Telecamere condominiali che inquadrano strade di pubblico transito alla luce del GDPR.
Se si intendono inquadrare strade aperte al transito, ad oggi, per evitare rischi di sanzioni, non può prescindersi dalla DPIA e dalla nomina del D.P.O.
Cosa deve fare un Condominio che ha installato telecamere che inquadrano strade a pubblico transito?
Il ragionamento logico giuridico da seguire non può prescindere dal dettato dell''art. 35 del GDPR che introduce la cosiddetta P.I.A., ossia la “Valutazione d’impatto sulla protezione dei dati”.
1.Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. Nel nostro caso la videocamera rappresenta l'elemento materiale integrante il concetto di nuova tecnologia. La valutazione d’impatto, per essere necessaria e richiesta, deve avere ad oggetto quei trattamenti che possono essere considerati “a rischio”, in base al tipo e alla modalità dei dati trattati. L'art. 37 del GDPR al punto 1, definisce come: Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: …
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; Quindi, un trattamento dei dati effettuato su “larga scala”, comporta l'istituzione della figura del DPO, od ancora comporta la suddetta valutazione d'impatto sulla protezione dei dati prima del trattamento (Art. 35). Il problema è che nel GDPR non si trova alcuna definizione di trattamento su larga scala, fuorché in
negativo nel considerando n. 91: "non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato". Il gruppo di lavoro articolo 29 per la protezione dei dati personali nelle loro “linee guida sui responsabili della protezione dei dati” adottate il 13.12.16, all'articolo 2.1.3 rubricato “LARGA SCALA” così recita: “In base all’articolo 37, paragrafo 1, lettere b) e c), del RGPD, occorre che il trattamento di dati personali avvenga su larga scala per far scattare l’obbligo di nomina di un RPD (DPO). Nel regolamento non si dà alcuna definizione di trattamento su larga scala, anche se il considerando 91 fornisce indicazioni in proposito. Il considerando in questione vi ricomprende, in particolare, “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto
numero di interessati e che potenzialmente presentano un rischio elevato”. In realtà è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità; d’altra parte, ciò non significa che sia impossibile, col tempo, individuare alcuni standard utili a specificare in termini più specifici e/o quantitativi cosa debba intendersi per “larga scala” con riguardo ad alcune tipologie di trattamento maggiormente comuni ... A ogni modo, il Gruppo di lavoro raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
3. la durata, ovvero la persistenza, dell’attività di trattamento;
4. la portata geografica dell’attività di trattamento.
Nel caso che ci occupa le telecamere condominiali riprendono spazi di passaggio pubblico. Ciò fa si, ad esempio, che gli interessati al trattamento siano un numero indefinito di soggetti, impossibile da contattare direttamente, in caso di necessità, anche solo al fine di comunicazioni in merito alla gestione dei loro dati personali. La caratteristica della certa indeterminatezza dei soggetti interessati al trattamento, nonché il probabile inquadramento di soggetti i cui dati sono maggiormente a rischio (ad es.: minori), fa si che l'installazione di una telecamera in area di pubblico transito, possa considerarsi ad alto rischio per i diritti e le libertà delle persone e necessiti quindi di maggior tutela, imponendosi così sia l'esame di impatto privacy (DPIA) e sia la nomina del D.P.O. Risulta auspicabile un prossimo intervento dell'Autorità Garante teso ad indicare standard da utilizzare per effettuare una valutazione del concetto di “larga scala” maggiormente chiara e precisa nonché una risposta certa sul caso concreto esaminato.
Durante questo periodo di incertezza, stante le pesanti sanzioni previste dal legislatore a carico del Titolare del Trattamento dei dati, anche solidalmente con l'eventuale Responsabile, si consiglia di mantenere un approccio il più cauto possibile. A tal riguardo si specifica che, qualora un titolare definisca che i propri trattamenti non siano da considerare su Larga Scala, è tenuto a motivare la propria scelta e a poter dimostrare, in caso di controlli, che la sua valutazione si è basata su evidenze oggettive e concrete.
