A tale proposito, si deve tenere presente che l’immagine di un individuo, in sé, viene considerata un “dato personale”, secondo la definizione fornita dalla normativa europea (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”): quando poi essa viene utilizzata in correlazione ad altri elementi, come un determinato luogo e un certo comportamento, si è in presenza di un “trattamento” (qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione). Dalla presenza di questi due elementi deriva quindi la necessità di rispettare il GDPR.
Nel caso specifico della videosorveglianza, per avere un quadro esaustivo della situazione obblighi, la disciplina europea deve essere completata dalle Linee guida adottate dal Comitato dei Garanti europei (l’European Data Protection Board, anche EDPB), del gennaio 2020.
Panico da “buroprivacy” ? Tranquilli, proviamo, schematicamente, a fare chiarezza.
Innanzitutto, riportiamo i casi in cui non c’è bisogno di rispettare la normativa privacy:
- quando la videosorveglianza è attuata dalle forze di polizia (per scopi, ad esempio, connessi alla pubblica sicurezza);
- quando è attuata da privati per fini strettamente “domestici” (immaginiamo, per esempio, una telecamera in casa propria).
Quanto ai primi (quelli “privacy”), il dentista dovrà:
- predisporre il cartello della videosorveglianza (c.d. “informativa breve”), da esporre prima della zona di ripresa, e quindi l’informativa “estesa” ex art. 13 del GDPR da conservare nella documentazione privacy dello studio, e rendere disponibile agli interessati, qualora ne facciano richiesta;
- direzionare le videocamere in modo da riprendere solo le zone necessarie al controllo;
- programmare il limite temporale di conservazione delle immagini registrate da parte dell’impianto (anche se può sembrare irrazionale, il termine è massimo 48 ore, estendibili fino a 7 gg in presenza di ragioni specifiche e legittime, che dovranno essere individuate e quindi motivate dal titolare);
- scegliere chi sarà adibito alla visualizzazione delle riprese in caso sia necessario (l’accesso non può infatti essere permesso a chiunque nello studio);
- procedere nelle nomine dei soggetti coinvolti nel servizio di videosorveglianza: quindi, se c’è un fornitore esterno, solo quando questi entri in contatto con il dato (ad esempio conservandolo su propri server, oppure accedendovi da remoto per manutenzione, …), mentre se si limita ad installare l’impianto non c’è bisogno; poi, internamente allo studio, andrà incaricato, come detto, l’addetto alla visualizzazione delle immagini. Tenendo presente che il dentista titolare dello studio potrà sempre accedere alle informazioni, che restano di sua titolarità: quindi nel caso il professionista acquisti, installi e gestisca in autonomia l’impianto, non ci sarà bisogno della nomina (o meglio, delle nomine, ovvero di quelle del fornitore esterno e dell’incaricato interno allo studio);
- inserire, se non si è già provveduto, le attività svolte attraverso l’utilizzo dei sistemi di videosorveglianza nel registro dei trattamenti, ovvero in quel documento (il cui obbligo è stabilito nell’art. 30 del GDPR) di “mappatura” dei processi di raccolta ed elaborazione dei dati personali.
L’alternativa, se percorribile, è installare un sistema di videosorveglianza/allarme attivo solo in momenti specifici, ad esempio nelle ore notturne (non riprendendo in questo modo costantemente tutte le persone presenti nello studio); oppure, ancora, nel caso in cui si apponesse un videocitofono in corrispondenza dell’accesso all’edificio o all’appartamento, che non registrasse alcun dato (immagini, voci, orario, ecc.).
Gianluigi Ciacci
Consulente privacy ANDI