Le città italiane sono sempre più digitali e invase dalle telecamere, ma per evitare di andare verso una società del controllo indiscriminato e non incorrere nelle pesanti sanzioni che sono previste dal GDPR è necessario cambiare urgentemente traiettoria rispetto agli scenari attuali.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
Da un lato, è promettente il comunicato diramato il 13 aprile 2022 dal Ministero dell’Interno, che rende nota la prossima erogazione di 27 milioni di euro a favore di 416 comuni che sono stati ammessi al finanziamento ministeriale per il potenziamento dei propri impianti di videosorveglianza, anche se adesso i rispettivi uffici tecnici e gli organi di polizia locale che hanno ottenuto il via libera per accedere ai contributi economici dovranno affrettarsi a preparare i relativi progetti tecnici esecutivi in linea con tutte le prescrizioni delle leggi vigenti.
Tra le normative da rispettare, i comuni dovranno prestare particolare attenzione a quelle riguardanti la tutela della privacy e la protezione dei dati personali, e non si tratta di un compito di poco conto che può essere considerato un mero adempimento burocratico da gestire sbrigativamente, non solo per la complessità delle stesse norme, ma soprattutto perché in Italia il 71% delle sanzioni per violazioni del GDPR sono state irrogate proprio nei confronti di enti pubblici, i quali si trovano quindi a camminare su un terreno che per loro è tipicamente scivoloso.
E se nel secondo semestre del 2021 il Garante aveva già puntato la lente sulla conformità dei trattamenti di dati personali effettuati attraverso le telecamere, non è certamente un caso che per il secondo semestre consecutivo, anche nel piano delle attività ispettive della prima metà del 2022 l’Authority abbia di nuovo inserito il controllo dei sistemi di videosorveglianza, denotando così le proprie intenzioni di continuare a monitorare attentamente quello che è ormai uno degli ambiti più invasivi per la privacy dei cittadini.
A destare particolare preoccupazione, sono adesso i risultati che emergono da uno studio condotto da Federprivacy in collaborazione con Ethos Academy con l’obiettivo di fornire un quadro realistico sul rispetto della privacy nel mondo della videosorveglianza, esaminandone gli scenari da varie angolazioni con la mira di comprendere le tendenze e le percezioni di addetti ai lavori e cittadini, individuare i gap che ostacolano la conformità alla normativa in materia di protezione dei dati personali, ed essere così in grado di individuare più facilmente i fabbisogni per tracciare la corretta traiettoria verso un’espansione coerente dei sistemi di videosorveglianza, con particolare riguardo allo sviluppo sostenibile delle smart city.
Il Rapporto “Videosorveglianza & Privacy tra cittadino, professionisti e imprese”, articolato in diverse fasi e indirizzato a tre distinte categorie di soggetti presi in esame, è stato effettuato un sondaggio su un campione di circa 2.000 cittadini chiedendo loro cosa osservano quando entrano in un esercizio pubblico dotato di un impianto di videosorveglianza: solo nell’8% dei casi risulta essere esposto un regolare cartello di informativa minima che avverte in modo chiaro e trasparente la presenza di telecamere con l’indicazione dei corretti riferimenti normativi e delle informazioni complete che devono essere fornite all’interessato.
Per il 38% delle telecamere non c’è invece nessun cartello che ne mette a conoscenza il cittadino, a indicare che chi le ha installate non si è neanche posto il problema di dover rispettare una normativa in materia di privacy. E anche se nel restante 54% dei casi l’interessato prende atto che è esposto un cartello, tuttavia questo risulta poi del tutto inadeguato a causa di riferimenti normativi obsoleti o sbagliati o privo delle informazioni che vi dovrebbero essere riportate.
Nonostante le Linee guida n. 3/2019 elaborate dal Comitato Europeo per la protezione dei dati (Edpb) abbiano provveduto da più di due anni un nuovo modello di cartello per segnalare la presenza di un sistema di videosorveglianza in conformità al GDPR, sono infatti ancora diffusissimi vecchi cartelli che fanno riferimento all’abrogato art.13 del Dlgs 196/2003, che spesso non risultano neppure compilati con le indicazioni del titolare del trattamento e delle finalità delle telecamere lasciate negligentemente in bianco.
Sul fronte delle imprese, l’Osservatorio di Federprivacy ha invece effettuato una approfondita disamina di tutte le oltre mille sanzioni comminate dall’introduzione del Regolamento europeo, e ben 161 di queste (15,2%) sono direttamente riferite a violazioni commesse attraverso telecamere e impianti di videosorveglianza, per un ammontare complessivo di circa 3,9 milioni di euro che imprese private e pubbliche amministrazioni hanno dovuto sborsare a causa della loro noncuranza delle regole sulla tutela della privacy. Rileva il fatto che ben 130 di tali sanzioni (pari all’80% del totale) sono state elevate negli ultimi due anni, a significare un aumento esponenziale che si registra per le violazioni derivanti dall’uso illecito di telecamere.
Molti cartelli di informativa sulla videosorveglianza riportano ancora i riferimenti normativi della vecchia Legge 675/1996 (Come quello di cui sopra)
Nel panorama europeo, lo studio ha inoltre evidenziato che in Spagna viene comminato il maggior numero di sanzioni in materia di videosorveglianza. Dall’entrata in vigore del GDPR, l’autorità per la protezione dei dati spagnola (AEPD) ha infatti adottato ben 82 provvedimenti per questo tipo di infrazioni. E se autorità di paesi come Italia, Austria, Germania, Romania, e Lussemburgo fanno la loro parte, vi sono però diversi altri garanti che evidentemente al momento si concentrano su altre tipologie di violazioni, oppure in quelle nazioni il fenomeno dell’inosservanza delle regole sulla privacy afferenti i sistemi di videosorveglianza è più contenuto rispetto alla nostra realtà.
Se imprese e pubbliche amministrazioni risultano spesso non conformi alla normativa in materia di protezione dei dati personali quando si dotano di sistemi di videosorveglianza, a quanto pare le principali cause sono però da rinvenire nelle mani a cui si affidano. Infatti, nella parte dello studio rivolta agli installatori e agli operatori della sicurezza fisica, sono emerse notevoli carenze e mancanza di consapevolezza che spiegano in buona parte i pessimi risultati di cui la maggior parte dei cittadini intervistati si rende conto.
Su un campione di 1.127 operatori tra progettisti e installatori che hanno accettato di partecipare al sondaggio dopo aver partecipato a una sessione formativa, il 23% di questi reputano di essere soggetti a un rischio basso in materia di privacy e videosorveglianza, e il 31% pensa che vi sia un rischio medio, mentre sono solo meno della metà (46%) a rendersi conto di avere a che fare con temi complessi che comportano rischi elevati, denotando ancora scarsa sensibilità alle problematiche della protezione dei dati personali, specialmente nelle aree geografiche del sud Italia, dove è addirittura risultato che solo il 3% delle aziende di appartenenza dei professionisti intervistati sono dotate di un Data Protection Officer o di un’altra figura dedicata alle tematiche della privacy, e dalla stessa area geografica sono stati solo il 15% dei professionisti ad avvertire la necessità di ulteriori approfondimenti in un corso di formazione strutturato.
Meno della metà (46%) di progettisti e installatori di sistemi di videosorveglianza si pongono in concreto problemi sui rischi in materia di privacy
Altro elemento che denota superficialità degli addetti ai lavori della videosorveglianza nell’approccio alla privacy, ha riguardato i temi d’interesse per eventuali approfondimenti, che sono risultati prevalentemente rivolti alla redazione di un cartello di informativa conforme, ai tempi di conservazione delle immagini, e alle misure di sicurezza, mentre praticamente nessuno ha menzionato importanti criticità come la necessità di comprendere come e quando fare una valutazione d’impatto ai sensi dell’art.35 del Regolamento UE, e in quali casi occorra fare una consultazione preventiva presso il Garante ai sensi dell’art.36 per accertare se un trattamento sia lecito o meno. Allo stesso modo, nessuno si è posto problemi legati all’installazione di telecamere intelligenti, al ricorso a tecnologie di intelligenza artificiale, o sui trasferimenti di dati all’estero che, con ormai quasi tutte le telecamere collegate alla rete internet, possono avvenire più o meno consapevolmente da parte del titolare del trattamento, specialmente se chi progetta e installa un impianto di videosorveglianza tralascia di interessarsi al rispetto della privacy.
Il rapporto con i risultati completi dello studio saranno presto resi disponibili da Federprivacy ed Ethos Academy, ma il quadro che si è delineato indica chiaramente che la direzione intrapresa non è quella che può favorire un’espansione sostenibile di telecamere sempre più sofisticate che stanno invadendo sempre più la società moderna. Benché i moderni sistemi di videosorveglianza siano utili, e spesso salvifici, nei loro molteplici utilizzi, occorre però evitare che un diritto fondamentale come quello alla privacy venga sacrificato in nome della sicurezza, e il rischio che ciò accada senza una reale giustificazione è concreto, e non perché rispettare le regole sia troppo gravoso, ma piuttosto perché tra gli stessi addetti ai lavori c’è ancora scarsa consapevolezza di quanto quelle regole siano importanti per il buon funzionamento di qualsiasi società civile.
di Nicola Bernardi (Sec Solution Magazine N.20 aprile 2022)
