LE BODY CAM ILLEGALI DELLA POLIZIA LOCALE di M.Mancini

by Massimiliano Mancini

Marzo 04, 2021

in Notizie, Privacy, Videosorveglianza

Nessun commento

24729

ILLEGALI LE BODY CAM PER LE FORZE DI POLIZIA SENZA L’APPROVAZIONE DEL GARANTE

di Massimiliano Mancini (massimiliano.mancini-privacy@hotmail.com) [a]

Abstract: Le body cam sono una delle forme di videosorveglianza espressamente prevista dalla vigente normativa sulla privacy e quindi, al di fuori dei casi di esclusione come nel caso di reparti specializzati che svolgano esclusivamente attività di controllo dell’ordine e della sicurezza pubblica, sono illegali se adottate senza svolgere preventivamente all’acquisto e adozione valutazione d’impatto-DPIA DPIA (Data Privacy Impact Assessment) che dimostri la sussistenza dei requisiti di legge e in particolare del principio di proporzionalità e ottenga l’approvazione del Garante. Viceversa per i corpi di Polizia Locale che abbiano superficialmente adottato questi strumenti si espongono al rischio di sequestro e di sanzioni sino a 10 milioni di euro, importi in grado di determinare il dissesto finanziario per qualsiasi ente.

Keywords: #bodycam #bodycamillegali #privacy #GDPR #valutazionedimpatto #dpia #pia #trattamentodatipersonali #DPO #DataProtectionOfficer #RPD #responsabileprotezionedati #PoliziaGiudiziaria #PoliziaAmministrativa #MassimilianoMancini #EspertiUPLI #UPLI #UnionePoliziaLocaleItaliana.

[a] Segretario Generale UPLI, criminologo, già comandante dirigente di Polizia Locale e Provinciale, DPO/RPD e consulente privacy in enti pubblici e aziende private esperto in DPIA.

Indice

Premessa; Cosa sono considerate dalla normativa le body cam e quali obblighi sussistono; Cos’è la valutazione d’impatto; A quali condizioni solo legali le body cam; Le conseguenze nefaste di adottare body cam senza; Quando le body cam sono lecite in via generale.

Premessa

L’autonomia di spesa distingue ogni corpo di polizia locale, anche quello del più piccolo comune, dalle polizie nazionali che, viceversa, hanno un unico sistema centralizzato per gli acquisti di beni e servizi.

La parcellizzazione delle forniture non è un vantaggio per le polizie locali, poiché le potenzialità operative dipendono dai bilanci e dalle scelte politiche delle amministrazioni locali, ma a ciò si unisce un altro grande svantaggio: non disponendo di un centro unico di acquisto le polizie locali difficilmente possono permettersi un servizio che valuti la legittimità e l’idoneità del materiale che si vuole acquistare.

Così succede che strumenti come le body cam che, non a caso, le polizie nazionali non hanno adottato se non in casi specifici e limitati, come sono i reparti che svolgono esclusivamente attività di controllo sull’ordine e la sicurezza pubblica, siano invece allegramente acquistate da alcune polizie locali e spacciate come elemento di vanto per l’efficienza e l’efficacia del servizio.

Basterebbe porsi in un atteggiamento critico e approfondire le ragioni per le quali le altre forze di polizia non hanno adottato simili strumenti, non perché ciò debba essere vincolante poiché ogni forza di polizia, locale o nazionale, ha pari dignità e piena autonomia di gestione, ma solo per confrontare sinergicamente le esperienze e gli studi giuridici e tecnici.

Eppure le logiche politiche -e spesso l’autoreferenzialità- di alcune amministrazioni, congiuntamente a una scarsa conoscenza e sensibilità verso i nuovi valori europei in tema di privacy e sulla rivoluzione del quadro normativo operato dal GDPR[1], spesso fanno compiere scelte affrettate e pericolose.

Così, credendo immotivatamente che le body cam siano escluse dalla disciplina della videosorveglianza, che è un’attività espressamente e minuziosamente disciplinata dalle norme [art.35 GDPR], senza eseguire preventivamente la valutazione d’impatto sulla protezione dei dati-DPIA, senza dimostrare l’attuazione del principio di proporzionalità tra l’adozione di uno strumento così invasivo e le reali esigenze della polizia, espone l’amministrazione pubblica che ha adottato illegittimamente le body cam al sequestro degli strumenti e alla sanzione sino a dieci milioni di euro [art.35 c.1 e art.83 c.4[2] GDPR], una somma che, anche se applicata in misura ridotta, determina conseguenze devastanti per l’ente, per la parte politica e per i dirigenti.

Cosa sono considerate dalla normativa le body cam e quali obblighi sussistono

Le body cam sono oggettivamente strumenti di registrazione audiovisiva e quindi, sul piano funzionale e strutturale, in nulla si distinguono da tutti gli altri sistemi usati per la videosorveglianza ossia la sorveglianza sistematica su larga scala di una zona accessibile al pubblico che è uno dei casi espressamente sottoposto agli obblighi di valutazione d’impatto sul trattamento dei dati personali-DPIA [art.35 c.3 p.c GDPR[3]].

Inoltre, come se non bastasse, è una delle nuove tecnologie che sin dalla valutazione dell’implementazione deve essere attentamente valutato per i rischi sui diritti e le libertà delle persone fisiche [art.35 c.1 p.c GDPR[4]].

L’obbligo della Valutazione d’impatto-DPIA nei casi di videosorveglianza, comunque siano eseguiti, è stato ribadito anche dal Garante per la Protezione dei Dati Personali che con la delibera 11 ottobre 2018, n.467 “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35, comma 4, del regolamento (UE) n. 2016/679”, che ha attuato le indicazioni del WP29 del 2017 fatte proprie dal Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB) nelle Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video del 29 gennaio 2020.

Cos’è la valutazione d’impatto

La valutazione d’impatto sulla protezione dei dati è una procedura, nota anche con l’acronimo DPIA (Data Protection Impact Assessment) o PIA (Privacy Impact Assessment), come si indicherà nel seguito, è prevista dall’articolo 35 del Regolamento UE/2016/679 (GDPR) e ha lo scopo di descrivere un trattamento di dati per valutarne la necessità e la proporzionalità così come tutti gli altri principi fondamentali del GDPR.

Il processo di DPIA può riguardare un singolo trattamento anche più trattamenti che presentino analogie per natura, ambito, finalità e rischi[5].

Dalla descrizione del trattamento ne consegue la valutazione e quindi la predisposizione di idonee misure per affrontarlo.

La PIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare a rispettare le prescrizioni normative ma attesta anche di aver adottato idonee misure per garantirne il rispetto.

A quali condizioni solo legali le body cam

Preliminarmente all’acquisto delle body cam, anzi ancor prima che l’amministrazione bandisca le procedure concorsuali anche sotto mentite spoglie, come spesso vengono artatamente definite le c.d. “sperimentazioni” sussiste l’obbligo di eseguire la Valutazione d’impatto-DPIA, in ossequio al principio della privacy by design (art.25 c.5 GDPR[6]).

La valutazione deve essere preventiva e solo a margine di un favorevole processo di analisi che escluda qualsiasi rischio per le libertà fondamentali dei cittadini e l’utilizzo improprio degli impianti di videosorveglianza si può procedere con la decisione di procedere all’acquisto, all’installazione e all’impiego di qualsiasi sistema di videosorveglianza.

Nella valutazione d’impatto sul trattamento dei dati-DPIA si deve attentamente considerare innanzitutto il rispetto dei principi fondamentali del trattamento dei dati personali e in particolare [art.5 GDPR]:

Principio di trasparenza, quindi tutti devono sapere, tra le altre cose, in che modo e per quanto tempo, con quali sistemi di sicurezza le immagini video saranno detenute dall’amministrazione e l’informativa deve essere completa, disponibile e ben visibile almeno sul sito dell’ente [art.5 c.1 p. a[7] GDPR];
Limitazione delle finalità, quindi si deve esplicitare perché, a che scopo sono registrate le immagini della body cam e per quale motivo si è scelto quel metodo invasivo, indicando tassativamente le finalità e le necessità, ad esempio per scopo di ordine pubblico [art.5 c.1 p. b[8] GDPR];
Minimizzazione dei dati, si deve accertare che la ripresa sia minima e limitata alle immagini e quindi alle informazioni che effettivamente servono [art.5 c.1 p. c[9] GDPR];
Limitazione della conservazione, che le immagini registrate siano mantenute per il tempo strettamente necessario alle finalità e che questo tempo sia adeguatamente [art.5 c.1 p. e[10]];
Sicurezza e riservatezza, che le riprese audiovisive siano conservate garantendo la massima sicurezza mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali [art.5 c.1 p. e[11] GDPR].

La valutazione d’impatto-DPIA, dato il rischio che comunque sussiste devono essere inviate al garante che giudicherà, tra le altre cose, la sussistenza e la dimostrazione dei principi di:

Liceità, accertando che le riprese siano necessarie per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, quindi si dovrà dimostrare, ad esempio, perché un pubblico ufficiale, la cui parola fa pubblica fede, abbia bisogno di documentare la propria attività con un mezzo così invasivo [art.6 c.1 p. e[12] GDPR];
proporzionalità, questo principio è stato ribadito dalle nuove Linee Guida del Garante europeo della protezione dei dati (GEPD), essendo già previsto dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea e dall’art. 16 del Trattato sul funzionamento dell’Unione europea (TFUE), quindi si deve dimostrare che l’adozione delle body cam sia una scelta proporzionale alle necessità, tenendo conto non solo degli obiettivi della misura stessa, ma anche della necessità di proteggere i diritti e le libertà in generale e che quella finalità, a sua volta, non sia raggiungibile con altri mezzi, ragionevolmente applicabili nel contesto di riferimento.

Le conseguenze nefaste di adottare body cam senza

L’analisi contenuta nella valutazione d’impatto-DPIA deve essere attenta e approfondita, poiché non si deve credere che gli enti pubblici siano, in qualche modo, legibus solutibus e, quindi, data la finalità istituzionale dell’azione degli organismi pubblici, il fine giustifichi i mezzi e anche le azioni.

Ci si deve ricordare infatti che il Regolamento UE 2016/679 sulla privacy ha completamente sostituito il precedente quadro normativo sul trattamento dei dati personali e, come Regolamento europeo, non solo non ha bisogno di alcuna conversione in legge da parte degli Stati membri ma è addirittura sovraordinato rispetto le norme nazionali le quali non possono né variarlo né derogarlo.

La disciplina europea della privacy non fa alcuna differenza negli obblighi e nelle sanzioni tra aziende private ed enti pubblici, se non nel fatto che le prime sono sanzionate in maniera proporzionale al fatturato, e non consente alcuna deroga o giustificazione derivante da esigenze di bilancio o urgenze.

Quindi l’omissione delle valutazioni preliminari e delle procedure di gestione del trattamento dei dati in generale per le riprese effettuate con le body cam determina, a carico degli enti pubblici così come dei soggetti privati, tra le altre cose, una sanzione sino a dieci milioni di euro (art.35 c.1 e art.83 c.4 GDPR), una somma che, anche se applicata in misura ridotta, determina conseguenze devastanti.

Quando le body cam sono lecite in via generale

Quanto detto sinora non si applica in tutti i casi in cui non si applica la normativa sulla privacy di cui al GDPR, in questi casi quindi l’adozione delle body cam è legittimo a prescindere:

Attività di polizia giudiziaria [art.2 c.5 GDPR[13]], che tuttavia non può essere preventiva ma solo repressiva e conseguente alla notizia di reato, quindi non è legittima la giustificazione che le body cam siano utilizzate per documentare eventuali reati
Attività di controllo dell’ordine della sicurezza pubblica [art.2 c.5 GDPR], in questi casi l’attività può essere anche preventiva ma deve essere limitata al contesto territoriale e al momento in cui sussistano rischi, ad esempio nel caso di tumulti in occasione di manifestazioni sportive, politiche, sindacali.

Dette finalità devono essere predefinite sin dall’inizio e conformi alle norme, non si possono quindi considerare come eventuali.

[1] Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

[2] Reg. UE/2016/679 GDPR, art.83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie) c.4 “In conformità del paragrafo 2 la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 11 da 25 a 39 42 e 43…omissis…”.

[3] Reg. UE/2016/679 GDPR, art.35 c.3 “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.”.

[4] Reg. UE/2016/679 GDPR, art.35 c.1 “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, …”.

[5] Reg. UE/2016/679 GDPR, art.35 (Valutazione d’impatto sulla protezione dei dati) c.1 “…Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi…”.

[6] Reg. UE/2016/679 GDPR, art.25 (Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita) c.1 “Tenendo conto dello stato dell’arte e dei costi di attuazione nonché della natura dell’ambito di applicazione del contesto e delle finalità del trattamento come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate…omissis…”.

[7] Reg. UE/2016/679 GDPR, art.5 (Principi applicabili al trattamento di dati personali) c.1 a “I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)”.

[8] Reg. UE/2016/679 GDPR, art.5 (Principi applicabili al trattamento di dati personali) c.1 b “I dati personali sono: … omissis… b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);”.

[9] Reg. UE/2016/679 GDPR, art.5 (Principi applicabili al trattamento di dati personali) c.1 c “I dati personali sono: … omissis… c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);”.

[10] Reg. UE/2016/679 GDPR, art.5 (Principi applicabili al trattamento di dati personali) c.1 c “I dati personali sono: … omissis… e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»)”

[11] Reg. UE/2016/679 GDPR, art.5 (Principi applicabili al trattamento di dati personali) c.1 c “I dati personali sono: … omissis… f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).”.

[12] Reg. UE/2016/679 GDPR, art.6 (Liceità del trattamento) “1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;”.

[13] Reg. UE/2016/679 GDPR, art.2 (Ambito di applicazione materiale) c.2 “Il presente regolamento non si applica ai trattamenti di dati personali: …omissis… d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.”.

PER SCARICARE L’ARTICOLO CLICCARE SUI SEGUENTI LINK:

202112 M.Mancini-Le body cam illegali della polizia locale

ARTICOLI CORRELATI:

I REATI DI CHI TOLLERA LA VIDEOSORVEGLIANZA ILLEGITTIMA di M.Mancini

GLI ACCERTAMENTI ILLEGALI DELLE VIOLAZIONI AMBIENTALI (-REV.01-) di M.Mancini

DPIA PER VIDEOSORVEGLIANZA, FOTOTRAPPOLE E BODY CAM (-REV.01-) di M.Mancini

SANZIONE DI 10 MILIONI PER LA VIDEOSORVEGLIANZA ABUSIVA (-REV.01-) di M.Mancini

LA PRIVACY NELL’ATTIVITA’ DI POLIZIA di M.Mancini

VERBALIZZAZIONE E PRIVACY di M.Mancini

LA PRIVACY NELLE RIPRESE FOTO E VIDEO di M.Mancini

EMERGENZA SANITARIA, LIBERTÀ E PRIVACY di L.Tamos

11 WEBINAR UPLI: VIDEOSORVEGLIANZA-ISTRUZIONI PER L’USO di L.Tamos e M.Mancini-