I sistemi di videosorveglianza “intelligenti” non si limitano a riprendere e registrare le immagini. Devono considerarsi eccedenti rispetto alla normale attività di videosorveglianza, in quanto possono determinare effetti invasivi sulla sfera di autodeterminazione delle persone riprese.
Tra le molteplici funzioni, i sistemi di videosorveglianza "intelligenti" sono dotati di software che permettono l'associazione di immagini a dati biometrici (ad esempio, il riconoscimento facciale) e la ripresa e la registrazione automatica di comportamenti ed eventi anomali (motion detection).
Talvolta tali sistemi agiscono in combinazione con sistemi integrati di videosorveglianza, che collegano telecamere tra soggetti diversi - sia pubblici che privati - o che consentono la fornitura di servizi di videosorveglianza in remoto, da parte di società specializzate (vigilanza, Internet providers) mediante collegamento telematico a un unico centro.
Per tutti questi sistemi è comunque necessaria la verifica preliminare del Garante. Per cui, i trattamenti di dati personali nell'ambito di un’attività di videosorveglianza devono essere effettuati rispettando le misure e gli accorgimenti prescritti dall’Autorità, come esito di una verifica preliminare attivata d'ufficio o a seguito di un interpello del titolare (art. 17 del Codice), quando vi sono rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati, in relazione alla natura dei dati o alle modalità di trattamento o agli effetti che può determinare. Difatti, lo stesso Garante ha precisato, nel proprio provvedimento generale dell’8 aprile 2010, che l'utilizzo dei predetti sistemi risulta giustificato solo in casi particolari, tenendo conto delle finalità e del contesto in cui essi sono trattati, da verificare caso per caso sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice in materia di protezione dei dati personali).
Gli interventi del Garante
Tra i diversi interventi dell’Autorità, si segnala un recente parere fornito il 17 settembre 2015 in sede di verifica preliminare all'Autorità portuale di Olbia e Golfo Aranci.
In tale caso, l’impianto video sottoposto all’esame del Garante è abilitato a svolgere la specifica funzione di attivare un allarme sonoro presso la control room in caso di attraversamento di una linea virtuale posta in corrispondenza del limite superiore della recinzione metallica, con lo scopo di segnalare l'eventuale scavalcamento da parte di soggetti non autorizzati della recinzione metallica posizionata lungo il perimetro delle aree ad accesso ristretto.
Di conseguenza, l’impianto è contraddistinto da un’attività di video-analisi che risulta idonea a rilevare automaticamente, segnalare e registrare un comportamento o evento anomalo, quale può considerarsi l'ingresso in aree qualificate "ad accesso ristretto", in cui la limitazione dell'accesso risulta adeguatamente segnalata dalla presenza di idonei cartelli informativi e con dispositivi di delimitazione delle zone costituiti da barriere "new jersey" sormontate da recinzioni a maglie metalliche.
Ma talvolta i sistemi intelligenti di videosorveglianza possono essere anche più complessi, come nel caso del parere fornito dall’Autorità il 18 dicembre 2013 in sede di verifica preliminare richiesta da Saipem Spa, dove l’impianto è contraddistinto da un sistema automatico di rilevazione delle intrusioni basato su attività di video-analisi, il quale sarebbe in grado di supportare fino a dieci funzioni contemporanee per ogni telecamera, inviando, contemporaneamente, lo streaming video ai server di registrazione posti all'interno della sala appositamente predisposta per ospitare gli encoder.
In altri termini, le telecamere a inseguimento (speed dome) eseguirebbero, in situazione di normalità, una scansione panoramica della zona di competenza e, grazie alla modalità di video-analisi, in caso di intrusione, si orienterebbero verso la zona interessata per seguire e registrare l'evento.
Tra le funzionalità che verrebbero configurate, vi sarebbero, in particolare, le seguenti:
- object classification, che permetterebbe di distinguere, all'interno di un'immagine, persone, veicoli, animali e altri oggetti che non appartengono propriamente alla struttura della scena
- single-multi tripwire event detection, che consentirebbe di rilevare il superamento, da parte di un oggetto in movimento, di una linea virtuale precedentemente definita all'interno del campo visivo della telecamera
- enter-exit event detection, che sarebbe in grado di rilevare il momento in cui un particolare tipo di oggetto, proveniente da una qualunque direzione all'interno del campo visivo della telecamera, entrasse o uscisse da una zona di interesse precedentemente individuata
Alle predette funzioni di video-analisi corrisponderebbero una serie di azioni/risposte automatizzate.
Dal punto di vista tecnico, quindi, la funzione di video-analisi associata al sistema di videosorveglianza renderebbe possibile discriminare diversi tipi di evento, generando, nel caso in cui vi fosse un tentativo di effrazione, un messaggio di allarme.
Tale messaggio sarebbe interpretato dal sistema TVCC che, immediatamente, porrebbe il personale di sorveglianza in grado di visualizzare le immagini della zona interessata dall'evento e di seguirne l'evoluzione.
I principi previsti dal Codice
Di fronte a tali evoluti sistemi di videosorveglianza, come si è già avuto modo di osservare, è necessario valutare se siano rispettati i fondamentali principi di necessità, proporzionalità, finalità e correttezza previsti dal Codice in materia di protezione dei dati personali (D.lgs. n. 196/2013).
In particolare, secondo il principio di necessità (art. 3 del Codice), i sistemi informativi e i software devono essere configurati in modo da minimizzare il ricorso a dati personali e identificativi, sostituendone il trattamento con l’utilizzo di dati anonimi o pseudonimi quando le rispettive finalità non ne risentano, prevedendo l’identificazione dell’interessato solo in caso di necessità.
In altri termini, avuto riferimento al trattamento informatico dei dati personali, l’art. 3 del codice sancisce il principio della necessità di identificare l’interessato solo in casi eccezionali, laddove non sia possibile perseguire determinate finalità in altri modi meno invasivi.
Collegato al principio di necessità, è il principio di proporzionalità (art. 11, comma 1, lett. d del Codice), in virtù del quale tutti i dati personali e le modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite (è sproporzionato, per esempio, il trattamento di dati che per la finalità dichiarata non è necessario trattare).
Il principio di finalità, invece, è quel principio (articolo 11, comma 1, lett. b), in base al quale il trattamento è lecito soltanto se alla sua base sussiste una ragione che lo giustifica, appunto la finalità (ad es.empio, un rapporto contrattuale).
In base al suddetto principio, le finalità devono essere determinate, esplicite e legittime e di pertinenza del Titolare del trattamento.
Il principio di correttezza (art. 11, comma 1, lett. a) è quel principio che riguarda la condotta di chi usa i dati personali: questo soggetto deve comportarsi garantendo la liceità e la correttezza del trattamento, tanto durante la raccolta quanto durante l’elaborazione vera e propria dei dati.
Il trattamento è lecito quando è conforme alla legge, mentre è corretto quando la raccolta di dati avviene presso l’interessato in modo trasparente e non mediante ricorso ad artifizi e raggiri.
L’applicazione
In applicazione dei principi summenzionati, nel caso preso inizialmente in considerazione, di cui al parere del 17 settembre 2015, il Garante ritiene soddisfatti i principi di liceità e finalità, in quanto l'Autorità portuale di Olbia e Golfo Aranci, in qualità di soggetto pubblico titolare del trattamento, può trattare dati personali perseguendo scopi determinati, espliciti e legittimi, per lo svolgimento delle proprie funzioni istituzionali.
Inoltre, il regolamento del Parlamento europeo e del Consiglio relativo al miglioramento della sicurezza delle navi e degli impianti portuali (n. 725/2004) prevede che il piano di sicurezza dell'impianto portuale debba individuare le zone di accesso ristretto dell'impianto portuale, che mirano a proteggere i passeggeri, l'equipaggio, il personale dell'impianto portuale e gli ospiti, nonché l'impianto portuale stesso e le zone al suo interno sensibili sotto il profilo della sicurezza.
Tra le misure di sicurezza applicabili alle zone ad accesso ristretto, sono previsti anche rilevatori di intrusione automatici, apparecchiature o sistemi di sorveglianza per individuare ogni accesso non autorizzato o movimento all'interno di una zona ad accesso ristretto.
Inoltre, l’Autorità ritiene soddisfatti i principi di necessità e proporzionalità in quanto dall’esame del verbale di accordo sindacale effettuato ai sensi dell'art. 4, comma 2, legge 30 maggio 1970, n. 300 risulta che le riprese video sono effettuate per la sola finalità di garantire la sicurezza dei lavoratori e dei visitatori, nonché di assicurare la tutela del patrimonio dell'ente e non potranno assolutamente essere utilizzate per controllare l'attività dei lavoratori.
Le stesse riprese video riguarderanno i luoghi in cui si svolge l'attività produttiva e i luoghi in cui transitano i lavoratori solamente per quanto strettamente indispensabile al perseguimento degli scopi di sicurezza e di tutela dell'ente.
La presenza delle telecamere verrà segnalata da appositi cartelli e l'ente si impegna a non adottare nei confronti dei propri dipendenti comportamenti discriminatori, provvedimenti disciplinari, di rivalsa o risarcimento a seguito della visione delle immagini registrate salvi i casi di comportamenti che possano costituire reato.
Michele Iaselli
Avvocato
Esperto in tema di Privacy e IT