Immagini a terzi e sul web: cosa dice il GDPR a riguardo?

Cosa dicono le nuove regole relativamente alla consegna a terzi di immagini di videosorveglianza, la diffusione di queste sul web e l’utilizzo delle tecnologie biometriche? Sono tutti aspetti sui cui andiamo a indagare in questo articolo di approfondimento legato al provvedimento numero 3 dell’European Data Protection Board (luglio 2019), basato sui nuovi principi del GDPR.

I primi due aspetti sono normati dall’articolo 4 comma 2: fondamentale è capire chi è il terzo a cui si cede il filmato. Se per esempio fare vedere le immagini a un avvocato può essere lecito, specialmente se devono essere messe in atto azioni di risarcimento, al contrario la diffusione sui social di filmati in cui si vede un ladro in azione non rientra nelle regole. Le basi normative sono l’articolo 6 del regolamento europeo (liceità della condotta), 45 e 46 (accordi internazionali legati alla trasmissione di dati extra UE o a organizzazioni esterne). Sempre giustificata invece la cessione alle forze dell’ordine o alla magistratura in quanto la collaborazione è un obbligo di legge che giustifica dunque l’atto. Questo anche quando si è in possesso di una telecamera che, nella sua azione, inquadra una scena utile ad altre indagini, anche non pertinenti al proprio ambito. Se la polizia giudiziaria chiede delle immagini, il titolare del trattamento non può opporsi alla consegna pena il sequestro. Disco verde anche alla spontanea consegna di immagini alle forze dell’ordine se queste inquadrano un crimine o un danno a un soggetto terzo, per esempio un passante.

Le immagini possono cogliere molti aspetti e per questo vale il principio di minimizzazione del trattamento. Significa che le telecamere non dovrebbero puntare su luoghi sensibili come chiese, sedi di partito o altro capace di dare informazioni di natura sanitaria, sessuale, politica o religiosa. Diverso è il caso, per esempio, della ripresa di un portatore di handicap di passaggio per la strada, la cui situazione è evidente. L’importante è ridurre al minimo questo tipo di elementi ambientali i quali non possono essere rimossi del tutto. Comunque, ciò che conta è anche la finalità di trattamento indicata sui cartelli dell’area videosorvegliata. Necessario anche trovare il punto di mezzo tra chi è inquadrato e il titolare del trattamento: in un’azienda la ripresa può essere utilizzata per scoprire eventuali furti ma non per vedere chi sono le persone che hanno aderito a un’assemblea sindacale, per esempio.

La biometria e il GDPR

Il principio base è il seguente: videosorveglianza e biometria insieme per i riconoscimento dei volti vanno utilizzati solo quando non ci sono alternative. Per l’accesso dei dipendenti al lavoro, per esempio, un marcatempo può essere sufficiente, diverso il procedimento legato al controllo dei varchi degli aeroporti. L’identificazione biometrica, secondo gli articoli 4.14 e 9 del GDPR, è composta da tre criteri: l’individuazione di una o più caratteristiche fisiche, psicologiche o comportamentali dell’interessato; un procedimento tecnico di rilevazione e trattamento di tali caratteristiche; l’elaborazione di un dato capace di far identificare una persona in maniera univoca.

Tornando all’esempio dell’aeroporto, il passeggero deve essere messo in condizione di non dover forzatamente utilizzare il varco biometrico ma avere alternative. Infine, il dato estratto dal sistema biometrico deve essere tale da avere i soli elementi essenziali alla finalità del trattamento. Il titolare del trattamento deve anche fare in modo che le informazioni raccolte e crittografate non possano finire in mani sbagliate.

Dal Comitato Europeo per la Protezione dei Dati arrivano alcune misure di sicurezza consigliate come vietare gli accessi esterni ai dati, associare un codice di integrità ai dati e attuare misure per il rilevamento delle frodi, dividere i database dei modelli biometrici e dei dati grezzi, compartimentare i dati durante la trasmissione e l’archiviazione e infine crittografarli seguendo una politica chiara, anche per la gestione delle chiavi. La divisione degli utenti in segmenti profilati non viene considerata come un’attività di identificazione biometrica.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *