Come cambia la videosorveglianza con il gdpr

Scopri l’impatto della nuova regolamentazione sulla data protection sulla videosorveglianza

A cura di Ugo Gecchelin

1          Premessa

L’ingresso del GDPR cambia anche le regole della Videosorveglianza con alcune modifiche sostanziali. Cerchiamo di sintetizzare lo stato dell’arte in materia, con qualche consiglio pratico per le aziende che, usando sistemi con telecamere, desiderano adeguarsi.

2          Norme applicabili

La situazione attuale delle regole da applicare è questa:

–        Provvedimento Generale dell’8 aprile 2010 del Garante Privacy (link);

–        Regolamento Europeo 2016/679/UE, per semplicità definito GDPR (link);

anche se, in effetti, c’è anche la complicazione che il Provvedimento del Garante si basa sul Codice Privacy (D.Lgs. 196/2003), del 2003 e quindi precedente al GDPR stesso, dove il Codice Privacy è stato poi “armonizzato” con il GDPR nello scorso mese di agosto (con il D. Lgs 101/2018). Non stupirebbe un intervento legislativo o, più probabilmente, dello stesso Garante per chiarire ulteriormente la materia.

3          Il Titolare del trattamento e la conseguente responsabilizzazione

L’azienda che tratta i dati personali mediante videosorveglianza è da considerare come “titolare del trattamento dei dati”, cioè come la persona (fisica o giuridica) che definisce le finalità nonché le modalità del trattamento e che ha la responsabilità delle scelte e delle azioni (secondo il principio di responsabilizzazione o di “accountability”, concetto fondamentale del GDPR, all’art. 5.2), diventando unico responsabile per qualsiasi trattamento non a norma di legge.

4          Le informazioni rese per il trattamento dei dati

L’argomento della videosorveglianza è caratterizzato, sin dal Provvedimento del Garante, dalla necessità di una doppia informativa:

–        informativa minima (il cartello “Area videosorvegliata”), che trae la sua legittimità/esistenza dall’abrogato art. 13 comma 3 del vecchio Codice Privacy (che recitava: “Il Garante può individuare con proprio provvedimento modalità semplificate per l’informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico”):

–        informativa completa che deve essere resa conformemente a quanto disposto dal GDPR.

4.1       Informativa minima

Il modello è quello riportato nel Provvedimento dell’8 aprile 2010, in due versioni a seconda o meno della presenza di collegamento con le forze di polizia:

Da notare sia il riferimento (obsoleto) al Codice Privacy che i campi obbligatori da compilare.

La motivazione dell’informativa minima è molto semplice: il Garante privacy ha voluto fare in modo che gli interessati siano sempre informati del loro accesso ad una zona videosorvegliata. Questo segnale ha quindi il senso di una “informativa preventiva” con le informazioni essenziali (indicazione del titolare e della finalità del trattamento). L’informativa minima deve

–        essere collocata prima del raggio di azione della telecamera o nelle immediate vicinanze e non necessariamente a contatto con gli impianti;

–        avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno.

4.2       Informativa completa

A questa informativa minima deve necessariamente seguire l’informativa “completa” anche ai sensi dell’art. 13 del GDPR, con i seguenti contenuti:

–        identità e dati di contatto del titolare del trattamento; nel caso in cui il titolare del trattamento sia una persona fisica inserire i dati anagrafici al posto della ragione sociale;

–        dati di contatto del Responsabile della Protezione dei Dati (DPO), qualora nominato;

–        finalità del trattamento: specificare a cosa serve la videosorveglianza e perché è necessaria. Il punto 2 del provvedimento del Garante privacy dell’8 aprile 2010, individua alcune finalità del trattamento in che possono essere utilizzate dai titolari, tra cui:

o   protezione e incolumità degli individui;

o   protezione della proprietà;

o   acquisizione di prove;

–        base giuridica del trattamento: di norma l’interesse legittimo (GDPR art. 6, comma 1, lettera f). Il provvedimento del 2010 al punto 6.2.2, peraltro richiamato dal provvedimento del Garante del 22 Febbraio 2018, riporta che “la rilevazione delle immagini può avvenire senza consenso, qualora, con le modalità stabilite in questo stesso provvedimento, sia effettuata nell´intento di perseguire un legittimo interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro”;

–        destinatari del trattamento: i dati personali, oggetto delle riprese, sono comunicati a persone fisiche, giuridiche, autorità pubbliche o organismi? Vi sono soggetti interni o esterni (ad esempio il personale della vigilanza) che sono autorizzati al trattamento dei dati (anche solo la visione è un trattamento)? I dati sono comunicati anche alle forze dell’ordine?

–        eventuali trasferimenti all’estero di dati verso paesi terzi o organizzazioni internazionali;

–        periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo: uno dei punti “delicati” della videosorveglianza. Il GDPR ha introdotto l’obbligo di indicare questo periodo, ma al punto 3.4 del provvedimento del 2010 vi era già questa informazione; infatti è riportato che “nei casi in cui sia stato scelto un sistema che preveda la conservazione delle immagini, in applicazione del principio di proporzionalità anche l’eventuale conservazione temporanea dei dati deve essere commisurata al tempo necessario – e predeterminato – a raggiungere la finalità perseguita”. Inoltre “la conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell´attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l´esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare la settimana”. È sempre importante rispettare il principio di minimizzazione dei dati, dove si afferma che i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5.1 lett. c). Lo stesso provvedimento del 2010 dispone al punto 2 lett. b) che “ciascun sistema informativo ed il relativo programma informatico vengano conformati già in origine in modo da non utilizzare dati relativi a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi”, visto che di solito i sistemi di videosorveglianza sono strumenti informatici questo

–        diritti dell’interessato: altra parte fondamentale dell’informativa privacy, dall’entrata in vigore del GDPR, secondo i diritti precisati agli artt. 15, 16, 17, 18 e 21. A questo proposito si sottolinea come sia importante fare poi riferimento ad una modalità “efficace” per le richieste di tali diritti (ad esempio attraverso l’apposito modulo predisposto dal Garante privacy).

5          Le misure di sicurezza da adottare

I riferimenti sono sia all’art. 32 del GDPR che al provvedimento del 2010, dove si possono riassumere così i concetti principali:

–        i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con adeguate misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini;

–        devono essere adottate specifiche misure tecniche ed organizzative che consentano al titolare del trattamento di verificare l’attività svolta da parte di chi accede alle immagini o controlla i sistemi di ripresa. È fatta salva la necessità di avere differenti livelli di visibilità e trattamento delle immagini (rilevazione, anche mediante videocitofono);

–        sia i soggetti che rilevano (visualizzano le immagini in tempo reale), sia i soggetti che registrano devono possedere credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza;

–        laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione;

–        per quanto riguarda il periodo di conservazione delle immagini (a prescindere dalla durata scelta) devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto (utilizzare la sovrascrittura);

–        nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele: in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini;

–        qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all´art. 615-ter del codice penale;

–        la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza. Le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless (ad esempio, Wi-Fi).

6          Sicurezza dei dati ai sensi del GDPR

Come garantire quindi la sicurezza dei dati personali in materia di videosorveglianza?

L’art. 32 del GDPR dispone che, per approntare delle adeguate misure di sicurezza, bisogna tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche: è quindi importante prevedere una specifica analisi del rischio sui dati personali trattati, al fine di garantire un livello di sicurezza adeguato al rischio. Tra le possibili “soluzioni” si possono considerare:

–        capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);

–        procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Inoltre, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Inoltre, punto importante, il titolare del trattamento fa sì che chiunque agisca sotto la sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso. Vi sono peraltro altre misure di “buon senso”, quali:

–        controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore del sistema di videosorveglianza;

–        username e password devono essere riservati, non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;

–        ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione dal terminale;

–        la password deve essere cambiata periodicamente, deve essere “complessa” e non va ceduta a nessuno;

–        dotarsi di soluzioni di crittografia / pseudonimizzazione per gli archivi elettronici;

–        replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc. dato che i sistemi di videosorveglianza possono essere gestiti da diversi dispositivi).

7          Soggetti autorizzati al trattamento delle immagini

7.1       Designazione degli incaricati alla visione

Il titolare del trattamento deve designare per iscritto tutte le persone fisiche autorizzate sia ad accedere ai locali dove sono situate le postazioni di controllo, sia ad utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini. Deve trattarsi di un numero delimitato di soggetti, specie quando il titolare si avvale di collaboratori esterni.

7.2       Designazione degli addetti

È necessario altresì individuare diversi livelli di accesso in corrispondenza delle specifiche mansioni attribuite ad ogni singolo operatore, distinguendo coloro che sono unicamente abilitati a visionare le immagini dai soggetti che possono effettuare, a determinate condizioni, ulteriori operazioni (ad es. registrare, copiare, cancellare, spostare l’angolo visuale, modificare lo zoom, ecc.).

In questo secondo caso, il titolare o il responsabile del trattamento possono anche attribuire specifici compiti e funzioni connessi al trattamento delle immagini ad altre persone (fisiche o giuridiche), nell’ambito del proprio assetto organizzativo: si pensi ad esempio ai manutentori dell’impianto, oppure al sistemista che configura i dispostivi di registrazione; anche tali attribuzioni devono avvenire per iscritto. È conseguente che tali incarichi siano da gestire anche alla luce del criterio di responsabilizzazione, tipico del GDPR.

7.3       Formazione

Il personale dovrà inoltre essere correttamente formato, ossia dovrà comprendere la reale portata del trattamento dei dati di videoregistrazione e videosorveglianza e l’importanza di gestire adeguatamente i dati personali. Questa formazione specifica riduce i rischi di privacy e di sicurezza, con indubbio vantaggio per il titolare del trattamento.

7.4       Titolare e responsabile del trattamento

Qualora il titolare del trattamento abbia necessità di “appaltare” il trattamento di videosorveglianza ad altro soggetto, quest’ultimo rivestirà la “carica” di responsabile del trattamento. Un esempio può essere quello della banca, titolare del trattamento, che si affida ad un istituto di vigilanza privato, responsabile del trattamento. Come si disciplina il rapporto tra i due soggetti, ai sensi del GDPR?

Il rapporto tra il titolare e il responsabile del trattamento – ai sensi degli artt. 28 e 29 GDPR – deve essere obbligatoriamente sancito da un contratto o da un altro atto giuridico che abbia la caratteristica di vincolare i due soggetti, sia dal punto di vista del contratto primario (es. contratto di appalto del sistema di videosorveglianza) che del trattamento dei dati (nomina a Responsabile).

Per essere nominato responsabile del trattamento, un soggetto deve poter fornire delle “garanzie” di compliance al GDPR (in primo luogo, misure adeguate e diritti dell’interessato). E la valutazione sul possesso di queste garanzie (in relazione al principio di responsabilizzazione del GDPR) è “prerogativa” obbligatoria del titolare del trattamento. Quindi è preferibile scegliere un responsabile che si presenti già “conforme al GDPR”; altrimenti sarà da considerare il costo e le responsabilità correlate alle ulteriori attività da svolgere in ambito privacy.

È quindi importante predisporre idonee lettere di nomina o contratti che considerino almeno le seguenti parti fondamentali:

–        il responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, quindi è necessario che siano chiaramente indicati i compiti, oltre a definire i “margini di manovra” del responsabile stesso, per il trattamento delle immagini (e, conseguentemente, dei dati correlati);

–        il responsabile garantisce che le persone autorizzate al trattamento dei dati personali (quindi i suoi sottoposti) si siano impegnate alla riservatezza, siano state formate in tal senso e abbiano un adeguato obbligo legale di riservatezza;

–        il responsabile deve adottare tutte le misure di sicurezza adeguate richieste ai sensi dell’articolo 32 GDPR;

–        il responsabile si impegna a rispettare quanto disposto per i sub-responsabili del trattamento (il responsabile del trattamento non può ricorrere ad un “sub-responsabile del trattamento” senza la previa autorizzazione scritta del titolare);

–        il responsabile deve assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti degli interessati;

–        il responsabile assiste il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36 del GPDR (misure di sicurezza, data breach e valutazione di impatto);

–        il responsabile deve provvedere alla cancellazione o alla restituzione di tutti i dati personali al termine della prestazione dei servizi relativi al trattamento; il responsabile deve, inoltre, cancellare le copie esistenti, salvo che la legge non preveda la conservazione dei dati;

–        il responsabile deve mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e deve consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati direttamente dal titolare o da un altro soggetto da questi incaricato (non sempre facile da definire in mutua collaborazione);

–        il responsabile del trattamento informa immediatamente il titolare qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

La nomina o il contratto di cui sopra vincolano tra loro il titolare ed il responsabile e sono fondamentali, in quanto permettono di “responsabilizzare il responsabile”, ossia permette di cedere una parte di responsabilità affinché ne risponda in determinate situazioni, ricordando però sempre che l’accountability è propria del titolare e non è delegabile.

8          Videosorveglianza e GDPR nei rapporti di lavoro.

In caso di attività lavorativa è necessaria “convergenza” tra la disciplina in materia di protezione dei dati personali e la materia giuslavoristica. Recentemente il Garante privacy ha inserito “i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti” tra i trattamenti soggetti a valutazione di impatto. In questo caso i riferimenti di legge sono:

–        il provvedimento del 2010 (al punto 4.1) e

–        lo Statuto dei Lavoratori (L. 300/1970).

In particolare, con la videosorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa, peraltro da tempo riaffermata anche con il provvedimento del Garante del marzo 2007 (Linee guida del garante per posta elettronica e Internet).

È vietata, quindi, l’installazione di apparecchiature specificatamente preordinate alla predetta finalità. Non devono essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa.

Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza è resa necessaria da esigenze organizzative o produttive, ovvero è richiesta per la sicurezza del lavoro: in tali casi, ai sensi dell´art. 4 della Legge 300/1970 (modificata dal D.Lgs. 151/2015), gli impianti audiovisivi e gli altri strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.

Gli impianti e gli strumenti di videoregistrazione e videosorveglianza possono essere installati solo:

–        previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali;

–        in mancanza di accordo, possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro (mediante specifica istanza, vd. link).

È fondamentale ricordare che:

–        non è sufficiente il solo consenso dei dipendenti e dei lavoratori all’installazione dell’impianto di videosorveglianza in alternativa alla procedura dinanzi l’Ispettorato nazionale del lavoro (come da sentenza della Cass. Pen. Sez. 3, n. 38882 e 38884 del 24 agosto 2018, vd. link);

–        è essenziale elaborare il documento esplicativo (o delle “scelte”) per la descrizione del sistema di videoregistrazione o videosorveglianza, dove siano riportati i dettagli tecnici e le scelte effettuate ai fini della conformità del sistema stesso.

9          Il Registro dei trattamenti e la Valutazione di impatto

Infine, non bisogna dimenticare che anche in ambito videosorveglianza trovano largo spazio il registro dei trattamenti e la valutazione di impatto (DPIA), capisaldi del nuovo corso europeo introdotto dal GDPR.

Il titolare e/o il responsabile devono (a seconda delle dimensioni aziendali, come da art. 30.5 del GDPR[1]) costituire apposito registro o inserire un’apposita sezione per il trattamento dati videosorveglianza nel Registro preesistente, per la disciplina di tale particolare aspetto.

9.1       Registro dei trattamenti

Nel caso in cui il Registro debba essere redatto a cura del Titolare del trattamento, è importante che contenga le seguenti informazioni (art. 30.1 del GDPR):

–        il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento (art. 26 del GDPR), del rappresentante (art. 27 del GDPR) del titolare del trattamento e del responsabile della protezione dei dati;

–        le finalità del trattamento;

–        una descrizione delle categorie di interessati e delle categorie di dati personali;

–        le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

–        ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 GDPR, la documentazione delle garanzie adeguate;

–        ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

–        ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Nel caso in cui il Registro debba essere redatto a cura del Responsabile del trattamento, l’art. 30.2 GDPR specifica che siano presenti le seguenti informazioni:

–        il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del Responsabile della Protezione dei Dati (DPO – artt. dal 37 al 39 del GDPR);

–        le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

–        ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate;

–        ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

9.2       Valutazione di impatto

La valutazione di impatto (artt. 35-36 del GDPR) è un’autonoma valutazione che il titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche. È chiara l’importanza per tutti quei trattamenti dati in materia di videosorveglianza che possano essere un rischio per i diritti e le libertà delle persone fisiche.

L’art. 35.3 c) del GDPR obbliga la conduzione di una valutazione di impatto in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (caso tipico, la videosorveglianza su larga scala[2]). Solo se il titolare tratta dati particolari su larga scala, vi è quindi l’obbligo di una valutazione d’impatto.

Nel caso in cui si debba procedere alla valutazione d’impatto, questa dovrà comprendere:

–        una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

–        una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

–        una valutazione dei rischi per i diritti e le libertà degli interessati;

–        le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

10       Sanzioni previste in ambito videosorveglianza e GDPR

Anche in questo caso l’apparato normativo è complicato dalla contemporanea presenza di sanzioni previste dal Codice Privacy (D.Lgs 196/2003), novellato dal D.Lgs. 101/2018, richiami dal Provvedimento dell’8 aprile 2010 e dal GDPR.

Si può quindi parlare di apparato sanzionatorio “misto” dove il GDPR disciplina le sanzioni amministrative, mentre il Codice Privacy (il 196 modificato dal 101) le sanzioni penali.

Di massima, nel caso di videoregistrazione e videosorveglianza, il GDPR può prevedere queste sanzioni:

–        fino a 10.000.000 di euro – o fino al 2% del fatturato mondiale annuo dell’esercizio precedente – per le violazioni degli obblighi di cui agli artt. 8, 11, da 25 a 39, 42 e 43; e 41, paragrafo 4 del GDPR.

–        fino a 20.000.000 di euro – o fino al 4% del fatturato mondiale annuo dell’esercizio precedente:

o   per le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 del GDPR;

o   per la violazione dei diritti degli interessati a norma degli articoli da 12 a 22 del GDPR.

[1] …gli obblighi (omissis) non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

[2] Secondo le Linee Guida del Comitato Europeo per la Protezione dei Dati (già “Gruppo dei Garanti Privacy europei”, WP29) per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento.