La videoripresa di un gruppo di lavoro collegiale costituisce un trattamento di dati personali che può essere effettuato solo se è stato dettagliatamente regolato tutto il processo. Esattamente come per la videosorveglianza verificando prima la compatibilità giuridica delle iniziative da assumere e conseguentemente regolando le operazioni e le modalità di trattamento come la registrazione e i tempi di conservazione dei filmati.
Lo ha chiarito il Garante per la protezione dei dati personali con il parere numero 14 del 27 gennaio 2022. L'Autorità per la garanzia delle comunicazioni ha proposto tramite un quesito in materia di protezione dei dati ed impiego corretto dei sistemi di registrazione delle riunioni collegiali. In particolare, il Commissario del Consiglio dell' AGCOM ha richiesto quali siano le condizioni da osservare per garantire la riservatezza e il corretto svolgimento da remoto dei lavori del collegio . Il Garante ha illustrato innanzitutto il quadro normativo generale in materia di comunicazione e registrazione delle riunioni. L'immagine di una persona catturata da una telecamera costituisce certamente un dato personale che deve essere trattato nel rispetto del regolamento europeo sulla protezione dei dati . In tale quadro «i soggetti pubblici possono trattare dati personali e, quindi, effettuare riprese o registrare, anche limitatamente al solo audio senza la riproduzione dell' immagine ai sensi delle disposizioni contenute nell'articolo 6, par. 1, lett. c ed e , del RGPD e, dunque, solo se tale trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, oppure quando il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, alla luce di una base giuridica che abbia i requisiti previsti dal par. 3 del citato articolo. Recenti modifiche normative hanno inoltre specificato, al riguardo, che la base giuridica prevista dall'articolo 6, paragrafo 3, lettera b , del regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali e che il trattamento dei dati personali da parte di un'amministrazione pubblica comprese le autorità indipendenti è anche consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti, ma sempre nel rispetto dell'articolo 6 del Regolamento [europeo], in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati articolo 2- ter , commi 1 e 1- bis , del Codice, così come emendato dall'articolo 9, comma 1, lett. a, nnumero 1 e 2, del d.l . numero 139 dell'8/10/2021 , convertito con modificazioni dalla l. numero 205 del 3/12/2021 ». Non è necessario richiedere il consenso o l' autorizzazione degli interessati in questo caso. Ma andranno rispettati tutti gli importanti principi fissati dall'articolo 5 del RGDP, fornendo idonee informative agli interessati. Nel caso sottoposto all'attenzione del Garante, prosegue l'interessante parere centrale, la ripresa dei lavori del collegio è finalizzata a consentire la partecipazione da remoto degli addetti. La base giuridica del trattamento, richiesta dall'articolo 6 del RGDP, in questo caso va ricercata nel regolamento per il funzionamento dell'AGCOM il quale specifica che le riunioni del collegio possono svolgersi in teleconferenza . Ciò significa che AGCOM «stante le descritte disposizioni regolamentari, può legittimamente trattare – ai sensi dell'articolo 6, par. 1, lett. c ed e del RGPD e dell'articolo 2- ter , commi 1 e 1- bis , del Codice – i dati personali dei soggetti interessati che partecipano alle riunioni degli organi collegiali, anche laddove la partecipazione avvenga da remoto per teleconferenza, tramite strumenti di trasmissione audio-video . Tale operazione di trattamento può essere legittimamente effettuata senza alcun consenso dei soggetti partecipanti o presenti, previa idonea informativa ai soggetti interessati ai sensi dell'articolo 13 del RGPD». Individuata la base giuridica andranno poi regolate tutte le operazioni di trattamento consentite come per esempio l'eventuale registrazione e le possibili operazioni connesse quali la conservazione, l'adattamento, la modifica e la consultazione delle immagini. Il Consiglio dell'AGCOM è un organo collegiale di un soggetto pubblico che si riunisce in forma riservata, specifica il parere. Non esistendo alcun provvedimento che dispone i dettagli della teleconferenza spetterà ad AGCOM , in qualità di titolare del trattamento, dotarsi di un regolamento ad hoc per disciplinare tutto il processo di gestione delle immagini. In tale contesto il regolamento interno «costituisce sicuramente la sede idonea per la disciplina da parte di AGCOM delle misure e delle garanzie richieste dal RGPD e dal Codice per il trattamento dei dati personali dei soggetti che partecipano alle riunioni degli organi collegiali nel caso in cui si svolgano anche da remoto, potendo eventualmente stabilire ad esempio anche la possibilità o meno che le riunioni siano registrate e quale sia/siano il/i soggetto/i a ciò autorizzato/i le condizioni e i limiti di tale operazione le modalità di trattamento la finalità determinate, esplicite e legittime della raccolta/registrazione dei dati i tempi di conservazione l'impegno a che i dati siano successivamente trattati in modo che non sia incompatibile con [le] finalità [determinate] articolo 5, par. 1, lett. b e c, del RGPD ». Sarà poi molto importante redigere una informativa accurata che evidenzi con chiarezza le finalità del trattamento anche in relazione al successivo impiego delle immagini . Attenzione infine ai diritti degli interessati. Oltre a quelli previsti dal RGPD in materia di protezione dei dati l'Autorità suggerisce di valutare anche la disciplina del diritto di accesso documentale ed eventualmente, se compatibile, anche quella in materia di accesso civico.
Il parere del Garante Privacy del 27 gennaio 2022, numero 14