Il processo di gestione, a cura dei Comuni, di un sistema di videosorveglianza per la sicurezza urbana, volto a prevenire e contrastare i fenomeni di criminalità diffusa e predatoria, deve necessariamente essere disegnato, auspicabilmente ancor prima dell’acquisto del sistema stesso, in modo tale da attuare efficacemente i principi della protezione dei dati e soddisfare i requisiti posti dalla normativa Eurounitaria (GDPR e LED). Questo disegno comprende anche l’esecuzione di una valutazione di impatto sulla protezione dei dati, la c.d. DPIA (Data Protection Impact Assessment).
La valutazione d'impatto è un passaggio fondamentale quando si deve installare un sistema di videosorveglianza per la sicurezza urbana
Vediamo come eseguirla validamente.
1. L’obbligo giuridico di eseguire una DPIA sull’attività di videosorveglianza per la sicurezza urbana - L’art. 35 del GDPR stabilisce che il titolare del trattamento, quando deve sviluppare, attraverso l’uso di nuove tecnologie, un trattamento di dati personali che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere al trattamento, deve effettuare una valutazione di impatto, i.e. quella specifica attività nota con l’acronimo DPIA (Data Protection Impact Assessment).
La stessa norma, in particolare, fissa l’obbligo di eseguire una DPIA a carico del titolare che voglia realizzare la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Quindi, non è revocabile in dubbio che, prima di avviare un processo di gestione di un sistema di videosorveglianza per la sicurezza urbana, anzi, auspicabilmente, ancor prima di predisporre il capitolato di appalto per l’acquisto del sistema stesso, è necessario eseguire una DPIA.
2. Le Linee Guida dei Garanti Europei - I Garanti Europei nelle specifiche Linee Guida WP 248 rev.01 chiariscono che:
I. per svolgere una DPIA vi sono metodologie diverse, ma criteri comuni;
II. spetta al titolare del trattamento scegliere una metodologia che, comunque, deve essere conforme ai criteri fissati nell’allegato 2 alle stesse Linee Guida WP248 rev.01.
Il titolare del trattamento deve quindi pedissequamente seguire le indicazioni fissate in tale allegato 2, per poter sviluppare validamente una DPIA.
Questo allegato descrive 4 fasi di esecuzione della DPIA finalizzate rispettivamente a:
I. descrivere sistematicamente il trattamento,
II. valutare la necessità e la proporzionalità del trattamento in relazione alle finalità;
III. gestire i rischi per i diritti e le libertà degli interessati;
IV. coinvolgere il DPO ed eventualmente gli interessati.
Per proseguire la lettura di questo articolo di Giuseppe Alverone - Data Protection Officer (DPO) dell’Arma dei Carabinieri. Certificato secondo lo standard nazionale UNI 11697:2017 - si rimanda al seguente link
maggiori informazioni su:
www.federprivacy.org
La tutela dell'operatore in ambito Forze dell'Ordine, sanità, trasporti, tra tecnologie disponibili, digitalizzazione e impatto privacy
Necessità e approcci per l'innovazione nelle infrastrutture critiche della città futura
Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia
WebinarLa cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia