Il Comitato Europeo per la Protezione dei Dati Personali (EDPB: European Data Protection Board) in data 29 gennaio ultimo scorso ha approvato in via definitiva, al termine della consultazione pubblica, le proprie linee guida sulla videosorveglianza e sulle nuove tecnologie biometriche ad essa applicate.

Soffermandoci per ora su quanto previsto per le apparecchiature destinate alla video-sorveglianza ordinaria, il Comitato dà un giro di vite.

La nostra Autorità di controllo ha emesso in passato ben due provvedimenti generali sulla video-sorveglianza: quello del 29 aprile 2004 e quello dell’8 aprile 2010.

Tali provvedimenti hanno fornito indicazioni generali, che ci hanno guidato fino ad oggi.

Con i provvedimenti del 2004 e del 2010 il Garante ha indirizzato e contenuto  l’attività di video-sorveglianza, dei cui molteplici utilizzi si limitava a prendere atto.

Vi si leggeva, infatti: “Un´analisi non esaustiva delle principali applicazioni dimostra che la videosorveglianza è utilizzata a fini molteplici, alcuni dei quali possono essere raggruppati nei seguenti ambiti generali…”

Il Comitato Europeo, invece,  prima ancora di indirizzarla e limitarla, rimette l’accento su un aspetto ancor più radicale, meno incisivamente presente già nel provvedimento del Garante italiano del 2004, cioè sull’ammissibilità stessa dell’attività di video-sorveglianza in riferimento al principio di “necessità” del trattamento.

Nel provvedimento del Garante per la Protezione dei Dati Personali del 2010 si affermava come criterio di legittimità della video-sorveglianza il “bilanciamento” tra gli interessi del Titolare e quelli degli interessati, indicando la “tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo”  o la “finalità di prevenzione di incendi o di sicurezza del lavoro” come casi in cui tale bilanciamento era consentito .

Oggi, invece, il Comitato Europeo ci dice a chiare lettere che l’esigenza di tutelare la sicurezza delle persone e della proprietà non è di per sé stessa fonte di legittimità della videosorveglianza, se non prima di aver ritenuto quest’ultima come strumento assolutamente insostituibile. 

Il concetto assolutamente nuovo è che prima di installare un impianto di video-sorveglianza il Titolare dovrà vagliare seriamente ed in concreto tutte le possibili alternative, da preferirsi alla prima.

Nell’ottica di una accountability nel trattamento del dato personale il Titolare è tenuto oggi ad un’analisi, che un tempo forse gli era risparmiata, sulla effettiva assenza di ogni altro mezzo idoneo al medesimo scopo.

Le linee guida invitano a considerare, ad esempio, la possibilità di installare migliori recinzioni, serrature di sicurezza, finestre anti manomissione; l’utilizzo di servizi di vigilantes o di piantoni.

Vogliamo parlare di “disfavore” per la video-sorveglianza nelle linee guida del Board?

No, ma sicuramente vi si legge un invito a tutti gli attori del GDPR (Autorità di controllo in testa) a prestare maggiore attenzione al trattamento “video-sorveglianza”, data la sua sicura invasività nella sfera privata dei cittadini – soprattutto a fronte degli sviluppi tecnologici –  mentre non costituisce affatto quella panacea contro il crimine come invece si tende a pensare.

Interessantissimi gli studi sul punto, tra cui quello condotto nel 2008 da CITRIS (Center for Information Technology Research in the Interest presso la Università della California) su due dei principali progetti di videosorveglianza territoriale negli Stati Uniti (quelli di Los Angeles e Chicago) https://www.wired.com/images_blogs/threatlevel/files/sfsurveillancestudy.pdf.

Lo studio (ampiamente richiamato anche nell’interessante articolo in lingua italiana di Carlo Maria Fosco, pubblicato nel 2010 sul quotidiano online di Roma Nord: http://www.vignaclarablog.it/wp-content/uploads/2010/02/videosorveglianza-cmmosco.pdf) si conclude rilevando come l’efficacia della videosorveglianza sia nettamente sopravvalutata, vuoi in termini di effettiva prevenzione dei crimini, vuoi in termini di acquisizione di prove valide in giudizio.

E’ sicuramente maggiore la percezione di sicurezza generata nei cittadini dalle telecamere poste in ogni dove, che l’effettiva dissuasione creata in chi compie i delitti più gravi, spesso frutto di impulsi irrazionali.

Tutte le Autorità Garanti e i DPO europei dovranno mettere meglio a fuoco questo aspetto.

Le linee guida del 2010, infatti, possono considerarsi definitivamente superate da quelle che il Board ha approvato il 29 gennaio u.s.

Sul sovraordinamento gerarchico delle Linee Guida dell’EDPB non vi sono dubbi.

Il GDPR è un Regolamento europeo.

Ai sensi dell’art. 288 del TFUE il Regolamento è l’atto legislativo tipico delle istituzioni europee, ha portata generale ed è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Ciò significa che il regolamento prevale sulle leggi nazionali eventualmente contrastanti con lo stesso.

Il Regolamento dell’Unione Europea 2016/679 (GDPR) all’Art. 70, primo paragrafo, lettera e) afferma testualmente che il Comitato Europeo per la Protezione dei Dati  (EDPB): “esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione, qualsiasi questione relativa all’applicazione del presente regolamento e pubblica linee guida, raccomandazioni e migliori prassi al fine di promuovere l’applicazione coerente del presente regolamento”.

Oltre a questo, in altre lettere del par. 1 dell’art. 70  si prevede che il Comitato sia incaricato di emettere linee guida “al fine di specificare ulteriormente i criteri e i requisiti” di svariate disposizioni contenute nel Regolamento stesso, il che ci consente di affermare che il Comitato eserciti la funzione di “interprete autentico” di questa specifica norma europea.

In quale rapporto si pongono, quindi, le linee guida del Comitato Europeo per la Protezione dei Dati e le linee guida o i provvedimenti generali delle singole autorità di controllo, comprese quelle del nostro Garante per la Protezione dei Dati Personali?

Essendo il Comitato Europeo organo istituito dal Regolamento 2016/679 come entità sovraordinata alle singole Autorità di Controllo degli stati Membri ed unico interprete del medesimo Regolamento 2016/679, le linee guida emesse ai sensi dell’art. 70 prevarranno sempre sui provvedimenti e sulle linee guida delle autorità di controllo degli stati membri.

E’ vero che il GDPR lascia un certo grado di autonomia agli Stati nello specificare singoli articoli, ma è una facoltà attribuita al potere legislativo degli stessi, non certo ad autorità amministrative interne.

Se necessiti di assistenza/consulenza per rendere conforme la tua attività alla nuova normativa europea ed italiana in materia di privacy e tuteta dei dati personali,  contatta lo studio anche solo per un preventivo gratuito a questi recapiti:
Cell. 3713305150
Tel. 054156050
email: info@studiolegalecucci.net

Avv. Francesco Cucci

Avv. Francesco Cucci

Write a comment:

*

Your email address will not be published.

logo-footer

P.IVA 02203350406

Cod. Fisc. CCCFNC66P18H294J