Le immagini videoriprese possono appartenere al novero delle categorie particolari di dati? Tale evenienza si può realizzare nel caso in cui sia possibile ricavare informazioni “che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” (art. 9.1 GDPR) dalle immagini videoriprese.
La questione è tutt’altro che è irrilevante, dal momento che da ciò dipende la validità della corretta base giuridica per l’attività di trattamento dei dati personali svolta, che si dovrà individuare non più solamente nel novero dell’art. 6.1 GDPR, bensì anche fra le eccezioni di cui all’art. 9.2 GDPR. E se si considerano alcuni sistemi di rilevazione della temperatura per gli ingressi nei luoghi di lavoro per l’applicazione dei protocolli anticontagio, ad esempio, ecco che l’evenienza si presenta con una forma tutt’altro che rara ed eccezionale.
L’approccio da adottare in tal senso – è bene ricordare – deve sempre seguire gli scopi dettati dal GDPR all’art. 1, ovverosia la tutela degli interessati e la garanzia della libera circolazione dei dati personali. Ciò comporta dunque delle considerazioni preliminari da dover svolgere attentamente, applicando sempre il criterio di privacy by default e il principio di minimizzazione, al fine di evitare di raccogliere dati che esulino dalle finalità di trattamento. Nell’ipotesi in cui l’attività sia fondata sul legittimo interesse, inoltre, è bene tenere conto del rischio di ricavare dati “sensibili” (e dunque: anche ulteriori rispetto alle categorie particolari e caratterizzati da un impatto elevato verso l’interessato) nella fase di valutazione di sussistenza e bilanciamento dello stesso. Non solo: sarà sempre necessario vigilare sul rispetto degli obblighi normativi, con particolare riferimento ai profili della sicurezza e del corretto svolgimento di una valutazione d’impatto quando necessario.
Sul trattamento di dati di categorie particolari, le linee guida 1/2019 dell’EDPB confermano l’inapplicabilità nell’ambito della videosorveglianza dell’eccezione dei dati personali resi manifestamente pubblici dall’interessato presentata dall’art. 9.2 lett. e) GDPR, dal momento che l’ingresso in un’area videosorvegliata non implica – né può implicare – in alcun modo la volontà dell’interessato di rendere pubbliche le informazioni di carattere particolare.
Infine, il trattamento di immagini comporta un trattamento di categorie di dati personali di categorie particolari nel momento in cui viene utilizzato “un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica” (considerando n. 51 GDPR) e così è per tutte le attività di trattamento di videosorveglianza attraverso i sistemi di riconoscimento facciale. I sistemi di videosorveglianza che trattano dati biometrici sono trattamenti generalmente ad elevato rischio per gli interessati, da cui deriva l’obbligo di svolgimento di una valutazione d’impatto e la ricerca di alternative meno impattanti per il perseguimento delle finalità individuate.
