Videosorveglianza, oggi

C’era una volta una telecamera… ingombrante, priva di brandeggio e zoom, in bianco e nero, che produceva solo filmati in bassa risoluzione, e che poverina, anche se installata in banche, uffici e pubbliche vie, non dava fastidio a nessuno.

Ma un giorno arrivarono gli orientali cattivi, sempre pronti a fotografare e miniaturizzare tutto, e a costruire strumenti tecnologici sempre più accessoriati e sempre più potenti.

Le telecamere divennero sempre più piccole, talmente piccole da poter essere nascoste anche in un bottone. Iniziarono a generare filmati a colori e ad alta risoluzione. Riuscirono a gestire brandeggio e zoom, a muoversi, perfino a fare a meno dell’alimentazione e dei cavi, grazie a batterie sempre più potenti e a tecnologie radio sempre più affidabili.

E iniziarono anche a dare fastidio, perché per mille utilizzi leciti, ce n’era sempre qualcuno fuorilegge. E fu così, che, nel vano tentativo di punire i cattivi, arrivò il Garante a dire quello che si doveva fare.

Così, adesso, grazie al Provvedimento Generale del Garante del 29 aprile 2004, per i delinquenti è sufficiente fare i sopralluoghi in banca otto giorni prima della rapina, per avere la certezza di non essere ripresi o, comunque, di aver reso gli atti inutilizzabili alla Magistratura. Mentre per i cittadini continua ad aggravarsi la sindrome del pesce rosso, sia perché di videosorveglianza si parla sempre e comunque (e di solito a sproposito), sia perché le varie videocamere (telefonini, webcam, telecamere di sorveglianza, riprese televisive, ecc.) continuano a mostrare i vizi e le virtù di migliaia di italiani poco attenti ai fatti loro (o, quantomeno, poco inclini a farseli privatamente) e ad alimentare processi a raffica per separazioni con addebito, citazioni per danni, violazione della riservatezza, e chi più ne ha, più ne metta.

Riferimenti normativi.

Il 30 giugno 2003 (Gazzetta Ufficiale n. 174 del 29 luglio 2003) viene promulgato il Decreto Legislativo n. 196 (Codice in materia di protezione dei dati personali) che raccoglie in un solo testo normativo l’esperienza di nove anni di lavoro attorno alla Legge 675/1996, che viene definitivamente messa da parte, in quanto abrogata dall’art. 183 dello stesso Codice, nonostante migliaia di documenti e di sedicenti esperti, in Italia, a distanza di oltre un anno, continuino a far riferimento ad essa.

Il merito del nuovo testo è quello di racchiudere in un solo documento tutte le disposizioni in materia di dati personali introdotte nell’ordinamento nel corso degli anni, ovviamente aggiornate, rivedute e corrette in base ai problemi fronteggiati, all’evoluzione tecnologica e alle nuove esigenze manifestatesi.

Tuttavia anche tale sforzo legislativo non è esente da critiche, dato che, per esempio la materia della videosorveglianza, ancora una volta, è stata messa da parte, dato che ad essa si accenna solo incidentamente, in alcuni articoli.

Ad esempio nell’art. 50, il quale, richiamando la disposizione della Legge 488/00 (Disposizioni sul processo penale a carico di minorenni), estende il divieto di pubblicazione e divulgazione, con qualunque mezzo, di immagini che consentano di identificare il minore coinvolto nel procedimento, anche ai giudizi diversi da quello penale.

Per quanto riguarda l’art. 55, non si comprende (nè i diretti interessati si sono premurati di chiarire) se tra le particolari tecnologie cui fa riferimento la norma, debba essere ricompresa la videosorveglianza. Il richiamo all’art. 17 sembrerebbe avallare tale ipotesi, ed in tal caso sarebbe necessaria la preventiva comunicazione al Garante ai sensi dell’art. 39, che, tuttavia, riguarda solo le situazioni specifiche di cui all’art. 37. Insomma, il solito pasticcio normativo all’italiana.

Non sono, in ogni caso, soggetti alle norme del Codice, i trattamenti effettuati dai servizi segreti, salvo che per le disposizioni che implicano la liceità del trattamento, l’obbligo di aggiornamento ed il divieto di profilazione, l’obbligo del risarcimento danni ai sensi dell’art. 2050 c.c., l’obbligo di adottare misure di sicurezza e l’assoggettamento al potere di controllo e sanzione da parte del Garante.

Lo stesso discorso vale per i trattamenti effettuati da soggetti pubblici per finalità di difesa o sicurezza dello Stato, con l’ulteriore obbligo di notificare al Garante il trattamento di dati di cui all’art. 37 (biometrici, genetici, relativi al rilevamento a distanza tramite GPS o altre tecnologie, ecc.).

In quest’ultimo caso il soggetto pubblico non ha ampia discrezionalità nella scelta del trattamento e dei “bersagli” ma può attivarsi solo se lo prevede una specifica disposizione di legge (precisazione che sembrerebbe indicare che, invece, i servizi segreti civili e militari possono mettere sotto controllo chiunque, anche senza alcuna ragione).

Un ulteriore richiamo alla videosorveglianza, anche se incidentale, è contenuto dall’art. 114, che rinvia all’art. 4 dello Statuto dei Lavoratori sul controllo a distanza, che, a sua volta, è stato sempre interpretato come divieto generale di videosorveglianza che possa ledere la dignità del lavoratore (anche in questo caso, la soluzione salomonica comunemente accettata è quella di videosorvegliare ma non troppo).

Finalmente, con l’art. 134, il Codice in materia di protezione di dati personali cita espressamente la videosorveglianza, ma solo per rappresentare che dovrà essere emanato un codice deontologico da adottarsi a cura di chiunque effettui tale tipo di trattamento.

A prescindere dall’abuso dei codici deontologici, che erano in passato prerogativa delle professioni intellettuali di particolare rilevanza sociale, che per tale motivo dovevano autoregolamentarsi per evitare influenze esterne, non appare inutile rilevare come serva davvero a poco l’emanazione di uno strumento regolamentare in assenza di un ordine professionale che possa esercitare il controllo disciplinare su chi aderisce al codice, e soprattutto senza l’irrogazione di sanzioni a carico dei trasgressori. In assenza della certezza di una sanzione, infatti, al codice si adegueranno soltanto i c.d. “fessi”, mentre i “furbacchioni” continueranno imperterriti a violarne le norme.

L’art. 134 chiude l’elenco delle norme direttamente o indirettamente riferibili alla videosorveglianza.

Per le ragioni suesposte, nel mese di aprile 2004, dopo appena quattro mesi dall’entrata in vigore del nuovo Codice, il Garante torna a pronunciarsi sulla materia, emanando un Provvedimento Generale con il quale viene aggiornato ed integrato il precedente dispositivo del 29 novembre 2000 (il c.d. “decalogo”).

Il nuovo provvedimento segue la scia del Codice appena promulgato, e si dilunga in una valanga di

articoli, illustrando e richiamando, in primis, i principi su cui si basa la videosorveglianza, nonché le prescrizioni generali relative a tutti i sistemi, e, nella seconda parte, le disposizioni riguardanti specifici trattamenti di dati, riservandosi, comunque, di intervenire su casi particolari.

Il provvedimento richiama innanzitutto il principio di liceità, evidenziando che il trattamento dei dati attraverso sistemi di videosorveglianza è possibile solo se è fondato sul rispetto dei presupposti indicati dal Codice per i soggetti pubblici e privati.

Richiama, inoltre, le norme vigenti in materia di interferenze illecite nella vita privata, di tutela della dignità, dell’immagine, del domicilio e degli altri luoghi cui è riconosciuta analoga tutela (toilette, stanze d’albergo, cabine, spogliatoi, ecc.).

Ed ancora, analizza le norme riguardanti la tutela dei dipendenti sul luogo di lavoro, con particolare riferimento alla legge 300/1970 (Statuto dei lavoratori).

Poiché l’installazione di un sistema di videosorveglianza comporta in sostanza l’introduzione di un vincolo per il cittadino, ovvero di una limitazione e comunque di un condizionamento, va applicato il principio di necessità e, quindi, va escluso ogni uso superfluo, ed evitati eccessi e ridondanze.

Ciascun sistema informativo e il relativo programma informatico devono essere predisposti e configurati già in origine in modo da non utilizzare più dati di quanti non ne siano effettivamente necessari a raggiungere gli scopi dichiarati. In tal senso, il Garante fa propria la concezione, più volte segnalata in dottrina, di prevenire il possibile utilizzo illecito di dati personali, procedendo ad una seria analisi della situazione di fatto esistente presso il soggetto pubblico o privato titolare del trattamento, a seguito della quale, ad esempio, è possibili individuare i trattamenti che possono essere anonimizzati e quindi sottratti alla disciplina del Codice della Privacy.

Nel commisurare la necessità di un sistema al grado di rischio presente in concreto, va evitata la rilevazione di dati in aree o attività che non sono soggette a concreti pericoli, o per le quali non ricorre un’effettiva esigenza di deterrenza, come quando, ad esempio, le telecamere vengono installate solo per meri fini di apparenza o di “prestigio” o sono addirittura finte (poichè anche quest’ultime incidono sulla libera scelta del soggetto di accedere a determinati luoghi). Va soprattutto effettuato quel bilanciamento di interessi che non consente, ad esempio, di installare un impianto di videosorveglianza quando altre misure siano utilizzabili per ottenere gli stessi risultati. A parere dello scrivente, quello delle telecamere finte è un ambito in cui il Garante opera in carenza di potere, dato che non vi è alcun trattamento di dati personali, e non può pertanto essere esercitata alcuna facoltà da parte dell’Authority di sindacare l’operato del cittadino, salvo che non voglia ipotizzarsi la possibilità di intervenire in ogni aspetto della vita quotidiana che possa comunque essere messo in relazione con il trattamento di dati personali e con le libertà costituzionali dell’individuo, che risulterebbe privo di qualsiasi fondamento giuridico (Dato che la telecamera altro non è che un prolungamento tecnologico dell’occhio biologico, risulterebbe vietato, a questo punto, anche guardare una bella donna, perchè la memorizzazione dell’immagine nel cervello – e non c’è da dubitare che ogni uomo, per quanto distratto, memorizzi tali informazioni – risulterebbe illecita)

Secondo il Garante non va adottata la scelta semplicemente meno costosa, o meno complicata, o di più rapida attuazione, che potrebbe non tener conto dell’impatto sui diritti degli altri cittadini o di chi abbia diversi legittimi interessi.

E’ questo uno dei passaggio più criticati del provvedimento, dato che non tiene presente l’aspetto economico del problema o comunque lo sottovaluta.

La videosorveglianza, spesso, viene scelta dal titolare del trattamento non solo perché è l’unico o il miglior sistema di controllo delle aree sottoposte a tutela, ma anche perché è relativamente economico rispetto ad altri dispositivi, magari meno invasivi ma dal costo proibitivo.

Il problema del taccheggio nei negozi, ad esempio, è stato risolto dalle grandi catene di distribuzione attraverso il ricorso alle etichette a radiofrequenza (Rfid). Tale tecnologia risulta però assolutamente ingestibile per il piccolo negozio, che non è in grado di sopportarne i costi, e per il quale solo economicamente è preferibile l’installazione di un sistema di videosorveglianza che, per quanto sopra, potrebbe risultare illecito.

Secondo il Garante, non è normalmente giustificabile un’attività di sorveglianza rivolta non al controllo di eventi, situazioni e avvenimenti, ma a fini promozionali-turistici o pubblicitari, attraverso web cam o cameras-on-line che rendano identificabili i soggetti ripresi.

Disquisizioni a parte, il titolare del trattamento, prima di installare un impianto di videosorveglianza, dovrà valutare, obiettivamente e con un approccio selettivo, se l’utilizzazione ipotizzata sia in concreto realmente proporzionata agli scopi prefissi e legittimamente perseguibili.

I parametri di riferimento risultano essere, innanzitutto, la scelta di memorizzare o meno le immagini; quindi la dislocazione delle telecamere e le varie tipologie di immagini e filmati che attraverso di essere è possibile acquisire; infine la durata temporale delle immagini memorizzate.

Occorre valutare se sia sufficiente un’immagine che non renda identificabile il singolo cittadino (anche se il Garante dovrebbe spiegare a cosa potrebbe servire una simile attività, dato che il 99 per cento degli apparati di videosorveglianza viene installato per prevenire e reprimere reati contro il patrimonio o contro la persona), ovvero se sia necessario raccogliere immagini dettagliate (come avviene nella maggioranza dei casi).

Tra le prescrizioni spicca, anche a causa delle numerose sanzioni comminate dall’Authority negli anni precedenti, quella dell’informativa da rendere ai cittadini che possono entrare nel raggio di azione delle telecamere, che prevede una prima fase di avvertimento al soggetto – da attuarsi necessariamente all’esterno dell’area sottoposta a controllo, affinché egli possa decidere se entrare nel raggio d’azione delle telecamere oppure andare altrove, ed un’altra, che può essere contemporanea alla prima o successiva, nella quale si rende edotto il soggetto che i dati saranno trattati in un determinato modo, da determinati soggetti e con determinate garanzie.

Chiarisce il Garante che, in ogni caso, possono essere perseguite solo finalità determinate e rese esplicite, ossia direttamente conoscibili attraverso adeguate comunicazioni e/o cartelli di avvertimento al pubblico (fatta salva l’eventuale attività di acquisizione di dati disposta da organi giudiziari o di polizia giudiziaria), e non finalità generiche o indeterminate, tanto più quando esse siano incompatibili con gli scopi che vanno esplicitamente dichiarati e legittimamente perseguiti.

Una disposizione che non è assolutamente condivisibile, perché eccessivamente invasiva rispetto al principio di libera determinazione delle scelte imprenditoriali, è quella che prescrive, a tutti i titolari del trattamento, di sottoporre alla verifica preliminare dell’Autorità i sistemi di videosorveglianza che prevedono anche la raccolta di ulteriori dati, come l’impronta digitale, le informazioni presenti su una qualsiasi card, o il campionamento della voce o della mappa dell’iride.

La verifica preliminare del Garante è necessaria anche in caso di digitalizzazione o indicizzazione delle immagini (che rendono possibile una ricerca automatizzata o nominativa) e in caso di videosorveglianza c.d. dinamico-preventiva che non si limiti a riprendere staticamente un luogo, ma rilevi percorsi o caratteristiche fisionomiche (es. riconoscimento facciale) o eventi improvvisi, oppure comportamenti anche non previamente classificati.

Se i trattamenti riguardano dati sensibili o giudiziari, devono essere autorizzati preventivamente dal Garante.

I responsabili e gli incaricati del trattamento devono essere designati per iscritto, indicando espressamente l’incarico di visionare le immagini registrate. Deve in ogni caso trattarsi di un numero ristretto di soggetti, in particolare quando ci si avvale di collaborazioni esterne.

Dalla disposizione in tema di responsabili ed incaricati addetti alla videosorveglianza, si riesce a trarre anche la natura del compito assegnato all’Istituto di Vigilanza Privata che eroga il servizio di sorveglianza tramite telecamere, necessariamente individuabile con la qualifica di responsabile del trattamento.

L’Istituto non potrà mai essere considerato titolare del trattamento, anche ove il titolare non avesse materialmente accesso ai dati registrati; da un lato, perché la titolarità del trattamento sorge comunque in capo al soggetto che dispone debba effettuarsi il trattamento (e quindi in capo al soggetto che ordina e paga il servizio), in secondo luogo perché già solo la presenza del contratto di affidamento del servizio di vigilanza privata impone che il cliente sia titolare e l’istituto al massimo responsabile del trattamento (è il caso tipico dell’outsourcing), se non addirittura incaricato (quando, ad esempio, l’Istituto provvede solo alla gestione e manutenzione dell’impianto ma l’accesso ai dati è consentito solo al titolare o a persona di sua fiducia).

Ed infatti, lo stesso provvedimento chiarisce che la designazione di eventuali responsabili ed incaricati “esterni” può essere effettuata solo se l’organismo esterno svolge prestazioni strumentali e subordinate alle scelte del titolare del trattamento, affinché tale disposizione non sia un espediente per eludere la normativa in materia di protezione dei dati personali.

Il passaggio che più fa discutere è quello relativo alle misure di sicurezza da adottare per prevenire possibili violazioni della normativa, che fissa il termine di conservazione delle immagini acquisite alle 24 ore successive alla rilevazione ovvero, nel caso di comprovata necessità ( e sarebbe interessate capire cosa si intenda per comprovata necessità) o disposizione dell’Autorità Giudiziaria, al massimo per sette giorni.

Il sistema impiegato deve essere programmato in modo da operare al momento prefissato – ove tecnicamente possibile – la cancellazione automatica da ogni supporto, anche mediante sovra-registrazione, con modalità tali da rendere non riutilizzabili i dati cancellati.

E’ sufficiente, in sostanza, come già rappresentato, che il criminale faccia un sopralluogo otto giorni prima della rapina, per essere sicuro di poter contare sulla cancellazione dei dati che lo riguardano o, quantomeno, sulla inutilizzabilità degli stessi in un eventuale processo.

Chi si dota di un sistema di videosorveglianza, infine, deve redigere un Documento non meglio specifico, in cui individuare le ragioni delle scelte operate, da tenere a disposizione degli eventuali controllori. Un altro DPS, in sostanza, che si applica solo alla videosorveglianza.

Il Provvedimento del Garante prosegue e termina con l’elencazione di alcune prescrizioni riferite a casi specifici, derivanti dall’esperienza accumulata nel corso degli anni.

Ad esempio viene ribadito il divieto di controllo a distanza dell’attività lavorativa, e rinnovato l’elenco di prescrizioni per l’installazione e l’uso di telecamere negli ospedali, nelle case di cura, nelle scuole ed università, nei luoghi di culto, e in tutti gli altri luoghi aperti al pubblico in cui non sempre si accede volontariamente o con la serenità necessaria a leggere informative o notare l’installazione di telecamere.

Per i soggetti pubblici viene nuovamente rimarcata la possibilità di effettuare attività di videosorveglianza solo ed esclusivamente per svolgere funzioni istituzionali, da individuare ed esplicitare con esattezza e nel rispetto dei principi dell’Ordinamento Giuridico, senza ipotizzare presunte “funzioni istituzionali” derivanti dalla collaborazione, ad esempio, con le Forze dell’Ordine, che non sono delinate dalle norme nazionali o regionali, né dagli Statuti delle Autonomie Locali, e sono chiaramente tese a dare parvenza giuridica ad un trattamento illecito di dati.

Per quanto riguarda l’attività posta in essere dai privati, il Garante impone l’acquisizione del consenso, rappresentando che esso, oltre alla presenza di un’informativa preventiva e idonea, è valido solo se espresso e documentato per iscritto. Non è pertanto lecito acquisire un consenso presunto o tacito, oppure manifestato solo per atti o comportamenti concludenti, consistenti ad esempio nell’implicita accettazione delle riprese in conseguenza dell’avvenuto accesso a determinati luoghi.

E’ questo un altro passaggio che, se non considerato attentamente, potrebbe dare adito a dubbi e a interpretazioni non in linea con i principi espressi dalla normativa sulla riservatezza dei dati personali e, più in generale, dai principi generali dell’Ordinamento.

Si potrebbe infatti ipotizzare quantomeno l’abnormità di un provvedimento che disponga l’acquisizione del consenso al trattamento da parte di un rapinatore, prima che egli entri nella banca che ha scelto come bersaglio. O della necessità di acquisire il consenso dello stupratore, nel momento in cui accede ad un negozio con l’intento di mettere le mani addosso all’avvenente commessa.

Per fortuna è lo stesso provvedimento a chiarire che un’idonea alternativa all’esplicito consenso va ravvisata nell’istituto del bilanciamento di interessi, che individua i casi in cui la rilevazione delle immagini può avvenire senza consenso, qualora la ripresa sia effettuata nell’intento di perseguire un legittimo interesse del titolare o di un terzo, attraverso l’acquisizione di elementi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro.

Una puntualizzazione a parte merita l’installazione di apparati di videosorveglianza presso i condomini, in particolare per quanto riguarda i videocitofoni, per i quali è previsto che l’informativa non è necessaria se per uso personale. Il Garante avrebbe fatto meglio a chiarire o a non inserire questo passaggio, dato che tale disposizione impone ad un qualsiasi condominio in cui sia presente uno studio professionale o la sede di un’azienda, di esporre una informativa che in caso contrario non sarebbe dovuta.

Poiché occorre ragionare in termini di tutela dell’interessato, sarebbe interessante comprendere cosa cambia tra l’essere visibili tramite un videocitofono di un privato o il videocitofono di un’azienda o uno studio professionale.

I casi sono due. O l’impianto non rientra tra i dati di cui il Codice dispone la tutela (dato che si tratta di uso personale), ovvero si è in presenza di una deroga al D.Lgs. 196/2003 che non può essere disposta dal Provvedimento del Garante, che non è fonte normativa.

Ed ancora, il medesimo discorso può essere fatto per l’installazione degli strumenti descritti nel paragrafo precedente, se effettuata nei pressi di immobili privati e all’interno di condomini e loro pertinenze (es. posti auto, box, ma comunque di proprietà, e non parti comuni), tanto che il Garante si pone il problema di rilevare che occorre comunque adottare della cautele per non incorrere nel reato di interferenze illecite nella vita privata ex art. 615-bis c.p.

Il Codice trova invece applicazione in caso di utilizzazione di un sistema di ripresa di aree condominiali da parte di più proprietari o condomini, oppure da un condominio, dalla relativa amministrazione (comprese le amministrazioni di residence o multiproprietà), da studi professionali, società o da enti no-profit.

L’installazione di questi impianti è ammissibile esclusivamente in relazione all’esigenza di preservare la sicurezza di persone e la tutela di beni da concrete situazioni di pericolo, di regola costituite da illeciti già verificatisi, oppure nel caso di attività che comportano, ad esempio, la custodia di denaro, valori o altri beni (recupero crediti, commercio di preziosi o di monete aventi valore numismatico).

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *