La videosorveglianza secondo il GDPR deve rendere più chiaro il processo di trattamento delle immagini e il rispetto dei diritti degli interessati. Le sanzioni invece inaspriscono.
Prima dell’entrata in vigore del GDPR, il tema della videosorveglianza è stato trattato approfonditamente dal Garante della Privacy, il quale ha emesso diversi documenti e provvedimenti in materia di protezione dei dati personali.
Le attività da svolgere per essere a norma non cambiano ma diventano molto più precise e soggette a sanzioni.
Segnalare l’area videosorvegliata con un cartello
Il GDPR impone l’obbligo di segnalare il sistema di videosorveglianza: le persone devono essere a conoscenza che l’area è monitorata prima di accedervi.
Il cartello “area videosorvegliata” è da porre in ogni area monitorata dalle telecamere.
Il cartello deve essere posto sia se la videosorveglianza presuppone una registrazione, sia se la videosorveglianza è solo a scopo di fruizione.
Il cartello area videosorvegliata va compilato con il nome dell’organizzazione e lo scopo dell’attività di monitoraggio video.
L’informativa sulla privacy
Vicino alla zona di ripresa è necessario applicare un’informativa circostanziale, in grado di illustrare in modo generico la titolarità dei dati, la descrizione delle apparecchiature di videosorveglianza e il trattamento dei dati raccolti.
Dove posizionare le telecamere
I sistemi di ripresa possono essere installati solo in particolari luoghi, dai quali sono esclusi i bagni, aulee scolastiche, spogliatoi, ecc.
All’interno di un luogo di lavoro è necessario richiedere i permessi sindacali e all’Ispettorato del Lavoro.
La durata delle registrazioni video
Le registrazioni delle telecamere possono essere mantenute per un tempo che va dalle 24h a massimo 72h: in caso di permessi e situazioni particolari, questo range temporale può essere esteso a tempo determinato.
Modalità di accesso ai dati personali
La videosorveglianza è un metodo di acquisizione del dato da trattare, pertanto è necessario rispettare i diritti dell’interessato.
Si consiglia la nomina di un DPO in grado di rendere la compliance GDPR attendibile e “certificata”.