L’Autorità Garante per la Protezione dei dati personali, che ci viene in aiuto con le questioni più spinose in merito a privacy e protezione dei dati, soprattutto quando esse si pongono in contrasto con altre esigenze normative o organizzative degli Enti locali, ha espresso, in un provvedimento, un importante principio che tutti gli Enti locali dovrebbero tenere bene a mente quando si tratta di gestione dei dati: al fine di adempiere «compiti di interesse pubblico o connessi all’esercizio di poteri pubblici», i soggetti pubblici non sono tenuti a chiedere all’interessato alcun consenso o autorizzazione. Questo significa che non vale il principio per cui “nel più sta il meno”, ossia chiedo il consenso anche quando non serve, al massimo è qualcosa in più, ma male non fa. Non è così.
Chiedere un consenso quando non serve non è innocuo, perché dimostra a chiare lettere che il titolare del trattamento, l’ente locale in questo caso, non ha capito quale sia la base giuridica adeguata (ricordiamo che è il titolare che sceglie la base giuridica del trattamento) e pertanto, in ultima analisi, è carente nella normativa di base sul trattamento dei dati e non ha chiare le dinamiche sottese. Questo principio ci viene in aiuto nel caso, ormai sempre più frequente, in cui una riunione consiliare avvenga con modalità “da remoto”, perché così autorizzata dal suo Presidente o dal Sindaco, e si ponga il problema della liceità delle riprese audio e video e delle modalità con cui svolgerle.
Il caso
Il Presidente della Sezione I consultiva del Consiglio di Stato ha chiesto un parere al Garante circa questioni concernenti la riservatezza e la disciplina in materia di protezione dei dati personali derivanti da un quesito che è stato sottoposto al C.d.S. dal Presidente dell’Autorità per le garanzie nelle comunicazioni (di seguito “AGCOM”). Nello specifico, il quesito riguardava il regime giuridico applicabile alle riunioni del Consiglio dell’AGCOM, in particolare nei casi in cui fosse ammessa la partecipazione online da remoto. La domanda era semplice, ma cruciale: è possibile autorizzare il Commissario del Consiglio dell’AGCOM, che ne ha fatto specifica richiesta, «di poter procedere, in autonomia e con propri mezzi, alla registrazione della seduta dell’Organo consiliare» a cui il medesimo prendeva parte da remoto «tramite teleconferenza»? E, in generale, i soggetti pubblici che tengono assemblee da remoto, possono farlo approntando sistemi di video e audio registrazione e se sì quali cautele e adempimenti devono adottare? Quali sono le condizioni per garantire la riservatezza e il corretto svolgimento dei lavori dell’Organo consiliare? I principi statuiti con questo parere del Garante, valgono naturalmente per tutti i soggetti pubblici, e per gli enti locali nella fattispecie.
Strumenti di ripresa audiovisiva di riunioni di organi collegiali di soggetti pubblici e dati personali: la normativa generale
L’utilizzo di strumenti di video registrazione, da tempo (almeno da quando la pandemia ha costretto tutti a fare uso e spesso, purtroppo, abuso di questi strumenti) sotto la lente del Garante, è subordinato al rispetto delle regole in materia di protezione dei dati personali.
Breve ripasso di alcuni concetti chiave. Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del GDPR). L’immagine e la voce di una persona fisica costituiscono senza ombra di dubbio un dato personale.
Si intende invece per «trattamento di dati personali», ai sensi dell’art. 4, par. 1, n. 2, del GDPR «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione». Ed anche in questo caso, la registrazione di video e audio costituisce trattamento.
In tale quadro, i soggetti pubblici possono effettuare riprese o registrare, anche limitatamente al solo audio senza la riproduzione dell’immagine solo se tale trattamento «è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento», oppure quando «il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento».
La base giuridica sottesa a detto trattamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali e il trattamento dei dati personali da parte di un’amministrazione pubblica è anche consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti, ma sempre nel rispetto dell’articolo 6 del Regolamento, in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati.
Dunque, i soggetti pubblici non devono chiedere alcun consenso o autorizzazione quando il trattamento serve per adempiere tali obblighi legali o compiti di interesse pubblico (e in ogni caso, ricordiamo che, quando il titolare del trattamento è un’autorità pubblica, tendenzialmente, il consenso non può costituire un valido presupposto per il trattamento dei dati personali, considerando che esiste un evidente squilibrio tra l’interessato e il titolare del trattamento, tale da rendere pertanto improbabile che il consenso sia stato espresso liberamente e che quindi possa ritenersi validamente prestato).
Adempimenti per le video-riprese
Dunque, sintetizzando ecco quali sono nella pratica le regole da applicare qualora un ente locale intenda procedere alla video registrazione delle riunioni effettuate da remoto:
- Il trattamento è lecito se sussiste un obbligo legale oppure l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
- Ogni Ente locale dovrebbe inserire, nel proprio regolamento di svolgimento delle riunioni di Consiglio e di Giunta, la possibilità che le riunioni si possano tenere per teleconferenza, a condizione che tutti i partecipanti possano essere identificati, che di tale identificazione si dia atto nel processo verbale della seduta e che sia loro consentito di seguire la discussione e di intervenire in tempo reale nella trattazione degli argomenti affrontati.
- Di tali riunioni dovrebbe essere redatto processo verbale dal quale risultino l’ordine del giorno, con eventuali integrazioni ed i nomi dei presenti, ciascun argomento trattato, gli elementi essenziali della relazione svolta e della discussione nonché le decisioni adottate.
- Per quanto riguarda le condizioni da osservare per garantire la riservatezza (e il corretto svolgimento) dei lavori dell’Organo consiliare nel caso in cui si svolgano da remoto e se sia possibile autorizzare il Commissario che ne faccia richiesta alla relativa registrazione (da remoto ovvero in presenza) individuando le relative garanzie, è il titolare, nell’ambito dell’autonomina organizzativa a esso riconosciuta per legge e nel regime di accountability sancito dal Regolamento, a dover disciplinare dette condizioni.
- È previsto che il titolare metta in atto tutte le «misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare» di avere attuato, fin dalla progettazione (cd. data protection by design), «in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati» anche sotto il profilo della sicurezza dei dati (a questo proposito potrebbe essere condotta una DPIA, con il coinvolgimento del DPO).
- Va da sé che dovrà essere fornita una informativa ai partecipanti, in cui venga chiarita la possibilità o meno che le riunioni siano registrate e quale sia/siano il/i soggetto/i a ciò autorizzato/i; le condizioni e i limiti di tale operazione; le modalità di trattamento; la finalità (determinate, esplicite e legittime) della raccolta/registrazione dei dati; i tempi di conservazione; l’impegno a che i dati siano «successivamente trattati in modo che non sia incompatibile con finalità determinate. Nel redigere l’informativa, dovranno essere evidenziate con chiarezza le finalità del trattamento, anche in relazione al successivo utilizzo delle riprese audiovisive.
- La consultazione delle registrazioni sarà soggetta alle regole in materia di accesso agli atti della pubblica amministrazione (accesso agli atti amministrativi e accesso civico).
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento