L’European Data Protection Board (“EDPB”) ha adottato – dopo un periodo di consultazione pubblica – la versione definitiva delle Linee Guida sul trattamento dei dati personali attraverso dispositivi video.
L’uso intensivo di dispositivi video – inclusi sia i dispositivi tradizionali di videosorveglianza sia i dispositivi video c.d. smart il cui utilizzo sta diventando sempre più frequente – produce un notevole impatto sul comportamento degli interessati con implicazioni rilevanti in materia di conformità alla normativa sul trattamento dei dati personali. Infatti, un sistema di videosorveglianza potrebbe essere installato per ragioni di sicurezza – come frequentemente avviene – ma anche per scopi inattesi, che comportano rischi e ricadute non trascurabili sui diritti e le libertà degli individui (ad es., uso dei device per monitorare le prestazioni dei dipendenti). L’EDPB ricorda quindi che i principi generali del GDPR – con particolare riferimento al principio di minimizzazione – sono il baluardo a difesa dei rischi di un uso improprio dei dati personali raccolti tramite sistemi di videosorveglianza.
Il trattamento dei dati per tali finalità pertanto è lecito quando non esistono misure meno invasive della privacy degli interessati, e quando lo stesso si basi su una base legale ex articolo 6 del GDPR: in particolare, oltre al consenso dell’interessato, il trattamento dei dati tramite riprese video può basarsi sul legittimo interesse, a patto che venga obbligatoriamente effettuato un bilanciamento di interessi.
Inoltre, le Linee Guida si rivolgono anche al trattamento effettuato con riconoscimento facciale: con l’occasione, l’EDPB chiarisce che la videosorveglianza non comporta automaticamente il trattamento di categorie particolari di dati, in quanto la raccolta dell’immagine facciale comporta un trattamento di dati biometrici solo quando lo stesso permette o conferma l’identificazione “univoca” dell’individuo. Inoltre, qualora, considerando la natura dei dati, le finalità e modalità del trattamento, tali dati vengano trattati su larga scala, sarà obbligatorio redigere una DPIA che è necessaria anche per monitoraggio sistematico su un’area accessibile al pubblico.
Il principio di trasparenza, infine, richiede che gli interessati siano specificatamente informati del trattamento dei loro dati personali tramite due tipi di informativa: (i) un’informativa breve, sotto forma di cartello avente la funzione di avvertire l’interessato di trovarsi in un’area soggetta a videosorveglianza, che dovrà già recare le indicazioni indispensabili sul trattamento (ad es., titolare del trattamento e/o del DPO, finalità, diritti dell’interessato, etc.), nonché informazioni che potrebbero “sorprendere l’interessato” (ad es., trasferimento transfrontaliero di dati, ecc.), e (ii) un’informativa estesa che rechi in maniera chiara e intellegibile tutti gli elementi richiesti dal GDPR. Il documento fornisce il template dell’informativa breve, che dovrà inoltre riferirsi tramite QR code o link al testo dell’informativa estesa.