In riferimento alle regole sulla privacy, come devono comportarsi gli enti non profit che hanno un impianto di videosorveglianza?
Attenzione: ho scritto questo articolo prima dell’entrata in vigore del Regolamento UE 2016/679 (il famigerato GDPR). Le norme di base sulla videosorveglianza sono rimaste le stesse, però è opportuno leggere anche cosa prevede il nuovo regolamento in materia.
Moltissimi enti non profit hanno installato un impianto di videosorveglianza. I motivi di solito sono due:
- controllare il buon andamento delle manifestazioni che organizzano;
- proteggere le proprie sedi da furti e atti vandalici.
Anche alcuni nostri clienti lo hanno fatto e mi hanno chiesto chiarimenti sul comportamento da adottare per la gestione dei dati registrati.
Noi avevamo già parlato di privacy e gestione dei dati nelle organizzazioni non profit, quindi non sto a ripetere le regole di base.
Aggiungo qui un estratto di quanto ho spiegato ai nostri clienti sulla videosorveglianza, perché sono certa che tutte queste informazioni saranno utili a molti altri enti.
Cosa dice la legge riguardo la videosorveglianza
La normativa di riferimento sulla privacy è composta da:
- il D.Lgs. 196/2003 (Codice per la protezione dei dati personali);
- il provvedimento del Garante per la protezione dei dati personali emanato l’8/04/2010.
Secondo tale provvedimento l’attivazione di un sistema di rilevazione e/o registrazione delle immagini configura un vero e proprio trattamento dei dati personali.
È quindi soggetto ai principi del relativo Codice e alle prescrizioni vigenti in materia.
Ma lo stesso provvedimento sancisce che l’impianto non deve essere sottoposto all’esame preventivo del Garante se le possibilità dell’impianto (aree coperte, tempi di conservazione, operazioni sul materiale registrato, ecc.) sono proporzionate alle necessità della struttura e non si spingono oltre.
Cosa vuol dire?
Significa che è possibile ridurre al minimo le complesse regole sulla privacy se le associazioni raccolgono solo ed esclusivamente i dati indispensabili per le finalità perseguite, con il minimo della raccolta possibile e per il minimo tempo possibile.
Questo principio si concretizza applicando le seguenti regole:
- installare un numero di apparecchi proporzionato rispetto alle aree da monitorare;
- privilegiare apparecchi a montatura fissa (evitare “brandeggio”, elaborazione immagini, definizione o comparazione dei dati con altri dati);
- limitare l’angolo visuale degli apparecchi alla sola area da proteggere, evitando per quanto possibile la ripresa di luoghi o di particolari irrilevanti (si ad apparecchi in parcheggio di pertinenza, accessi, uscite di emergenza, ma con questa regola);
- posizionare il terminale di raccolta delle immagini in un luogo ad accesso limitato;
- configurare il programma informatico in modo che preveda delle credenziali di accesso alle immagini e non sia accessibile da soggetti esterni all’associazione;
- dotare il programma di un sistema di criptaggio del contenuto, in caso di trasmissione delle immagini tramite rete pubblica o senza cavo;
- definire una scadenza precisa e automatica per la cancellazione dei dati.
Per quanto riguarda il tempo di conservazione delle immagini, è bene tenere presente che il termine massimo è di 7 giorni.
È comunque consigliabile tenerle per un periodo di tempo minore, salvo casi particolari, come ad esempio la chiusura della sede per ferie.
Chi è può visionare le immagini?
L’accesso ai dati raccolti è consentito esclusivamente alle seguenti figure:
- legale rappresentante dell’ente;
- dipendenti/collaboratori incaricati del trattamento dei dati personali, opportunamente istruiti;
- soggetti terzi per operazioni di manutenzione;
- forze dell’ordine o altre pubbliche autorità, ma solo in presenza di una ragione/richiesta documentata.
Il consenso
È obbligatorio avvisare sempre gli interessati della presenza di apparecchi di videosorveglianza.
Per farlo è sufficiente esporre il cartello di informativa minima approvato dal Garante, nel quale va indicato il titolare del trattamento e le finalità.
Ovviamente sia il titolare del trattamento che i dipendenti/collaboratori incaricati del trattamento dei dati personali devono essere nominati dal Consiglio direttivo. Quindi la delibera deve risultare da un verbale scritto e conservato dall’ente.
È consigliabile esporre il cartello in più punti strategici, come:
- tutti i punti di accesso alla zona nel raggio di accesso della videosorveglianza o nelle sue immediate vicinanze;
- spazi che consentono la visibilità immediata e permanente del cartello.
È inoltre consigliabile fare rimando, nel cartello, a un’informativa più estesa relativa al trattamento dei dati affissa in bacheca o in una sezione del sito web dell’ente.
Fornire l’informativa completa diventa un obbligo nel caso un interessato la richieda.
Infine, ogni persona interessata ha diritto di richiedere informazioni e la modifica/cancellazione dei propri dati (art.7 del Codice).
Germana Pietrani Sgalla
Vuoi maggiori informazioni su questo argomento? Vuoi sottoporci un caso specifico? Scrivici.
Lavoro dentro e a fianco del mondo no profit da oltre 25 anni. Ho fondato e amministrato organizzazioni attive in campo sociale e culturale. Il mio obiettivo è aiutare le associazioni a lavorare meglio, a crescere in modo sostenibile e vantaggioso.