Protezione dei dati: videosorveglianza - a cosa prestare attenzione ora
La nuova legge svizzera sulla protezione dei dati entra in vigore il 1° settembre 2023. Cosa significa per la videosorveglianza? L'avvocato Jürg Schneider ci spiega come stanno le cose.
Che impatto ha la nuova legge sulla protezione dei dati sulla videosorveglianza?
Jürg Schneider, Dr. iur., Avvocato, Walder Wyss AG: Con la nuova legge sulla protezione dei dati (DPA), i dati personali sono più protetti. Naturalmente, questo vale anche per la videosorveglianza e comprende tutte le informazioni che si riferiscono a una persona fisica identificata o identificabile. La DPA si applica al trattamento dei dati. Per elaborazione si intende qualsiasi trattamento di dati personali: non appena una persona può essere identificata in una registrazione video, si tratta di dati personali. Anche la cancellazione o l'anonimizzazione di tali dati rientra nel termine trattamento dei dati personali. In caso di dubbio, si deve sempre presumere che si tratti di dati personali e che quindi si applichi la FADP.
Che cosa significa l'espressione "principi di elaborazione" nella nuova LPD?
I principi di trattamento obbligano le aziende, ma anche le autorità, a rispettare alcuni principi, come la proporzionalità, la limitazione delle finalità, la trasparenza o la sicurezza dei dati, già nella fase di progettazione di un sistema di videosorveglianza e a garantirne l'osservanza (si veda il riquadro sottostante "Rispetto di alcuni principi").
Che cosa significa l'obbligo di informazione previsto dal nuovo DPA per quanto riguarda la videosorveglianza?
L'art. 19 della FADP stabilisce che esiste un obbligo generale di informazione e che i responsabili del trattamento devono informare adeguatamente gli interessati quando vengono trattati i loro dati personali. Per fare un esempio concreto: Se una persona può essere registrata da un sistema di videosorveglianza, deve ricevere informazioni - di solito tramite una dichiarazione sulla protezione dei dati - su questo trattamento dei dati. In una prima fase, l'informazione viene fornita dall'operatore del sistema, ad esempio con un cartello "Videosorveglianza" (vedi figura): Il nome dell'operatore responsabile e lo scopo della videosorveglianza devono essere indicati sul cartello. Per ulteriori informazioni, il cartello deve, come secondo passo, rimandare alla dichiarazione sulla protezione dei dati sul sito web. Questa dichiarazione sulla protezione dei dati deve contenere le informazioni richieste dall'art. 19 della FADP.
Cosa succede se non comunico correttamente o in tempo?
Ad esempio, il Commissario federale per la protezione dei dati potrebbe avviare un'indagine. Ciò potrebbe comportare l'obbligo di rettificare le proprie informazioni. Chiunque fornisca intenzionalmente informazioni false, incomplete o inesistenti può essere sanzionato penalmente su richiesta. Il responsabile o i responsabili dell'azienda rischiano una multa fino a 250.000 franchi svizzeri. Conclusione: è consigliabile prendere sul serio gli obblighi di informazione previsti dalla legge sulla protezione dei dati, soprattutto in relazione ai sistemi di videosorveglianza.
Cosa deve osservare una società di sicurezza quando installa e gestisce un sistema di videosorveglianza per conto di terzi?
Se una società di sicurezza installa un sistema di videosorveglianza per un cliente finale e lo gestisce per conto di quest'ultimo, ottenendo l'accesso a dati personali, la società di sicurezza è un cosiddetto responsabile del trattamento dei dati ai sensi della LPD. In questo caso, tra il cliente finale e la società di sicurezza deve essere stipulato un cosiddetto accordo di trattamento dei dati (DPA). L'accordo di elaborazione dei dati deve disciplinare chiaramente le istruzioni e i requisiti di sicurezza del cliente finale che l'istituto di vigilanza deve seguire, le azioni che l'istituto di vigilanza può intraprendere con i dati personali e i limiti dell'elaborazione. Se manca un accordo per l'elaborazione degli ordini, questo può essere sanzionato anche penalmente su richiesta.
Quali sono le caratteristiche particolari da tenere in considerazione per la videosorveglianza?
Chiunque gestisca una struttura e abbia 250 o più dipendenti deve creare e mantenere un cosiddetto elenco dei trattamenti. Questo indica, ad esempio, quali categorie di dati personali vengono trattate e per quale scopo, e a chi possono essere trasmessi i dati. In alcuni casi, l'elenco dei trattamenti deve essere tenuto anche per meno di 250 dipendenti, in particolare se vengono trattati dati personali particolarmente sensibili su larga scala o se viene effettuata la cosiddetta profilazione ad alto rischio. Un altro punto importante è la valutazione d'impatto sulla protezione dei dati (art. 22 FADP). Deve essere effettuata se il trattamento dei dati personali può comportare un rischio elevato per la personalità o i diritti fondamentali. Tale rischio si applica, ad esempio, nel caso di videosorveglianza in aree pubbliche, come l'atrio di una stazione ferroviaria, nella misura in cui i dati personali sono trattati nel processo.
Qual è la differenza tra il regime di protezione dei dati in Svizzera e nell'UE?
La nuova legge sulla protezione dei dati in Svizzera si basa sul principio dell'autorizzazione. Ciò significa che il trattamento dei dati personali è consentito a meno che non sia vietato. Nel Regolamento generale sulla protezione dei dati dell'UE (GDPR), l'approccio è esattamente l'opposto: il trattamento dei dati personali è vietato a meno che non sia consentito. In pratica, tuttavia, i requisiti in Svizzera e nell'UE in materia di protezione dei dati sono molto simili, anche se l'approccio è diverso.
Che cos'è il cosiddetto terreno di giustificazione?
Nel caso della videosorveglianza, la cosiddetta giustificazione significa quanto segue: Se un'azienda ha un interesse preponderante nella videosorveglianza, questa è solitamente considerata una giustificazione. In tal caso, la videosorveglianza è possibile anche senza il consenso dell'interessato. Ad esempio, la prevenzione di reati (ad esempio, furti) presso un rivenditore o un negozio di orologi e gioielli è considerata un interesse prevalente. Vorrei inoltre sottolineare che nel caso di videosorveglianza dei dipendenti - o se i dipendenti vengono ripresi anche durante la videosorveglianza di terzi - devono essere osservati ulteriori requisiti del diritto del lavoro come in precedenza. La videosorveglianza permanente dei dipendenti sul posto di lavoro è generalmente vietata per motivi di salute.
Per quanto tempo un operatore può conservare i dati di videosorveglianza?
Anche in questo caso, occorre fare riferimento al principio di proporzionalità già citato, nonché all'obbligo di distruggere o anonimizzare i dati personali non appena non sono più necessari ai fini del trattamento. Alcuni anni fa, il Commissario federale per la protezione dei dati ha dichiarato che una registrazione video non dovrebbe essere conservata per più di 24 ore. In pratica, tuttavia, si tratta di un periodo di tempo molto breve e il principio di proporzionalità consente una conservazione più lunga dei dati personali, soprattutto quando si tratta di prevenzione del crimine e, ad esempio, le registrazioni video devono essere analizzate dopo un atto di vandalismo.
Chi può avere accesso ai dati video?
In linea di principio, solo le persone che devono lavorare con i dati di videosorveglianza possono accedervi. In un'azienda con 500 dipendenti, questo potrebbe essere il responsabile della sicurezza e la direzione. Questa regola può anche essere derivata dal principio di proporzionalità, in quanto il gruppo di persone che possono accedere ai dati personali deve essere mantenuto il più piccolo possibile.
Cosa succede ai sistemi di videosorveglianza esistenti che non sono ancora conformi al nuovo DPA?
La nuova legge sulla protezione dei dati è in vigore dal 1° settembre 2023 e deve essere rispettata a partire da tale data. È importante verificare che i sistemi di videosorveglianza esistenti e il loro funzionamento siano conformi alla nuova legge sulla protezione dei dati. Eventuali carenze devono essere colmate dall'operatore. Ad esempio, i cartelli informativi mancanti e le dichiarazioni sulla protezione dei dati devono essere allegati e prodotti immediatamente.
Aderire a determinati principi
L'operatore di un sistema di videosorveglianza deve sempre adottare misure di protezione tecniche e organizzative adeguate. Gli articoli 6 e 8 della FADP contengono questi principi:
Trasparenza: Deve essere riconoscibile che si stanno ottenendo dati personali.
Stanziamento di fondi: I dati personali devono essere trattati per uno scopo specifico. Nel caso di un sistema di videosorveglianza in una gioielleria, ad esempio, la finalità potrebbe essere la prevenzione di un reato.
Proporzionalità: Il trattamento dei dati personali deve essere sempre adeguato e necessario al raggiungimento dello scopo.
Legalità: Questo principio fa riferimento ad altre disposizioni di legge che non devono essere violate nel trattamento dei dati personali - ad esempio, l'art. 179quater StGB, che vieta, tra l'altro, la registrazione di fatti della sfera riservata di una persona senza il suo consenso.
Accuratezza dei dati: I dati personali devono sempre essere corretti. Se, ad esempio, si scopre che i dati personali esistenti non sono (o non sono più) corretti, è necessario correggerli di conseguenza.
Sicurezza dei dati: Ad esempio, l'operatore di un sistema di videosorveglianza deve assicurarsi che i dati personali non finiscano nelle mani sbagliate. In un'epoca di crescente criminalità informatica, la questione della sicurezza dei dati è di grande importanza.
