Videosorveglianza e privacy nei Comuni: attenzione alle sanzioni e all’Intelligenza Artificiale

*a cura del Dottor Emanuele Cofanelli – Ideapubblica Srl

Un’indagine condotta nel 2022 dall’Osservatorio di Federprivacy, l’associazione italiana che raduna i professionisti sulla privacy, ha evidenziato che nel 92% dei casi i sistemi di videosorveglianza installati sul territorio nazionale non sono conformi al Regolamento Ue 2016/679 sulla protezione dei dati personali (GDPR).

Questa indagine ha evidenziato, nello specifico, che nel 38% dei casi non c’è alcun cartello che informi il cittadino circa la presenza di telecamere e, anche se nel restante 54% dei casi l’interessato prende atto che è esposto un cartello, tuttavia, questo risulta mancante di tutte le informazioni necessarie o del tutto inadeguato a causa di riferimenti normativi obsoleti o sbagliati. Soltanto nell’8% dei casi c’è un cartello che riporta le informazioni in modo chiaro e trasparente. Occorre inoltre considerare il fatto che il cartello di informativa, che rende noto agli interessati la presenza delle videocamere, è soltanto uno degli adempimenti da mettere in atto per adeguarsi all’attuale normativa in materia di protezione dei dati.

Gli adempimenti per i Comuni

Difatti, tra i numerosi adempimenti in capo ai Comuni, titolari del trattamento, ci sono anche la redazione o l’aggiornamento di uno specifico regolamento comunale, la redazione di un’informativa di “secondo livello” (messa a disposizione sul sito web dell’Ente), nonché la stesura della valutazione di impatto (DPIA). La DPIA (Data Protection Impact Assessment), è un adempimento previsto dall’art. 35 del GDPR, che consiste in una procedura atta a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. La responsabilità dello svolgimento della DPIA è in capo al titolare del trattamento, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione dell’Ente.

Il Gruppo articolo 29 (sostituito il 25 maggio 2018 dal Comitato europeo per la protezione dei dati -EDPB) ha individuato una serie di criteri alla cui presenza è necessario svolgere la valutazione di impatto privacy. Anche in Italia il Garante è intervenuto con il Provvedimento n. 467 dell’11 ottobre 2018, con il quale ha stilato un elenco di tipologie di trattamenti che devono essere sottoposti alla valutazione d’impatto, tra i quali quelli che prevedono il monitoraggio sistematico su larga scala, nonché l’eventuale impiego di nuove soluzioni tecnologiche (quali, ad esempio, la videosorveglianza).

Ideapubblica Srl offre tutti gli strumenti per consentire all’Ente di potersi allineare, con il proprio sistema di videosorveglianza, a quanto previsto dalla normativa italiana ed europea in materia di protezione dei dati personali: scopri qui l’offerta a te riservata.

Videosorveglianza e privacy nei Comuni: attenzione alle sanzioni e all’Intelligenza Artificiale

Proprio con riferimento all’utilizzo di tecnologie innovative nell’ambito della videosorveglianza, lo scorso 11 gennaio 2024, il Garante Privacy ha inflitto una sanzione di 50.000 euro al Comune di Trento, per aver condotto due progetti di ricerca che prevedevano l’utilizzo dell’intelligenza artificiale, in violazione della normativa in materia di protezione dei dati (tra le violazioni accertate, vi era proprio la mancanza della DPIA). In particolare, il primo progetto condotto dal Comune prevedeva l’acquisizione di filmati dalle telecamere di videosorveglianza già installate nel territorio comunale per finalità di sicurezza urbana, nonché dell’audio ottenuto da microfoni appositamente collocati sulla pubblica via. I dati, che ad avviso del Comune sarebbero stati immediatamente anonimizzati dopo la raccolta, venivano analizzati per rilevare in maniera automatizzata, mediante tecniche di intelligenza artificiale, eventi di rischio per la pubblica sicurezza. Il secondo progetto promosso dal Comune prevedeva invece, oltre all’acquisizione dei filmati di videosorveglianza (senza segnale audio), la raccolta e l’analisi di messaggi e commenti d’odio pubblicati sui social, per rilevare eventuali emozioni negative ed elaborare informazioni d’interesse per le Forze dell’ordine, allo scopo di identificare rischi e minacce per la sicurezza dei luoghi di culto.

Un altro aspetto critico, su cui le Pubbliche Amministrazioni sono chiamate ad organizzarsi, è sicuramente la gestione dell’esercizio dei diritti da parte dei cittadini ad accedere ai dati che li riguardano, soprattutto in riferimento alle immagini del sistema di videosorveglianza.  A tal proposito, sono molto interessanti le sentenze del TAR Puglia (N. 01579/2021 del 02/11/2021) e del TAR Campania (N. 02608/2023 del 02/05/2023). La prima rappresenta senza dubbio una sentenza innovativa, dal momento in cui afferma il diritto in capo all’interessato a ricevere i filmati che lo riguardano, ma che obbliga anche il Comune, titolare del trattamento, a fare salvi i diritti degli eventuali terzi nella consegna delle immagini. Quest’ultime, infatti, andranno consegnate avendo cura di aver oscurato i dati personali di eventuali terzi estranei (ad esempio: numeri di targhe, pedoni, ecc.) nel rispetto del GDPR.

La sentenza del TAR Campania, sulla scia della precedente, conferma il principio per cui deve essere garantito ai richiedenti l’accesso ai documenti amministrativi (anche in questo caso le immagini della videosorveglianza), la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici. Il tutto sempre con l’oscuramento delle parti di immagini che ritraggono soggetti estranei alla vicenda, assicurando così il diritto alla riservatezza.

Sempre nella citata indagine condotta da Federprivacy, si evidenzia che dall’entrata in operatività del GDPR, si sono registrate nell’area UE oltre mille sanzioni, indirizzate a pubbliche amministrazioni e imprese private, a causa della non conformità dei loro sistemi di videosorveglianza alle norme sulla protezione dei dati personali.

Dal canto suo, a livello nazionale, il Garante Privacy si è attivato con diverse misure sanzionatorie. Esemplari sono stati in particolare due provvedimenti, nei confronti del Comune di Taranto e di una sua società partecipata, rispettivamente di 150.000 e 200.000 euro, multate dall’Autorità, per aver commesso diverse violazioni in materia di protezione dei dati personali relativamente alla gestione del sistema di videosorveglianza comunale.

Riflessioni conclusive

Il fatto che questa situazione di inadempienza, che caratterizza molte realtà, pubbliche e private, persista ancora dopo quasi sei anni dell’entrata in operatività del GDPR e dopo quattro anni dall’emanazione delle Linee Guida n.3/2019, del Comitato Europeo per la Protezione dei Dati (EDPB), sul trattamento dei dati personali attraverso dispositivi video, non aiuta di certo a delineare un quadro confortante.

In via conclusiva, si può affermare che l’elevato numero di provvedimenti sanzionatori effettuati dall’Autorità, lascia intravedere una sensibilità ancora carente, da parte dei titolari del trattamento, nei confronti di una tematica, quella della videosorveglianza, sempre più determinante, anche alla luce dell’interazione con l’intelligenza artificiale e con le problematiche connesse alla riservatezza.

Ideapubblica ha le professionalità e le competenze per fornirti un servizio completo su tutte le attività di supporto ai vari settori dell’Ente.

Scopri di più.