Nel momento in cui avviene l’installazione di un sistema di videosorveglianza, una volta verificata la sussistenza di una base giuridica idonea e definite le modalità per informare gli interessati, il passo successivo è nell’organizzazione dei ruoli e delle responsabilità dei soggetti che possono avere accesso alle immagini. L’adempimento degli artt. 29 e 32.4 GDPR consiste nell’autorizzare, istruire e dunque verificare che i soli soggetti autorizzati abbiano accesso ai sistemi. In tal senso, è utile ricordare che il provvedimento in materia di videosorveglianza, nella parte in cui non è incompatibile con il GDPR rimane valido e definisce i principi da seguire nell’ambito della sicurezza (punto 3.3. Misure di sicurezza da applicare ai dati personali trattati mediante sistemi di videosorveglianza e soggetti preposti) fra cui l’attribuzione dei ruoli e delle responsabilità ai soggetti designati, incaricati o responsabili del trattamento. Fra le misure tecniche ed organizzative contemplate rientra ad esempio la necessità di fornire credenziali di autenticazione secondo la regola del privilegio minimo per lo svolgimento di operazioni di propria competenza con particolare riferimento agli aspetti di visualizzazione asincrona, interventi sulle registrazioni ed interventi di manutenzione.
A livello operativo, devono essere individuati in via preliminare i vari soggetti che intervengono e – una volta definiti correttamente nel loro ruolo secondo GDPR – deve essere riscontrabile una chiara e puntuale definizione dei rapporti.
Nell’ipotesi di contitolarità si dovrà pertanto fare ricorso ad un accordo ai sensi dell’art. 26 GDPR, mentre nel caso si ricorra ad un responsabile del trattamento (quale può essere un istituto di vigilanza, o anche un servizio tecnico che svolge backup e aggiornamenti dei sistemi) occorre che sia presente una contrattualizzazione dei rapporti conforme all’art. 28 GDPR. Per quanto riguarda le persone fisiche autorizzate all’accesso sarà inoltre possibile individuare un referente per la videosorveglianza – il quale è dunque oggetto di una designazione per lo svolgimento di particolari compiti e funzioni come da art. 2-quaterdecies Cod. Privacy – o anche dei soggetti autorizzati cui deve essere somministrato un incarico scritto, in conformità alle indicazioni del punto 3.3.2 del citato provvedimento del Garante Privacy.
Il contenuto delle istruzioni fornite da parte del titolare deve infine indicare quanto meno tempi e modalità di cancellazione delle immagini (soprattutto per il referente), così come le scelte relative alla somministrazione delle informazioni agli interessati e le possibilità di esercizio dei relativi diritti (anche con rinvio alla procedura interna dedicata, ma precisando l’ambito specifico di applicazione), nonché la regolamentazione circa la visualizzazione delle immagini da remoto o l’intervento sulle registrazioni.
