La varietà di prodotti e la facilità di configurazione consentono ormai di installare un impianto di videosorveglianza senza particolari problemi. È vero, però, che questa semplicità porta spesso le aziende o gli studi professionali a sottovalutare norme e adempimenti ai quali è soggetto un impianto di videosorveglianza installato sui luoghi di lavoro.
A tal proposito, sono state recentemente emanate dal Comitato Europeo sulla Protezione dei Dati (EDPB) le Linee Guida n. 3/2019 sul trattamento di dati personali attraverso videosorveglianza. Vediamo cosa prevedono.
Le Linee Guida precisano che prima di installare un sistema di videosorveglianza è sempre necessario valutare se sia possibile adottare misure di sicurezza alternative (recinzioni, nuove serrature o nuovi portoni di ingresso, etc) e quanto queste misure siano adeguate alle relative finalità: ad esempio, un sistema di videosorveglianza che funziona solo di notte (o, comunque, fuori dagli ordinari orari di lavoro) è sufficiente, in ogni caso, a prevenire pericoli sulla proprietà.
Nello specifico, la norma prevede che il ricorso ad impianti di video sorveglianza da parte del titolare di un’attività sia legittimo nei casi in cui si abbia la necessità di protezione nei confronti della proprietà da furti, furti con scasso e vandalismi in genere. Tali finalità, tuttavia, non possono scaturire esclusivamente da meri timori o immaginazioni: la norma prevede che il proprietario di un nuovo negozio possa installare un sistema di videosorveglianza se dimostra, grazie a statistiche, che nel suo vicinato sono stati rilevati frequenti situazioni di pericolo. Non potrà invece richiamare il generico rischio sulla base di statistiche nazionali.
Inoltre, è sempre necessario informare gli interessati che è attivo un sistema di videosorveglianza. Le informazioni più importanti devono essere fornite da un segnale di avvertimento, da porre in un luogo ben visibile, mentre ulteriori dettagli dovrebbero essere forniti con altri mezzi. Responsabili e titolari del trattamento devono anche garantire misure organizzative e tecniche proporzionali ai rischi per le libertà e i diritti delle persone fisiche derivanti dalla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai dati di videosorveglianza.
I titolari devono inoltre stabilire i mezzi affinché gli interessati possano esercitare i propri diritti, adottando specifiche politiche interne.
Da ultimo, si ricorda che i titolari sono tenuti ad effettuare le valutazioni di impatto sulla protezione dei dati (DPIA) quando un tipo di trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche.