi di videosorveglianza; negli ultimi anni si è passati gradualmente dalla tecnologia analogica, o CCTV, a quella IP, ovvero ai sistemi integrati in rete.
La grande flessibilità ed accessibilità anche a livello economico dei nuovi sistemi ha implementato in maniera esponenziale l’utilizzo di impianti di videoripresa in tutti gli ambiti e nelle più varie realtà aziendali, non solo di grandi dimensioni, ma anche medio-piccole, svincolando sempre più il concetto di videosorveglianza da quello di luogo fisico e traducendolo in un sistema di controllo in grado di registrare un’enorme quantità di dati (immagini, informazioni, dati personali, etc.). Questa crescita esponenziale di “guardiani elettronici”, tuttavia, non è stata supportata da una migliore e puntuale preparazione, sia sul piano tecnico che sotto il profilo normativo, dei titolari nella gestione dei sistemi, esponendo quest’ultimi a severe sanzioni da parte del Garante Privacy e delle varie Direzioni Territoriali del Lavoro per la violazione delle disposizioni di cui al D. Lgs 19/-2003, Provv. del Garante del 8/04/2010 e della L. 300/1970.
I provvedimenti emessi dal Garante Privacy delineano frequentemente la violazione di cui agli articoli 29 e 30 D.Lgs. 196/2003. Le maggiori criticità si sono delineate nei confronti dei soggetti terzi rispetto al titolare del trattamento a cui è rimessa l’esecuzione di attività di trattamento delle immagini.
La posizione del Garante Privacy in relazione ad essi non è sempre stata uniforme ed univoca.
Partendo dal Provvedimento generale sulla videosorveglianza del 29 aprile 2004, si evidenzia come la nomina a responsabile esterno sia circostanziata; ricordiamo che tale provvedimento stabiliva che essa “può essere effettuata solo se l’organismo esterno svolge prestazioni strumentali e subordinate alle scelte del titolare del trattamento. Questo non deve, ovviamente, essere un espediente per eludere la normativa in materia di protezione dei dati personali, come può accadere, per esempio, nel caso in cui la designazione dell´incaricato “esterno” mascheri una comunicazione di dati a terzi senza consenso degli interessati, oppure nel caso di diversità o incompatibilità tra le finalità perseguite dai soggetti che si scambiano i dati”.
L’ indicazione sovra citata viene eliminata nel Provvedimento generale del 8 aprile 2010, dove si registra un lento cambiamento nell’orientamento dell’Autorità: il terzo non viene designato quale autonomo titolare dei dati trattati, ma inquadrato quale responsabile esterno. A seconda del caso di riferimento, naturalmente, viene valutato il ruolo del terzo nei confronti del titolare dei dati e le sue specifiche funzioni.
Con gli ultimi provvedimenti del Garante del 2014, la posizione appare definitivamente chiara a favore della seconda opzione, come conferma il provvedimento del 9 gennaio 2014 n. 13.
Nella fattispecie viene considerato il caso in cui i dipendenti di una società terza (in specifico una società di vigilanza) prendevano e cessavano servizio presso la sala controllo di una società alberghiera, propria cliente. Presso la control room erano allocati 9 monitor LCD, di cui 5 dedicati alla visualizzazione delle immagini riprese da tutte le telecamere del sistema di videosorveglianza presenti nella struttura. Tali dipendenti, le cui mansioni principali consistevano nell’effettuare le ronde in tutte le aree pubbliche dell’hotel, al momento del cambio verificavano tuttavia anche il corretto funzionamento dei monitor e delle telecamere in funzione.
Il Garante quindi identificava quale trattamento dati ai sensi dell’art. 4 D. Lgs. 196/2003 la visualizzazione delle immagini sui monitor da parte dei dipendenti della società terza; pertanto veniva richiesto al titolare di designare debitamente quale responsabile del trattamento ai sensi dell’art. 29 del Codice la società di vigilanza.
Questo, come altri provvedimenti, qualificano ad oggi il rapporto tra soggetti terzi deputati al trattamento delle immagini ed il titolare.