Videosorveglianza privata e l'appetito degli enti locali: una zona grigia che richiede cautela.
PREMESSA INTERPRETATIVA: il Garante Privacy ha ragione per definizione. Stimo molti giuristi e funzionari che ci lavorano. Con alcuni ho anche sostenuto esami all'università quindi sono stati, a tutti gli effetti, i miei maestri. Scrivo questo pezzo perché mi pongo delle domande su aspetti della materia che non ho ancora compreso, nella speranza di imparare e di potermi migliorare.
Premessa: limiti e libertà della videosorveglianza privata.
"Consigli per gli acquisti!"
Così salutava Maurizio Costanzo prima di lasciare spazio alla pubblicità.
"Consigli per gli acquisti" mi piaceva molto. Nobilitava gli spot facendoli sembrare qualcosa di importante e autorevole, pur restando sempre e solo pubblicità.
Il buon Costanzo parlava alla gente, al pubblico e non aveva certo la possibilità di differenziare il messaggio. Né avrebbe avuto senso un messaggio differenziato per differenti destinatari. Una cosa poteva dire in quella sede ed era diretta alla parte centrale della gaussiana: alla massa più rappresentativa dei suoi ascoltatori che, già allora, erano abbastanza low-profile, scarsamente attenti, scarsamente scolarizzati, poco critici e pronti a bersi qualsiasi cosa dica l'anchorman sullo schermo.
Ri-leggendo l'infografica del Garante relativa alla videosorveglianza, ho avuto una sensazione di deja-vu, come se il Garante voglia nobilitare alcune indicazioni che non hanno carattere universale, imprecise ma generaliste, che non si adattano di fino alle varie casistiche ma che soddisfano il centro della gaussiana e che, a pensarci bene, male non fanno.
Consigli, appunto.
L'infografica è destinata alle persone comuni e, quindi, non ai titolari assistiti da consulenti o DPO (imprese, imprenditori, professionisti, ingegneri, medici, avvocati, ecc.).
Questa premessa è importante perché, nei primissimi articoli del GDPR, esiste una bolla preservata dalla norma ed esterna al suo campo di applicazione che, quindi, è esente da regole, vincoli e adempimenti: si chiama Household Exemption ed esclude l'applicazione dell'intero GDPR, in blocco, ai trattamenti “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”.
Per questa intera categoria di trattamenti, il GDPR semplicemente non si applica.
Il GDPR potrà avere, quindi, in questi casi, una funzione indicativa, di consiglio, orientativa per cercare di fare "la cosa giusta", ma non può essere pretesa, non può dare luogo a sanzioni o contestazioni.
Penso che si capisca molto bene questo ruolo di indirizzo del Garante, non certo prescrittivo, ma utile per suggerire alle persone come comportarsi in casa propria. Si pensi alle indicazioni fornite dal Garante in materia di assistenti domestici (Alexa, Siri, Cortana, ecc), dei citofoni e spioncini connessi online oppure alle Daschcam da montare in macchina. Si tratta di ambiti che non possono che essere ricondotti alla sfera privata e, per questo, libera, ma che necessitano di indicazioni dell'Autorità per evitare che diventino terra di nessuno, fattore di rischio per gli individui o che si verifichino situazioni da far west.
"Dovrebbe", appunto.
Nel caso della videosorveglianza, l'esenzione per finalità domestiche viene molto compressa e limitata dal fatto che esiste una interazione abbastanza spinta rispetto alla libertà altrui e, come noto, le libertà individuali finiscono dove iniziano le libertà altrui.
Da sempre si registrano provvedimenti emessi verso soggetti privati ai quali la polizia locale ha contestato un uso illecito della videosorveglianza. Ma su che basi? Questi provvedimenti sono difficili da comprendere e meriterebbero una analisi dettagliata. In molti casi, l'istruttoria ha registrato carenze nella fase difensiva e, sulla base di un verbale di un pubblico ufficiale, il Garante non ha potuto che procedere a sanzionare. In altri casi, i privati si sono spinti troppo oltre, si sono sentiti infinitamente liberi e hanno compresso libertà altrui. Una situazione nel complesso molto deludente.
Resto dell'idea che l'Household Exemption, se utilizzata correttamente, avrebbe permesso di evitare contestazioni temerarie e sanzioni improvvide. Effettivamente diventa difficile sperare che i privati siano compassati nell'applicazione della l'Household Exemption e rispettosi dei diritti altrui. Per sua natura, ogni persona desidera il massimo della propria libertà e fatica a rendersi conto di aver infranto una barriera costituita dalla libertà altrui.
Le Linee guida EDPB 3/2019 danno una indicazione molto importante a riguardo e, con riferimento ai sistemi di videosorveglianza, suggeriscono di interpretare la deroga relativa alle attività a carattere domestico in maniera restrittiva.
Questa disposizione – la cosiddetta deroga relativa alle attività a carattere domestico – nel contesto della videosorveglianza deve essere interpretata in modo restrittivo. Di conseguenza, come ritenuto dalla Corte di giustizia dell’Unione europea, la cosiddetta «deroga relativa alle attività a carattere domestico» deve «[…] interpretarsi nel senso che comprende unicamente le attività che rientrano nell’ambito della vita privata o familiare dei singoli, il che manifestamente non avviene nel caso del trattamento di dati personali consistente nella loro pubblicazione su Internet in modo da rendere tali dati accessibili ad un numero indefinito di persone» (4 ). Inoltre, un sistema di videosorveglianza, nella misura in cui comporta la registrazione e la conservazione costanti di dati personali e si estende «anche se solo parzialmente, allo spazio pubblico, e pertanto è dirett[o] verso l’esterno della sfera privata della persona che procede al trattamento dei dati con tale modalità, [...] non può essere considerat[o] un’attività esclusivamente “personale o domestica” ai sensi dell’articolo 3, paragrafo 2, secondo trattino, della direttiva 95/46» (5 ).
(4) Corte di giustizia dell’Unione europea, sentenza nella causa C-101/01, Bodil Lindqvist, 6 novembre 2003, punto 47.
(5 ) Corte di giustizia dell’Unione europea, sentenza nella causa C-212/13, František Ryneš contro Úřad pro ochranu osobních údajů, 11 dicembre 2014, punto 33
Le sentenze della Corte di giustizia dell’Unione europea e l'orientamento dell'EDPB descrivono uno scenario ben circostanziato e, arrivando a definire con precisione la fattispecie, non possono essere scambiate per consigli, e così, in definitiva, nemmeno l'attività del Garante può essere minimizzata.
Tuttavia, proprio la loro specificità, ne esclude una applicazione estensiva a fattispecie diverse o che presentino caratteristiche tali da determinare una sostanziale differenza.
Vale la pena di ricordare che i dettagli, spesso, determinano grandi differenze.
- con o senza registrazione delle immagini
- con o senza diffusione tramite pagine web (tipo webcam) o al pubblico
- con o senza visibilità da remoto con app
- con o senza connessione ad un sistema anti intrusione
- con o senza monitor per la visione in tempo reale
- con o senza un sistema di avviso di motion deterction
- con o senza funzioni di oscuramento di porzioni di inquadratura
- con o senza sistema orientabile e zoom
- con o senza risoluzione HD
- con o senza una adeguata informativa visibile all'esterno dell'area videosorvegliata
Le linee guida propongono anche interessanti esempi da cui trarre spunto:
Esempio - Per documentare le sue vacanze, un turista registra video sia con il suo cellulare sia con una videocamera. Mostra il filmato ad amici e familiari, ma non lo rende accessibile a un numero indefinito di persone. Questo caso rientrerebbe nella deroga relativa alle attività a carattere domestico.
Esempio - Una ciclista in mountain bike vuole registrare il suo percorso in discesa con una telecamera sportiva. Attraversa una zona isolata e prevede di utilizzare le registrazioni solo per intrattenimento personale e nel suo domicilio. Questo caso rientrerebbe nella deroga relativa alle attività a carattere domestico anche se vi fosse in una certa misura un trattamento di dati personali.
Esempio - Qualcuno sorveglia e registra il proprio giardino. La proprietà è recintata e soltanto il titolare del trattamento e la sua famiglia entrano regolarmente in giardino. Questo caso rientrerebbe nella deroga relativa alle attività a carattere domestico, a condizione che la videosorveglianza non si estenda, neppure parzialmente, a uno spazio pubblico o a una proprietà confinanti.
Gli illeciti appetiti della pubblica amministrazione
In tutto questo, assistiamo oggi ad una delle conseguenze della proliferazione degli impianti di videosorveglianza privata, sia in appartamento, villa o condominio, sia sul lavoro: gli enti locali si son fatti ingolosire e desiderano mettere le loro sgrinfie sugli impianti privati, infischiandosi delle norme, delle implicazioni e delle conseguenze.
Da anni si assiste a bizzarri tentativi degli enti locali di creare una anagrafe delle telecamere di videosorveglianza presenti all'interno del loro territorio.
Che dire: una pessima idea. Le amministrazioni pubbliche dovrebbero dare il buon esempio rispetto alla legalità e, prima di proporre idiozie, dovrebbero fare un passaggio con il proprio DPO.
Prima di addentrarmi nel discorso, segnalo l'ottimo articolo di Wired intitolato: "Gli occhi dei privati per controllare la città: che fine hanno fatto le anagrafi delle telecamere". Grazie a Luca Zorloni e Raffaele Angius per il lavoro e per la segnalazione.
Da ultimo mi sono imbattuto nella strampalata richiesta che il comune di Olgiate Comasco, inviata via pec con toni a metà tra il maccheronico e l'intimidatorio:
Eccoci, da dove incominciare? Direi di partire dall'evidenza più elementare, ciò che anche un bambino di età prescolare noterebbe: l'anagrafe delle telecamere non serve a una beata mi _ _ _ ia.
I dati ci sono già
Si può fare riferimento al sito del Garante Privacy e scoprire che il GDPR, i provvedimenti generali del Garante e le linee guida dell'EDPB prevedono che chiunque installi un sistema di videosorveglianza debba darne informazione agli interessati. È un principio base, sempre valido e, in questo caso, è stato semplificato notevolmente e si risolve così: va messo un cartello.
Il sito del Garante è pieno zeppo di provvedimenti sanzionatori di commercianti, privati, aziende che hanno "sbagliato" a interpretare questo obbligo o lo hanno trascurato. Il cartello deve indicare il nome del titolare (il soggetto che sta dietro la telecamera), i suoi recapiti, le finalità di uso delle immagini, la durata della registrazione e, naturalmente, deve essere visibile prima di entrare nell'area videosorvegliata. Ho letto sanzioni per un cartello caduto e per uno non illuminato e, quindi, non visibile di notte. Lo ammetto, a volte si scivola nel ridicolo.
Di fatto, ogni impianto di videosorveglianza è chiaramente indicato da apposita cartellonistica che permette a chiunque, comprese le forze dell'ordine, la magistratura e chiunque altro debba accedere alle registrazioni di avere tutti i dati necessari per fare richiesta rapidamente, agevolmente e ottenere le necessarie registrazioni.
Perché quindi creare una anagrafe degli impianti e dei rispettivi titolari del trattamento? una anagrafe simile pone infiniti problemi connessi all'aggiornamentno dei dati, al fatto che include dati personali, al fatto che sia una conservazione non necessaria, al fatto che si tratta di un archivio comodissimo per qualunque malintenzionato che gradisca sbirciare la mappatura delle zone da evitare e che abbia un amico in comune disponibile ad aiutarlo.
L'impianto privato ha finalità non compatibili con quelle della PA
Andando oltre all'evidenza, arriviamo ad una questione apparentemente tecnica ma decisamente comprensibile: i privati hanno dei limiti ben precisi sulle finalità di uso della videosorveglianza.
In ambito lavorativo, per esempio, le immagini possono essere utilizzate esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
In ambito privato esiste anche una esenzione per finalità esclusivamente domestiche (vedi sopra) che estende leggermente le finalità, ma non di molto perché vanno comunque interpretate in senso restrittivo qualora la videosorveglianza riguardi altre persone e non solo ciò che accade nella propria dimora.
Cosa manca in questa elencazione? Mancano le finalità di pubblica sicurezza, prevenzione accertamento dei reati, indagine giudiziaria, ecc. Già, quelle cose che deve fare la pubblica amministrazione e che sono semplicemente vietate ai privati. Ecco perchè non si possono considerare nello stesso modo gli impianti privati e gli impianti della pubblica amministrazione. Ecco perchè non si possono vedere i cartelli di videosorveglianza con una laconica indicazione di "finalità di sicurezza".
I privati hanno un obbligo specifico in merito alla durata della conservazione che si può estendere a sole poche ore. Questo limite è coerente con le finalità che un privato può avere, ma è decisamente inadatto rispetto alle pachidermiche finalità della pubblica amministrazione.
Dunque, se si volessero utilizzare le telecamere private per fini proprie ed esclusivi della PA, innanzitutto dovrebbe configurarsi una cotitolarità, ci si troverebbe a condividere l'impianto con gli enti locali e bisognerebbe modificare radicalmente le informative e, soprattutto, i tempi di conservazione dovrebbero subire una estensione che, ad oggi, non è possibile. Ci sono molte altre implicazioni ma sono molto tecniche, le ometto volentieri.
Conclusioni
bastano questi due rilievi per qualificae le richieste di censire le videocamente private come semplici borborigmi, generati dalle fetide viscere della parte più ignorante della pubblica amministrazione.
Il mio auspicio è che i quarti nobili, il Garante Privacy e i DPO degli enti locali, organi di garanzia dello stato, eruditi, a presidio dei diritti delle persone, si attivino per gestire queste incongrue derive tecnoentusiaste.
Un'ultima nota di colore: un impianto di videosorveglianza non funzionante è una violazione del GDPR. L'esistenza di un impianto, corredato di informativa, genera nelle persone l'affidamento sul fatto che esistano le registrazioni o, quanto meno, che l'impianto sia in esercizio. Pertanto, un privato potrebbe essere spinto a comportamenti proprio dalla convinzione che vi sia un determinato impianto. Immaginiamo una rapina e il conseguente comportamento collaborativo. Se l'impianto non ci fosse stato, il comportamento sarebbe stato diverso. Le immagini che mi ritraggono costituiscono un dato personale della persona ritratta e, come tale, è liberamente accessibile a semplice richiesta, l'interessato può chiederne copia e utilizzare tali immagini per propria tutela. Se il gestore dell'impianto, il titolare, non vuole darmi quelle immagini o non può darmi quelle immagini, automaticamente sta violando il GDPR. Ecco il problema. Se dici che hai i miei dati, poi non puoi dire che quei dati non li hai, a meno che non siano trascorsi i tempi di conservazione descritti nell'informativa.
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili per la tua vita, prendi in considerazione l'idea di ringraziarmi. Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
Clicca qui per inviare una donazione: un caffè, una birra, una pizza, una Tesla...