Non possiamo negare che la richiesta di installazione di sistemi di videosorveglianza nei condomini è in continua ascesa, ma bisogna sottolineare che l’argomento seppur sia molto delicato, non va assolutamente sottovalutato perché in caso di irregolarità è previsto un sistema sanzionatorio che parte da un minimo di 12 mila euro. Stando a quanto riportato dal Garante le sanzioni erogate nel 2021 nei confronti degli amministratori di condominio sono state di oltre 1,8 milioni. I controlli sono demandati agli agenti della Guardia di Finanza e le attività che riguardano la privacy sono considerate attività di rischio ai sensi dell’art. 2050 del c.c. e questo comporta l’inversione dell’onere della prova; quindi, è l’amministratore che deve dimostrare la sua diligenza ed il fatto di aver applicato le norme.
Ma veniamo al condominio dove i tre scenari che possono configurarsi sono i seguenti:
- Il condòmino che installa un sistema di videosorveglianza;
- Il condominio che installa un sistema di videosorveglianza;
- Il condominio che appone un avviso di area videosorvegliata senza però aver installato alcun sistema.
Analizzando il primo scenario dobbiamo innanzitutto distinguere quella che è la videosorveglianza privata rispetto a quella condominiale.
Per la videosorveglianza privata non ci sono particolari avvertenze ed è lo stesso Garante ad affermare che le persone fisiche possono, nell’ambito di attività di carattere personale o domestico, attivare sistemi di videosorveglianza a tutela della sicurezza di persone o beni senza alcuna autorizzazione e formalità, purché le telecamere siano idonee a riprendere solo aree di propria esclusiva pertinenza; vengano attivate misure tecniche per oscurare porzioni di immagini in tutti i casi in cui, per tutelare adeguatamente la sicurezza propria o dei propri beni, sia inevitabile riprendere parzialmente anche aree di terzi; nei casi in cui sulle aree riprese insista una servitù di passaggio in capo a terzi, sia acquisito formalmente (una tantum) il consenso del soggetto titolare di tale diritto; non siano oggetto di ripresa aree condominiali comuni o di terzi; non siano oggetto di ripresa aree aperte al pubblico come strade pubbliche o aree di pubblico passaggio; non siano oggetto di comunicazione a terzi o di diffusione le immagini riprese.
Veniamo al secondo scenario dove per la videosorveglianza condominiale il discorso è decisamente più complesso e per capirlo bene dobbiamo spendere due parole sui ruoli delle figure fondamentali, quello di titolare, quello del responsabile, quello dell’Interessato e quello dell’incaricato.
Il titolare è definito dall’art. 4 del GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell’Unione o dal diritto di uno Stato membro, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell’Unione o dal diritto dello Stato membro. In altre parole, acquisisce i dati e ne determina le finalità, quindi, è il condominio stesso che è composto dalla totalità dei condomini.
Il responsabile (art. 28 GDPR) è invece colui che tratta i dati per conto del titolare, quindi è l’amministratore del condominio.
L’interessato è la persona fisica di cui si trattano i dati, mentre l’incaricato è colui che compie le operazioni di trattamento per il titolare o per il responsabile.
L’amministratore di condominio, quindi, non può sottrarsi dal ruolo di responsabile e la sua nomina deve essere formalizzata nel verbale di assemblea.
Una volta che l’assemblea ha deliberato l’installazione di un sistema di videosorveglianza bisogna attenersi alle linee guida del Garante ed il primo passo da seguire quello di far fare un’analisi dei rischi specifica che consiste in una certificazione di un professionista che attesti una certa legittimità all’installazione delle telecamere. Il benestare verrà rilasciato dopo una serie di valutazioni, sia che si tratti di un impianto nuovo, sia per verificare se si possa mantenerne uno già installato. Detta analisi si baserà su due principi fondamentali: quello di necessità con lo scopo di evitare eccessi come le riprese in zone esterne al condominio e quello di proporzionalità nella scelta del luogo da riprendere, del punto ove verrà installata la telecamera e della durata delle registrazioni. Si vuole segnalare che la sentenza della Cassazione Civile n. 71 del 3 gennaio 2013 dispone che “l’installazione di impianti di videosorveglianza è illegittima ove avvenga in luoghi non soggetti a concreti pericoli per i quali non esistono effettive esigenze controllo.”
L’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili: ad esempio, le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, o in materia di controllo a distanza dei lavoratori. Va sottolineato, in particolare, che l’attività di videosorveglianza va effettuata nel rispetto del cosiddetto principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento. I dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite.
E’ bene ricordare inoltre che il Comitato europeo per la protezione dei dati (EDPB) ha adottato le Linee guida 3/2019 sul trattamento dei dati personali mediante l’utilizzo di questa tipologia di dispositivi allo scopo di fornire indicazioni sull’applicazione del Regolamento in relazione al trattamento di dati personali attraverso dispositivi video, inclusa la videosorveglianza.
Non è invece prevista alcuna autorizzazione da parte del Garante per installare tali sistemi, anzi in caso di richiesta al Garante si viene addirittura sanzionati poiché le richieste vanno inoltrate solo per determinati casi specifici.
In base al principio di responsabilizzazione (art. 5, par. 2, del GDPR), spetta al titolare del trattamento valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, altresì, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.
Fondamentale invece è informare gli interessati (art. 13 del GDPR) che stanno per accedere in una zona videosorvegliata. Questa regola vale anche in occasione di eventi e spettacoli pubblici a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato.
Sorge quindi l’obbligo di informare l’interessato che sta per entrare in un’area sottoposta a videosorveglianza e l’informativa può essere fornita utilizzando un modello semplificato che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese). L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del GDPR, indicando come e dove trovarlo. Potrebbe quindi essere il sito Internet del titolare del trattamento o l’affissione in bacheche o locali dello stesso.
Le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (art. 5, paragrafo 1, lett. c ed e, del GDPR). In base al principio di responsabilizzazione (art. 5, paragrafo 2, del GDPR), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Ciò salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati. Si veda, ad esempio, l’art. 6, co. 8, del D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”.
In via generale, gli scopi legittimi della videosorveglianza sono spesso la sicurezza e la protezione del patrimonio. Solitamente è possibile individuare eventuali danni entro uno o due giorni. Tenendo conto dei principi di minimizzazione dei dati e delle limitazione alla conservazione, i dati personali dovrebbero essere, nella maggior parte dei casi cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.
È però possibile prolungare i tempi di conservazione delle immagini in casi specifici previsti dalla legge come ad esempio, nel caso in cui tale prolungamento si renda necessario a dare seguito ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad un’attività investigativa in corso.
La valutazione d’impatto preventiva è prevista se il trattamento, preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per le persone fisiche (artt. 35 e 36 del GDPR). Può essere il caso, ad esempio, dei sistemi integrati, sia pubblici che privati, che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c del Regolamento) e negli altri casi indicati dal Garante riportate nell’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 dell’11 ottobre 2018.
Veniamo ora al terzo scenario dove tutta la disciplina finora vista non si applica nel caso di telecamere finte o non funzionanti in quanto non vi è trattamento di dati.
Tuttavia lo stresso Garante che si è espresso con provvedimento generale 29 aprile 2004 (documento web 1003484) le ha dichiarate illegittime in quanto “l’installazione meramente dimostrativa o artefatta, anche se non comporta trattamento di dati personali, può determinare forme di condizionamento nei movimenti e nei comportamenti delle persone in luoghi pubblici e privati e pertanto può essere legittimamente oggetto di contestazione.”