Nelle tecnologie più evolute, come la videosorveglianza, emerge sempre più la necessità di adottare idonei sistemi di sicurezza capaci di tutelare efficacemente i diritti e le libertà degli interessati (le persone riprese e analizzate dal sistema di videosorveglianza).

Con il Regolamento UE 2016/679 (c.d. GDPR o RGPD), in virtù del principio dell’accountability, vi è stata l’abolizione, a partire dal 25 maggio 2018, di alcuni istituti previsti dalla direttiva 95/46/CE e dal D.Lgs n.196/2003, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda l’abrogato art. 17 del Codice Privacy), sostituiti da obblighi di tenuta di un registro dei trattamenti (art. 30 GDPR) da parte del titolare/responsabile e di effettuazione di valutazioni di impatto (art. 35 GDPR) in piena autonomia.

La Data Protection Impact Assessment (c.d. D.P.I.A.), disciplinata dall’articolo 35 GDPR, consiste in una procedura finalizzata ad esaminare un trattamento di dati (es. algoritmo di videoanalisi) per valutarne il rispetto ai principi privacy, nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Il GDPR infatti prevede che i titolari del trattamento attuino misure adeguate per garantire ed essere in grado di dimostrare il rispetto di detto regolamento, tenendo conto tra l’altro dei “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” (articolo 24, paragrafo 1).

In tema di Videosorveglianza il Regolamento UE 679/2016 ha previsto una serie di ipotesi che vanno sottoposte a verifica preliminare ex art. 35 del GDPR. Si tratta:

• dei sistemi di videosorveglianza abbinati a dati biometrici;
• degli impianti dotati di software, che consentono il Riconoscimento delle persone;
• dei sistemi c.d. intelligenti, che cioè non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli ed eventualmente registrarli;
• dei sistemi integrati di videosorveglianza;
• delle casistiche di allungamento dei tempi di conservazione delle immagini oltre il previsto termine massimo di sette giorni.

Considerato che il principio dell’accountability o di responsabilizzazione consiste nel dovere del titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate al fine di dimostrare che il trattamento è effettuato conformemente al regolamento, la valutazione di impatto privacy ai sensi dell’articolo 35 del regolamento UE 2016/679 ne rappresenta un valido strumento (c.d. accountability tool).

Si tratta di un aspetto importante perché la DPIA del fornitore potrà contenere dettagli in merito alle misure di sicurezza presenti nel dispositivo tecnologico oggetto della valutazione del titolare utilizzatore che, quindi, se opportunamente configurato, gli consentirà una adeguata gestione dei rischi e la dimostrazione del rispetto dei principi della privacy by design e by default.