Marketing e videosorveglianza, Scorza: “Spetta al titolare stabilire i termini di liceità del trattamento” – Intervento di Guido Scorza
Col Gdpr non è più compito delle Autorità di protezione dei dati personali dettare termini massimi di trattamento dei dati da parte dei titolari del trattamento. Ma del titolare. Vediamo che significa per quanto riguarda la videosorveglianza, anche grazie a nuove FAQ del Garante Privacy che chiariscono dubbi residui
Intervento di Guido Scorza, Componente dell’Autorità Garante per la protezione dei dati personali
(Agenda Digitale, 7 dicembre 2020)
Le Faq che il Garante Privacy ha appena pubblicato su videosorveglianza, oltre a chiarire alcuni dubbi residui, sono utili nel ribadire un principio generale.
Ossia: il principio di accountability (responsabilizzazione) attorno al quale è costruito il Regolamento generale sulla protezione dei dati personali (GDPR) produce, tra le tante conseguenze, che, di norma, non spetta più alle Autorità di protezione dei dati personali dettare termini massimi di trattamento dei dati da parte dei titolari del trattamento.
Come ogni altra operazione del trattamento, anche la conservazione, nel vigore delle regole europee deve avvenire nel rispetto dei principi stabiliti dal GDPR applicati per come, caso per caso, il titolare ritenga di applicarli, assumendosi poi ogni conseguente responsabilità.
La logica conseguenza di tale impostazione è che anche alcuni dei termini di conservazione fissati dal Garante per la protezione dei dati personali prima dell’entrata in vigore del Regolamento devono, oggi, essere superati da scelte autonome e responsabili dei titolari del trattamento.
Marketing e video sorveglianza, il compito del titolare
E’ il caso dei termini per l’utilizzazione dei dati personali in operazioni di profilazione e comunicazione commerciale nell’ambito dell’attività di marketing e dei termini per la conservazione delle immagini acquisite attraverso sistemi di videosorveglianza.
Come è noto, con il provvedimento del 24 febbraio 2005 in materia di Fidelity card il Garante aveva fissato, rispettivamente, in 12 e 24 mesi i termini per l’utilizzazione dei dati personali per finalità di profilazione e di marketing, lasciando ai titolari del trattamento la possibilità di sottoporre al garante una richiesta di parere preliminare qualora intendessero superare tali termini.
Tali aspetti del citato provvedimento devono considerarsi, come si è anticipato, superati dall’entrata in vigore del regolamento e sussunti sotto il principio dell’accountability in forza del quale, oggi, tocca al singolo titolare del trattamento determinare, caso per caso, quanto a lungo sia lecito protrarre un trattamento di dati personali per finalità di marketing o profilazione nel rispetto dei diversi principi cui si ispira la disciplina europea e, in particolare, di quelli di proporzionalità, necessità, minimizzazione ecc.
Si tratta di una conclusione da ultimo confermata dal Garante per la protezione dei dati personali con il provvedimento adottato lo scorso 15 ottobre 2020: “Il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento”.
I due aspetti da considerare: termine di validità consenso e conservazione immagini
Due dunque gli aspetti da tenere a mente.
Il termine di validità del consenso prescinde, di norma, dalla durata del contratto e, soprattutto, esso non può più considerarsi stabilito nel precedente provvedimento del Garante ma deve essere determinato di volta in volta dal titolare del trattamento in maniera, peraltro, coerente a quanto chiarito dal Board dei Garanti europei nelle sue linee guida del 4 maggio 2020 secondo le quali “Non esiste un limite di tempo specifico nel GDPR per la durata del consenso. La durata del consenso dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se le operazioni di trattamento cambiano o evolvono notevolmente, il consenso originario non è più valido. In tal caso, è necessario ottenere un nuovo consenso.”.
Attenzione però, il venir meno di un termine etero imposto per la liceità di talune operazioni del trattamento e il chiarimento relativo all’autonomia del termine di validità del consenso rispetto alla durata del contratto non significano né che il consenso possa durare in eterno, né che la validità del contratto non possa, al ricorrere di talune condizioni e, in particolare, qualora ciò lasci intendere l’informativa fornita all’interessato, influenzare il periodo di validità del consenso.
Analogamente i termini per la conservazione delle immagini raccolte da dispositivi di videosorveglianza di cui al vecchio provvedimento generale dell’8 aprile 2010 devono, oggi, considerarsi superati dalle decisioni adottate dal titolare del trattamento in attuazione del principio di accountability.
Le Faq Garante Privacy su videosorveglianza: dubbi chiariti
Anche in questo caso, eventuali dubbi residui, sono chiariti dalle Faq appena pubblicate sul sito del Garante e, in particolare, dalla numero 5: “Le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (art. 5, paragrafo 1, lett. c) ed e), del Regolamento). In base al principio di responsabilizzazione (art. 5, paragrafo 2, del Regolamento), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
Ciò salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati (si veda, ad esempio, l’art. 6, co. 8, del D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”).
La stessa FAQ, peraltro, chiarisce che, normalmente, quando un sistema di videosorveglianza è utilizzato per finalità di sicurezza e protezione del patrimonio, un periodo di conservazione di pochi giorni dovrebbe essere sufficiente a consentire al titolare del trattamento di raggiungere lo scopo perseguito con il trattamento.
In ogni caso, “Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.”.