Videosorveglianza: evoluzione normativa

Per i cittadini continua ad aggravarsi la sindrome del pesce rosso, sia perché di videosorveglianza si parla sempre e comunque (e di solito a sproposito), sia perché le varie videocamere (telefonini, webcam, telecamere di sorveglianza, riprese televisive, ecc.) continuano a mostrare i vizi e le virtù di migliaia di italiani poco attenti ai fatti loro (o, quantomeno, poco inclini a farseli privatamente) e ad alimentare processi a raffica per separazioni, per interferenze illecite nella vita privata, per diritti d’immagine, per violazione della riservatezza, ecc.

L’ultima notizia di cronaca riferisce di un’avvenente signora che ha pensato bene, durante i suoi focosi incontri con l’amante, di riprendere le performance con il videofonino, e di avere l’”accortezza”, successivamente, di dimenticarlo a casa. Ovviamente il marito ha curiosato tra i file multimediali, alcuni dei quali non devono essergli piaciuti, visto che ha chiesto la separazione, e si è beccato, come risposta, una denuncia per trattamento illecito di dati personali ed accesso abusivo ad un sistema informatico, da parte della ex consorte.

Videosorveglianza, case history

1981 – 1995

Nel 1981, Convenzione del Consiglio d’Europa n. 108, successivamente richiamata ed ampliata dalla Direttiva Europea n. 95/46/CE, del 24 ottobre 1995, sancisce per la prima volta il diritto alla tutela della riservatezza dei dati personali in favore dei cittadini europei e disciplina la circolazione dei dati stessi all’interno e all’esterno dell’Unione.

Tra i vari “considerando” della Direttiva n. 95/46/CE, può individuarsi il principio generale che chiarisce che i sistemi di trattamento delle informazioni sono al servizio dell’uomo, e devono quindi essere utilizzati nel rispetto delle libertà e dei diritti fondamentali dell’individuo, e contribuire al progresso economico e sociale, nonché al benessere dei cittadini.

La Direttiva non cita direttamente i sistemi di videosorveglianza, la cui disciplina può derivarsi dai passaggi in cui si tratta di tutela dei “dati personali degli individui consistenti in immagini e suoni” ed in quelli in cui si sottrae, all’ambito di applicazione della disciplina in materia, l’attività di acquisizione dati svolta per ragioni di pubblica sicurezza, difesa e sicurezza dello Stato, attività dello Stato in materia penale.

1996

La legge 675/1996, nel recepire quasi integralmente la direttiva europea n. 46 del 1995, non fa alcun riferimento alla questione “videocamere”, uniformandosi alla scelta degli Organismi Comunitari.

1997-1998

Ed infatti, il Garante per la tutela dei dati personali, Autorità indipendente di nuova istituzione, ad opera della Legge 675/96 (art. 30), viene chiamato quasi immediatamente ad esercitare la facoltà ed i compiti di cui all’art. 31 (effettuare controlli, rispondere a quesiti, vigilare sui trattamenti, adottare provvedimenti, ecc.) al fine di fare chiarezza sull’attività di videosorveglianza mediante installazione di telecamere in luoghi pubblici.

Le Amministrazioni coinvolte rappresentano che lo scopo delle installazioni è quello di prevenire e reprimere reati contro il patrimonio e le persone, monitorando, in affiancamento alle Forze dell’Ordine, le aree ritenute a rischio del territorio comunale.

Il Garante, nei diversi pareri resi a seguito di tali richieste di chiarimenti, rileva che, pur non essendo materia disciplinata dal Legislatore Italiano, per essa debba farsi riferimento alla Legge 675/1996, rinvenendosi comunque un trattamento di dati personali mediante acquisizione di suoni ed immagini effettuata attraverso sistemi di videosorveglianza, a prescindere dalla circostanza che tali informazioni siano eventualmente registrate in un archivio elettronico o comunicate a terzi, dopo il loro temporaneo monitoraggio in un circuito di controllo.

Come avrà modo di chiarire anche in seguito, evidenzia comunque che le registrazioni effettuate mediante l’uso di telecamere non necessariamente contengono dati di carattere personale, in quanto la distanza, l’ampiezza dell’angolo visuale, la qualità degli strumenti, ecc. possono non rendere identificabili le persone inquadrate.

Che l’Ufficio del Garante non avesse, all’epoca dei fatti, una particolare dimestichezza con il settore videosorveglianza e vigilanza, verrà confermato anche successivamente, da occasioni, in cui, platonicamente, eviterà di rispondere alle richieste degli interessati, rilevando, in primis, l’opportunità di ulteriori accertamenti, ed in secundis, la necessità di acquisire preventivamente l’autorizzazione dello stesso Garante, in presenza dell’inequivocabile trattamento di dati personali.

Pur condividendo la tesi secondo la quale la prospettiva dell’attivazione di un sistema di videosorveglianza privo di un insieme articolato di garanzie, potrebbe minare la riservatezza dei cittadini – ed in tal senso, ben venga l’individuazione delle misure di sicurezza, delle modalità di trattamento dei dati, dei soggetti legittimati ad accedere alle registrazioni anche all’interno dell’ente, nonchè delle modalità e dei limiti dell’eventuale messa a disposizione delle registrazioni in favore di altri soggetti pubblici – non si può fare a meno di rilevare come troppo spesso, in questo periodo di prima applicazione, le risposte del Garante in materia siano risultate sfuggenti, e più finalizzate a non “vincolarsi” a pareri ufficiali che a fare effettivamente chiarezza sull’argomento.

1999

Nel corso del 1999 iniziano a pervenire al Garante segnalazioni sempre più dettagliate e consistenti circa l’utilizzo di telecamere di videosorveglianza da parte di soggetti pubblici e privati.

Nel mese di Gennaio un parere – successivamente diffuso anche tramite comunicato stampa – in risposta al quesito di una ASL, stabilisce che le aziende sanitarie che intendono installare apparecchiature di videosorveglianza all’interno delle proprie strutture, per effettuare controlli di sicurezza nei corridoi e nelle sale di attesa, oltre che il monitoraggio continuo dei pazienti ricoverati, devono rispettare le norme sulla privacy (e su tale aspetto, forse,un parere del Garante risulta superfluo).

Nel caso in questione l’Authority chiarisce che i dati raccolti tramite l’installazione di telecamere all’interno degli ospedali, in quanto relativi a persone malate, sono da considerarsi di natura sensibile; il loro uso, pertanto, connesso all’assistenza e alla cura dei pazienti, al controllo dei ricoverati in rianimazione e alla sicurezza all’interno del pronto soccorso, pur rientrando tra le finalità istituzionali degli organismi sanitari, deve essere condizionato all’individuazione di misure di sicurezza idonee alla conservazione delle immagini, del personale autorizzato ad accedere a tali informazioni, delle procedure volte a garantire che il trattamento avvenga nel rispetto dei principi di pertinenza e non eccedenza rispetto agli scopi perseguiti.

Chiarisce, inoltre, che la presenza di telecamere deve essere comunque segnalata, anche mediante l’affissione di appositi cartelli negli spazi aperti al pubblico, e che gli utenti che entrano nel raggio di azione dei dispositivi devono essere preventivamente informati delle finalità e modalità di raccolta e trattamento dei dati, nonchè delle facoltà esercitabili in qualità di interessati.

Da ultimo, rappresenta la necessità di stabilire un termine per la conservazione delle immagini, da giustificare secondo la necessità e lo scopo da perseguire.

L’8 marzo 1999, un nuovo comunicato stampa del Garante ricorda che la videosorveglianza è un tema di grande rilievo e interesse per l’ opinione pubblica, che non esiste ancora una normativa specifica in materia (???), che la legge sulla privacy, nel recepire i principi sanciti in sede europea, definisce dato personale qualsiasi informazione che permette l’ identificazione della persona compresi i suoni e le immagini.

Anche una semplice installazione di videocamera, o una registrazione sonora, pertanto, devono essere conformi alle disposizioni sulla privacy. Deve essere specifica la finalità del trattamento, le modalità di utilizzo e conservazione delle immagini, le misure di sicurezza adottate e le modalità con le quali i soggetti interessati dal trattamento sono stati informati dell’esistenza del trattamento e della possibilità di esercitare i diritti previsti dalla normativa vigente.

Il 23 marzo 1999 la Città di Torino chiede al Garante della Privacy se sia legittima l’installazione di telecamere di sorveglianza sui mezzi di trasporto pubblico urbano, di concerto con il Prefetto e le autorità di Pubblica sicurezza, nel quadro di un’azione mirante a contenere il fenomeno della criminalità e a diminuire la pericolosità di ambiti cittadini particolarmente insicuri, tra cui il trasporto pubblico urbano, spesso teatro di atti di vandalismo ed altri reati.

Il progetto ipotizza l’installazione di telecamere collegare ad un dispositivo di registrazione non accessibile al conducente, con registrazione codificata limitata all’arco temporale delle 24 ore, visionabile solo tramite inserimento del supporto di memorizzazione in una “stazione di lettura” in grado di decodificare le immagini e trasferirle su altri supporti.

Operazione possibile, ovviamente, solo se la segnalazione di un illecito perviene entro le 24 ore e solo in presenza delle Forze dell’Ordine e dell’Autorità Giudiziaria.

Nell’occasione, il Garante chiarisce che il trattamento non può essere inquadrato nell’ambito dell’art. 4 della Legge 675/96 per l’assenza di una specifica norma che autorizzi l’attività da svolgere.

Nel contempo, tuttavia, riconosce al Comune di Torino la facoltà di perseguire la finalità di tutela del patrimonio pubblico e della qualità della vita dei cittadini come funzione istituzionale dell’Ente, sufficiente per legittimare il trattamento.

In questo quadro l’ATM, che esercita il servizio pubblico di trasporto, risulta inquadrabile come “responsabile” del trattamento, ex art. 8 della legge n. 675 .

Tra le indicazioni per un corretto utilizzo degli apparati, l’Autorità segnala i precisi limiti posti all’installazione di impianti audiovisivi dall’art. 4 della legge 20 maggio 1970 n. 300 (cd. statuto dei lavoratori) e la necessità di dotare le stazioni di lettura di una doppia chiave da utilizzarsi congiuntamente, una in possesso del personale preposto dalla Azienda di trasporti, l’altra in possesso dell’autorità di polizia).

Misure di sicurezza ed informative come per legge, con particolare attenzione alle aree di fermata, nelle quali transitano o si soffermano anche persone che non utilizzano i mezzi pubblici, e che devono quindi essere informate preventivamente dell’esistenza di telecamere (e delle relative aree sottoposte a videosorveglianza) che potrebbero, anche accidentalmente, riprenderle

La newsletter del 20 dicembre 1999, richiamando alla memoria il tragico episodio del piccolo James Bulgar, di soli due anni, ucciso a Liverpool  da due bambini di undici anni, successivamente individuati da una telecamera di sorveglianza di un centro commerciale, evidenzia come, in diversi paesi europei, primo tra tutti la Gran Bretagna, le telecamere di sorveglianza non vengano percepite dai cittadini come una invasione della loro vita privata, bensì come un elemento di sicurezza.

Nessun Paese europeo controlla con altrettante videocamere cosa succede per strada. Il 95% delle città inglesi utilizza videocamere nascoste per sorvegliare interi tratti stradali. Lungo Oxford Street (la famosa strada commerciale di Londra) ogni passante in media viene ripreso da una videocamera ogni 1,8 minuti.

La tecnologia moderna permette di isolare singoli soggetti fra la folla e di verificare, attraverso il confronto di specifici parametri, se l’occhio della telecamera abbia inquadrato un criminale già ricercato. In caso di atti criminosi, è possibile ricostruire la dinamica degli eventi grazie all’utilizzo dei filmati raccolti dalle varie telecamere che hanno inquadrato i luoghi in cui si è svolta l’azione.

Se a ciò si aggiunge che, nelle città inglesi in cui sono installate le telecamere di sorveglianza, la criminalità da strada è scesa del 20%, appare evidente come l’ipotesi di un “grande fratello” a dimensione urbana sia tutt’altro che da escludere, potendo effettivamente contribuire al miglioramento della qualità della vita dei cittadini.

Deduzioni che vengono confermate, qualche anno dopo, dai primi risultati del Progetto UrbanEyes, (www.urbaneye.net) studio tuttora in corso, che attraverso il confronto tra le realtà legislative e materiali di vari paesi Europei, tende a valutare la concreta attuazione della direttiva 96/45/CE e le possibili evoluzioni storiche e normative della disciplina.

2000

Il 17 febbraio 2000 si torna a parlare di videosorveglianza in strada, grazie al “Regolamento per l’installazione e l’utilizzo di impianti di videosorveglianza del territorio” del Comune di Portici, trasmesso, per le valutazioni di competenza, al Garante per la Privacy.

Il provvedimento, finalizzato a monitorare le zone nevralgiche del traffico cittadino ed i punti di maggiore concentrazione abitativa, per finalità di protezione civile, di pronto intervento,  statistiche e amministrative, viene accolto positivamente dal Garante che fornisce indicazioni circa l’obbligo di individuare idonee misure di sicurezza per la tutela dei dati acquisiti tramite videocamere, e di delimitare in modo chiaro le aree sottoposte a videosorveglianza, predisponendo idonee informative per gli interessati, segnalando anche alcune modifiche da apportare al regolamento.

Con il comunicato stampa del 5 marzo 2000 il provvedimento reso nei confronti del Comune di Portici viene pubblicizzato in forma generalizzata, per chiarire l’ambito di utilizzo delle telecamere di sorveglianza da parte degli Enti Pubblici.

Gli enti locali che intendono dotarsi di sistemi di videosorveglianza del territorio e del traffico cittadino o di telecontrollo ambientale devono limitare le possibilità di ingrandimento delle riprese e il livello di dettaglio sui tratti somatici delle persone inquadrate dalle telecamere.

Nel provvedimento il Garante ricorda anche i principi fissati in sede comunitaria, per i quali anche l’informazione che consente di risalire all’identità del cittadino è soggetta alla legge sulla privacy.

Il 3 aprile 2000, il Garante si pronuncia negativamente sul progetto sperimentale di videosorveglianza di un parco naturale marittimo, finalizzato a consentire l’intervento delle Forze dell’Ordine e, in particolare, della Guardia Costiera, in caso di violazioni alle regole della riserva naturale, rilevando che non vi sono dati sufficienti a comprendere l’effettivo raggio d’azione delle telecamere e la necessità istituzionale di provvedere a tale installazione.

Nel mese di Giugno vengono resi noti i risultati dell’indagine “Occhi elettronici”, che evidenzia come le telecamere siano ormai divenute un dispositivo standard presente in ogni sistema di sicurezza destinato a monitorare e proteggere spazi pubblici e privati.

Ma se in Europa, prevalentemente, l’interesse ad installare sistemi di TVCC è mosso dal bisogno di sicurezza e prevenzione, del traffico come della criminalità, negli Stati Uniti detti strumenti risultano usati sempre più spesso anche negli spazi privati, come bagni e docce, per spiare clienti, dipendenti, ed ogni altro soggetto che entra nel raggio d’azione della telecamera.

La crescente miniaturizzazione delle videocamere, unita alla capacità di operare anche in condizioni precarie di visibilità, rende sempre più efficace lo strumento di indagine, che si rivela al tempo stesso un’arma decisamente invasiva per la vita privata altrui, in caso di utilizzo illecito.

Lo studio è basato sul rilevamento delle telecamere presenti in quattro città campione italiane: Milano, Verona, Roma, Napoli, per un totale di 1095 telecamere diversamente collocate..

Il confronto tra le quattro città campione consente di rilevare come Roma si distingua rispetto alle altre città per l’elevato numero di telecamere presenti nelle zone centrali, a discapito di quelle periferiche, mentre nelle altre città il risultato della rilevazione risulta più equilibrato.

In tutte le città prevalgono le videocamere collocate all’altezza del portone, mentre estremamente diversificate sono le categorie dei luoghi pubblici “sorvegliati”, che vedono al primo posto le banche, in qualità di luoghi più vigilati. Al secondo posto i Ministeri a Roma, le aziende a Milano, i commissariati a Napoli e le caserme a Verona.

Tutte molto visibili, si evidenzia una maggiore percettibilità e “dominanza fisica” delle telecamere nelle zone centrali di Roma, in quelle semicentrali di Milano e, anche se in minima parte, di Verona, mentre a Napoli non si evidenziano significative differenze tra le zone centrali e periferiche.

Probabilmente anche sulla base dell’esito dell’indagine del mese di Giugno e della sostanziale inerzia del Legislatore e dell’Esecutivo, il 29 novembre 2000 il Garante per la Privacy emana il primo provvedimento generale sulla videosorveglianza, mediante il quale sintetizza l’esperienza di alcuni anni di attività nel settore, di studio ed analisi dei numerosi casi pratici pervenuti all’attenzione dell’Autorità, e cristallizza alcuni principi generali in materia di videosorveglianza, in applicazione della Legge 675/1996 (successivamente abrogata ad opera del D.Lgs. 196/2003, motivo per cui è stato necessario procedere all’emissione di un nuovo provvedimento generale, in data 29 aprile 2004).

2001

Un comunicato stampa del mese di febbraio 2001 evidenzia che la situazione italiana è caratterizzata da una diffusa illegalità.

A violare ripetutamente le disposizioni impartite dal Garante sono proprio gli Istituti di Credito, nonostante l’utilizzo pionieristico delle tecnologie di videosorveglianza inducesse a ritenere che, invece, fossero già in regola con la normativa vigente. In realtà, oltre che per diverse violazioni di natura amministrativa, il Garante interviene nei confronti degli Istituti di credito soprattutto per la raccolta di impronte digitali, associata al trattamento dei dati degli utenti (una vera e propria schedatura abbinata ai dati biometrici), che viene ritenuta decisamente eccessiva rispetto alle finalità di tutela dichiarate.

Tra gli altri casi accertati, quello relativo ad un gruppo di società che effettuavano il trattamento dei dati personali di bambini nati dopo l’entrata in vigore della Legge 675/1996, per l’invio di comunicazioni commerciali di vario genere, senza alcuna autorizzazione e senza rendere alcuna informativa.

Il controllo era scaturito, probabilmente, dalla trasmissione televisiva in cui una giovane donna, che aveva perso il proprio bambino qualche giorno dopo il parto, aveva denunciato il comportamento di alcune società che, avendo evidentemente appreso del lieto evento ma non del decesso del pargolo, continuavano ad inviare comunicazioni commerciali presso l’abitazione dei genitori, promuovendo l’uso di prodotti per neonati (caso evidente di marketing mirato, successivo a profilatura del potenziale cliente)  e rinnovando ad ogni comunicazione il dolore della famiglia.

L’operazione ha comunque portato gli inquirenti all’irrogazione di numerose sanzioni amministrative (soprattutto per la violazione dell’obbligo di esporre e rendere l’informativa agli interessati) e alla segnalazione di varie notizie di reato alla Magistratura per trattamento illecito di dati personali e omessa o incompleta notificazione al Garante.

Tra i soggetti colpiti per l’omessa adozione delle misure di sicurezza, paradossalmente, anche alcune amministrazioni dello Stato.

Ad ogni modo, il 2001 verrà certamente ricordato per i provvedimento adottati dal Garante contro gli Istituti di Credito che avevano attivato sistemi di rilevazione biometrica (impronte digitali) associati a telecamere di videosorveglianza.

Il sistema di controllo degli accessi permetteva di registrare presso un personal computer l’impronta digitale, unitamente all’immagine del volto, di ciascun individuo che accedeva alla filiale. Tali dati, secondo quanto rappresentato dagli Istituti di credito interessati dai provvedimenti, erano trattati in forma anonima (ossia senza collegamento ad un database contenente i dati anagrafici dei soggetti) e raccolti per un periodo di tempo limitato, decorso il quale, in assenza di reati perpetrati presso l’agenzia (e ovvia comunicazione dei dati rilevati alle Forze dell’Ordine) sarebbero stati distrutti.

Il Garante ha rilevato la violazione del principio di proporzionalità tra uno dei mezzi impiegati (il sistema di rilevazione delle impronte, associate alle immagini) e le finalità perseguite, poiché una tale attività indifferenziata di raccolta di dati significativi – quali le impronte associate alle immagini – imposta a tutti coloro che entrano nella banca, clienti o meno, non può ritenersi di per sé legittimata da una esigenza generica di sicurezza, non essendo stata accompagnata da specifici elementi che evidenzino una concreta situazione di rischio e traducendosi in un sacrificio sproporzionato della sfera di libertà delle persone.

Con la Newsletter del 28 maggio 2001 il Garante rende noti gli esiti di un parere riguardante l’installazione di una webcam nell’ufficio del Sindaco, per riprendere le sedute della Giunta e gli incontri con i cittadini, rilevando che se per le sedute di Consiglio è perfettamente legittimo l’uso di una telecamera, trattandosi di sedute pubbliche, ma che, al contrario, le sedute della Giunta e gli incontri del Sindaco con i cittadini non necessitano di alcuna forma di pubblicità.

Linea dura anche per le webcam in spiaggia. Nella Newsletter del 23 luglio 2001 l’Authority chiarisce che possono essere installate sulle spiagge solo telecamere fisse e senza zoom, a bassa risoluzione o collocate lontane dalla zona ripresa o comunque in condizioni tali da non consentire di individuare i tratti somatici delle persone.

Nel mese di Settembre l’attività del Garante si sposta sulle condizioni di lavoro negli uffici e sulla raccolta dati tramite telecamere di sorveglianza. Con la Newsletter del 23 settembre 2001 vengono rese note le linee guida dettate dai Garanti d’Europa la tutela della riservatezza dei lavoratori.

Tra i vari passaggi relativi alle molteplici modalità di controllo cui potrebbero essere sottoposti i lavoratori, molte delle quali in aperto contrasto con l’art. 4 dello Statuto dei Lavoratori (Legge n. 300/1970), il documento afferma che anche la videosorveglianza ed il trattamento di suoni e immagini ricadono sotto la disciplina della protezione dei dati personali e sono regolati dalle norme della Direttiva europea sulla riservatezza. I lavoratori devono essere quindi resi consapevoli che molte delle attività svolte nell’ambito del rapporto di lavoro implicano il trattamento dei dati personali, i quali, in taluni casi, sono di carattere sensibile e comportano, pertanto, l’innalzamento delle misure di sicurezza e delle cautele da adottare a cura del datore di lavoro.

Ed ancora, il 28 settembre 2001 il Garante torna sul problema della videosorveglianza associata alla rilevazione di dati biometrici presso gli Istituti di Credito, cambiando tuttavia opinione – almeno in parte – rispetto al parere espresso solo nel mese di aprile dello stesso anno.

Nel prendere atto, su richiesta di alcuni istituti di credito, di specifiche ed attuali esigenze di sicurezza connesse all’imminente introduzione della moneta unica e all’ingente quantità di denaro contante disponibile presso le filiali, l’Authority ribadisce il proprio orientamento circa il divieto di utilizzazione generalizzata di sistemi di rilevazione biometrica all’ingresso delle banche, fissando tuttavia alcune condizioni che, a fronte di eccezionali ed acclarate situazioni di rischio, consentono l’installazione di sistemi di rilevazione automatica di impronte digitali, associabili all’immagine dell’interessato, ma solo a seguito di decrittazione dei dati effettuata dall’autorità giudiziaria e comunque nel rispetto di alcune imprescindibili garanzie per gli interessati, individuate dallo stesso provvedimento.

Il richiamo alle misure di sicurezza ed ai tempi di conservazione delle immagini, non superiore alla settimana, non può essere commentato favorevolmente. Innanzitutto, perché non si comprende la necessità di imporre il rilevamento biometrico in modo facoltativo. Se può comprendersi l’esigenza di tutelare la sicurezza della banca e degli utenti, certamente illogico appare, invece, un provvedimento “salomonico” che permette di scegliere se sottoporsi o meno al rilevamento. Nuoce ai comuni cittadini, che si espongono, in tal modo, all’eventuale utilizzo illecito del database da parte dell’azienda o di qualche suo dipendente infedele, mentre lascia ampia discrezionalità al delinquente che sta operando un sopralluogo per eseguire una rapina, il quale si guarderà bene dal lasciare la propria impronta, trincerandosi dietro un rifiuto e pretendendo il rispetto del provvedimento del Garante, premurandosi, inoltre, di programmare il crimine almeno dall’ottavo giorno successivo al sopralluogo, per essere sicuro dell’eliminazione delle immagini che lo riguardano o, quanto meno, di averle rese inutilizzabili per la Magistratura. La criminalità, commossa, ringrazia.

2002

Il 2002 inizia con una sanzione per l’omessa informativa agli interessati. I carabinieri, nel mese di febbraio, rilevano la presenza di un sistema di telecamere a circuito chiuso all’interno di una discoteca, difficilmente visibili e comunque preavvisate da un laconico messaggio all’interno di uno dei locali. La condotta viene censurata con una sanzione amministrativa.

La stessa sorte tocca, nel mese di Maggio, ad un supermercato del centro Italia, per non aver informato la clientela della presenza di un sistema di videosorveglianza, che riprendeva immagini, sia all’interno che all’esterno dei locali, ventiquattro ore su ventiquattro.

Anche il terrorismo incrocia i suoi percorsi con le telecamere. Le gesta di Unabomber, nel mese di Settembre 2002, inducono alcuni ipermercati ad attivare dei sistemi di videosorveglianza volti a garantire la sicurezza degli utenti, ma senza rispettare le prescrizioni imposte dal Garante, che interviene censurando i comportamenti, rilevando la diffusa abitudine di superare i limiti imposti dalla legge, omettendo di rendere l’informativa prevista dalla legge e di adottare le misure di sicurezza necessarie al trattamento dei dati.

Tornano a riunirsi, nel mese di Settembre, i garanti Europei, che tracciano le linee guida del corretto utilizzo degli apparati di videosorveglianza.

Il “decalogo” europeo nasce dall’esigenza di definire un quadro di riferimento uniforme ed armonico a livello comunitario riguardo all’installazione di tali sistemi, e contiene indicazioni generali (da specificare ulteriormente nei singoli settori di applicazione) che rappresentano un denominatore comune minimo al quale fare riferimento.

A distanza di qualche mese, il Consiglio d’Europa pubblica, all’esito di un lungo processo di analisi, un ampio e complesso documento sul rapporto tra protezione dei dati e videosorveglianza. Il testo fissa le linee guida per operatori pubblici e privati, richiamando l’attenzione sui principi che devono essere rispettati nell’impiego di dispositivi di controllo video.

In particolare, viene ricordata a tutti gli operatori una serie di adempimenti, prima tra tutti la verifica della conformità alla normativa vigente dell’installazione, in relazione alle modalità e agli scopi perseguiti.

In sostanza, secondo gli esperti del Consiglio d’Europa, il ricorso alle telecamere deve rappresentare l’extrema ratio, l’ultima soluzione, se sistemi meno invasivi non risultano efficacemente utilizzabili. L’attività di controllo svolta attraverso sistemi video non deve comprimere le libertà e i comportamenti degli interessati, soprattutto per quanto riguarda la libertà di circolazione e il diritto all’autodeterminazione informativa (è necessario ricordare, infatti, che esiste una ragionevole aspettativa di privacy anche nei luoghi pubblici). Le immagini raccolte devono, poi, essere effettivamente necessarie per gli scopi perseguiti, e non devono essere conservati a lungo se ciò non è richiesto in modo specifico.

I cittadini e i consumatori devono essere informati dell’esistenza di telecamere: si può venire meno a tale obbligo, in misura ragionevole e proporzionata, soltanto se si perseguono scopi di sicurezza pubblica o di lotta alla criminalità, oppure se serve a tutelare i diritti e le libertà di terzi o dello stesso interessato. Devono comunque essere messe in atto misure tali da garantire agli interessati l’esercizio del diritto di accesso ai dati che li riguardano.

Le cautele da adottare, da parte di chi installa telecamere, devono essere particolarmente efficaci se a tali sistemi si associano altre attività o altri dispositivi (raccolta di dati biometrici, sistemi per il riconoscimento automatico dei tratti somatici, indicizzazione dei dati raccolti, profilazione dei soggetti ripresi, ecc.).

Il documento sottolinea, infine, che il ricorso alla videosorveglianza non deve essere finalizzato al controllo delle prestazioni dei lavoratori. Nel caso che tali forme di controllo risultino necessarie per motivi organizzativi e/o per le caratteristiche dell’attività produttiva, occorre l’assenso delle organizzazioni sindacali, dato che è fondamentale garantire il rispetto della dignità dei lavoratori.

Quasi a confermare la necessità di procedere ad una profonda verifica dello stato di attuazione della normativa sulla riservatezza dei dati personali in Italia, in particolare in materia di videosorveglianza, nel mese di novembre dello stesso anno scatta una raffica di controlli da parte dell’Autorità Garante, cui fanno seguito una valanga di sanzioni ad amministrazioni pubbliche.

Vengono raggiunti dalla “scure” dell’Authority diversi comuni italiani ed il Consiglio Nazionale delle Ricerche, responsabili di aver installato sistemi di videosorveglianza omettendo di adottare le misure di sicurezza e di rendere l’informativa prevista dalla legge.

2003

Sulla scia del progetto Urbaneyes, partito nel mese di gennaio, e di cui si è già detto, anche i Garanti UE, nel mese di febbraio, aprono una consultazione pubblica per sollecitare osservazioni e commenti, da parte dei cittadini e di tutti i soggetti interessati, riguardo alle linee guida sulla videosorveglianza messe a punto dalle stesse Autorità nel novembre precedente.

Nel mese di luglio viene promulgato il Decreto Legislativo n. 196/2003, che raccoglie l’esperienza di nove anni di lavoro attorno alla Legge 675/1996 (che va definitivamente in soffitta, abrogata integralmente dal nuovo Codice) e racchiude in un solo testo normativo tutte le disposizioni in materia di riservatezza dei dati personali.

2004

Il Codice della Privacy entra formalmente in vigore il 1° gennaio 2004, non senza critiche, per l’eccessivo dettaglio della norma e per la sostanziale omessa trattazione di alcuni settori importanti, quale, appunto, la videosorveglianza, che, ancora una volta, viene presa in considerazione solo indirettamente.

Per tale ragione, ad aprile, dopo appena quattro mesi dall’entrata in vigore del nuovo Codice, il Garante torna a pronunciarsi sulla materia, emanando un Provvedimento Generale con il quale viene aggiornato ed integrato il precedente dispositivo del 29 novembre 2000 (il c.d. “decalogo”).

Il nuovo provvedimento segue la scia del Codice appena promulgato, e si dilunga in una raffica di articoli, illustrando e richiamando, in primis, i principi su cui si basa la videosorveglianza, nonché le prescrizioni generali relative a tutti i sistemi, e, nella seconda parte, le prescrizioni riguardanti specifici trattamenti di dati, riservandosi, comunque, di intervenire su casi particolari.

Viene richiamato, innanzitutto, il principio di liceità, evidenziando che il trattamento dei dati attraverso sistemi di videosorveglianza è possibile solo se è fondato sul rispetto dei presupposti indicati dal Codice per i soggetti pubblici e privati.

Accenni mirati alle norme vigenti in materia di interferenze illecite nella vita privata, di tutela della dignità, dell’immagine, del domicilio e degli altri luoghi cui è riconosciuta analoga tutela (toilette, stanze d’albergo, cabine, spogliatoi, ecc.), ed a quelle riguardanti la tutela dei dipendenti sul luogo di lavoro, con particolare riferimento alla legge 300/1970 (Statuto dei lavoratori).

Ciascun sistema informativo e il relativo programma informatico devono essere predisposti e configurati già in origine in modo da non utilizzare più dati di quanti non ne siano effettivamente necessari a raggiungere gli scopi dichiarati. In tal senso, il Garante fa propria la concezione, più volte segnalata in dottrina, di prevenire il possibile utilizzo illecito di dati personali procedendo ad una seria analisi della situazione di fatto esistente presso il soggetto pubblico o privato titolare del trattamento, a seguito della quale, ad esempio, è possibili individuare i trattamenti che possono essere anonimizzati e quindi sottratti alla disciplina del Codice della Privacy.

Va soprattutto effettuato quel bilanciamento di interessi che non consente, ad esempio, di installare un impianto di videosorveglianza quando altre misure siano utilizzabili per ottenere gli stessi risultati.

Secondo il Garante non va adottata la scelta semplicemente meno costosa, o meno complicata, o di più rapida attuazione, che potrebbe non tener conto dell’impatto sui diritti degli altri cittadini o di chi abbia diversi legittimi interessi.

E’ questo uno dei passaggio più criticati del provvedimento, dato che non tiene presente l’aspetto economico del problema o comunque lo sottovaluta.

La videosorveglianza, spesso, viene scelta dal titolare del trattamento non solo perché è l’unico o il miglior sistema di controllo delle aree sottoposte a tutela, ma anche perché è relativamente economico rispetto ad altri dispositivi, magari meno invasivi ma dal costo proibitivo.

Il problema del taccheggio nei negozi, ad esempio, è stato risolto dalle grandi catene di distribuzione attraverso il ricorso alle etichette a radiofrequenza. Tale tecnologia risulta però assolutamente ingestibile per il piccolo negozio, che non è in grado di sopportarne i costi, e per il quale solo economicamente è preferibile l’installazione di un sistema di videosorveglianza che, ad una interpretazione restrittiva del provvedimento, potrebbe risultare illecito, dato che è disponibile un’altra tecnologia meno invasiva e più adatta allo scopo.

Il titolare, prima di installare un impianto di videosorveglianza, dovrà valutare, obiettivamente e con un approccio selettivo, se l’utilizzazione ipotizzata sia in concreto realmente proporzionata alle finalità del trattamento.

I parametri di riferimento risultano essere, innanzitutto, la scelta di memorizzare o meno le immagini; quindi la dislocazione delle telecamere e le varie tipologie di immagini e filmati che attraverso di essere è possibile acquisire; infine la durata temporale delle immagini memorizzate.

Tra le prescrizioni spicca, anche a causa delle numerose sanzioni comminate dall’Authority negli anni precedenti, quella dell’informativa da rendere ai cittadini che possono entrare nel raggio di azione delle telecamere, che prevede una prima fase di avvertimento al soggetto, che deve necessariamente avvenire all’estero dell’area sottoposta a ripresa – affinché egli possa decidere se entrare in contatto con le telecamere oppure andare altrove – ed un’altra, che può essere contemporanea alla prima o successiva, nella quale si rende edotto il soggetto che i dati saranno trattati in un determinato modo, da determinati soggetti e con determinate garanzie.

Chiarisce il Garante che, in ogni caso, possono essere perseguite solo finalità determinate e rese trasparenti, ossia direttamente conoscibili attraverso adeguate comunicazioni e/o cartelli di avvertimento al pubblico (fatta salva l’eventuale attività di acquisizione di dati disposta da organi giudiziari o di polizia giudiziaria), e non finalità generiche o indeterminate, tanto più quando esse siano incompatibili con gli scopi che vanno esplicitamente dichiarati e legittimamente perseguiti.

Una disposizione che non è assolutamente condivisibile, perché eccessivamente invasiva rispetto al principio di libera determinazione delle scelte imprenditoriali, è quella che prescrive a tutti i titolari del trattamento, di sottoporre alla verifica preliminare dell’Autorità i sistemi di videosorveglianza che prevedono anche la raccolta di ulteriori dati, come l’impronta digitale, le informazioni presenti su una qualsiasi card, o il campionamento della voce o della mappa dell’iride.

La verifica preliminare del Garante è necessaria anche in caso di digitalizzazione o indicizzazione delle immagini (che rendono possibile una ricerca automatizzata o nominativa) e in caso di videosorveglianza c.d. dinamico-preventiva che non si limiti a riprendere staticamente un luogo, ma rilevi percorsi o caratteristiche fisionomiche (es. riconoscimento facciale) o eventi improvvisi, oppure comportamenti anche non previamente classificati.

La disposizione risulta utile anche per delineare la natura del compito assegnato all’Istituto di Vigilanza Privata che eroga il servizio di sorveglianza tramite telecamere, riconducibile alla figura del responsabile del trattamento.

L’Istituto non potrà mai essere considerato titolare del trattamento, anche ove il titolare non avesse materialmente accesso ai dati registrati, poiché la titolarità del trattamento sorge comunque in capo al soggetto che dispone debba effettuarsi il trattamento e che, pertanto, opera le scelte imprenditoriali ad esso connesse, anche se poi delega la parte tecnica ed operativa ad altri soggetti.

Il passaggio che più fa discutere è quello relativo alle misure di sicurezza da adottare per prevenire possibili violazioni della normativa, che fissa il termine di conservazione delle immagini acquisite alle 24 ore successive alla rilevazione ovvero, nel caso di comprovata necessità o disposizione dell’Autorità Giudiziaria, al massimo per sette giorni.

Secondo il Garante, Il sistema impiegato deve essere programmato in modo da operare, al momento prefissato e ove tecnicamente possibile, la cancellazione automatica dei dati dal supporto di memorizzazione, anche mediante sovra-registrazione, con modalità tali da rendere non riutilizzabili i dati cancellati.

E’ sufficiente, in sostanza, come già rappresentato, che il criminale faccia un sopralluogo otto giorni prima della rapina, per essere sicuro di poter contare sulla cancellazione dei dati che lo riguardano o, quantomeno, sulla inutilizzabilità degli stessi in un eventuale processo.

Chi si dota di un sistema di videosorveglianza, infine, deve redigere un Documento non meglio specificato, ma molto simile, nella concezione, al famigerato DPS, in cui individuare le ragioni delle scelte operate, da tenere a disposizione degli eventuali controllori.

Il Provvedimento prosegue e termina con l’elencazione di alcune prescrizioni riferite a casi specifici, derivanti dall’esperienza accumulata nel corso degli anni.

Ad esempio viene ribadito il divieto di controllo a distanza dell’attività lavorativa, e rinnovato l’elenco di prescrizioni per l’installazione e l’uso di telecamere negli ospedali, nelle case di cura, nelle scuole ed università, nei luoghi di culto, e in tutti gli altri luoghi aperti al pubblico in cui non sempre si accede volontariamente o con la serenità necessaria a leggere informative o notare l’installazione di telecamere.

Per i soggetti pubblici viene nuovamente rimarcata la possibilità di effettuare attività di videosorveglianza solo ed esclusivamente per svolgere funzioni istituzionali, da individuare ed esplicitare con esattezza e nel rispetto dei principi dell’Ordinamento Giuridico, senza ipotizzare presunte “funzioni istituzionali” derivanti da collaborazione “speciali” con le Forze dell’Ordine, che non sono delinate dalle norme nazionali o regionali, né dagli Statuti delle Autonomie Locali, e sono chiaramente tese a dare parvenza giuridica ad un trattamento illecito di dati.

Secondo il Garante, in particolare, non è lecito procedere ad una videosorveglianza capillare di intere aree cittadine “cablate”, riprese integralmente e costantemente e senza motivate esigenze. Del pari è vietato il collegamento telematico tra più soggetti raccordati ad un “centro” elettronico, che possa registrare un numero elevato di dati personali e ricostruire integralmente il percorso effettuato dal cittadino in un determinato arco di tempo.

Per quanto riguarda l’attività posta in essere dai privati, il Garante impone l’acquisizione del consenso, rappresentando che esso oltre alla presenza di un’informativa preventiva e idonea, è valido solo se espresso e documentato per iscritto. Non è pertanto lecito acquisire un consenso presunto o tacito, oppure manifestato solo per atti o comportamenti concludenti, consistenti ad esempio nell’implicita accettazione delle riprese in conseguenza dell’avvenuto accesso a determinati luoghi.

E’ questo un altro passaggio che, se non considerato attentamente, potrebbe dare adito a dubbi e a interpretazioni non in linea con i principi espressi dalla normativa sulla riservatezza dei dati personali e, più in generale, dai principi generali dell’Ordinamento.

Si potrebbe infatti ipotizzare quantomeno l’abnormità di un provvedimento che disponga l’acquisizione del consenso al trattamento da parte di un rapinatore, prima che egli entri nella banca che ha scelto come bersaglio. O della necessità di acquisire il consenso dello stupratore, nel momento in cui accede ad un negozio con l’intento di mettere le mani addosso all’avvenente commessa.

Per fortuna è lo stesso provvedimento a chiarire che un’idonea alternativa all’esplicito consenso va ravvisata nell’istituto del bilanciamento di interessi, che individua i casi in cui la rilevazione delle immagini può avvenire senza consenso, qualora la ripresa sia effettuata nell’intento di perseguire un legittimo interesse del titolare o di un terzo, attraverso l’acquisizione di elementi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro.

Il Provvedimento si chiude con alcune disposizioni sulla videosorveglianza che può essere effettuata all’interno dei condomini, in cui si contrappongono le esigenze di tutela della riservatezza, nell’accesso alle parti comuni, alla necessità di tutelare gli spazi privati e garantire la selezione degli accessi all’immobile tramite videocitofono. Situazioni assoggettate alla normativa, nel primo caso, ed escluse, viceversa, nella seconda ipotesi, ma solo per scopi personali e senza finalità di comunicazione e diffusione.

Avv. Gianluca Pomante

info@pomante.com

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *