La nomina del responsabile della videosorveglianza è l’atto formale con cui il titolare del trattamento designa, di norma per iscritto, una persona o un soggetto che gestisce il sistema di videoregistrazione e i dati personali raccolti. Serve a definire compiti, limiti e istruzioni operative, a prevedere le misure tecniche e organizzative necessarie per la sicurezza dei dati e a disciplinare l’accesso ai filmati e la gestione delle richieste degli interessati; quando il trattamento è affidato a un terzo la nomina e il relativo contratto sono richiesti dal GDPR (art. 28), mentre anche la designazione di incaricati interni aiuta a dimostrare la conformità e a ridurre il rischio di sanzioni e violazioni dei diritti.
Come scrivere Nomina responsabile videosorveglianza GDPR
La nomina di un responsabile (o di un incaricato) della videosorveglianza, redatta in forma scritta e coerente con il Regolamento europeo 2016/679 (GDPR) e la normativa italiana (compreso il d.lgs. 196/2003 come modificato dal d.lgs. 101/2018) deve contenere, in maniera chiara e completa, tutte le informazioni che definiscono l’identità delle parti, l’ambito di operatività, i limiti di responsabilità e le misure di garanzia richieste dal diritto della protezione dei dati. Devono essere indicati con precisione il titolare del trattamento (ragione sociale, sede, dati di contatto) e la persona fisica o giuridica nominata, con nome, qualifica, eventuale ruolo aziendale, recapiti e, quando pertinente, copia dell’atto o documento di identità che consente di identificare formalmente il nominato; la nomina deve riportare la data di effetto e, se previsto, la data di cessazione o le condizioni di revoca. La lettera di nomina deve specificare se la figura nominata agisce in qualità di responsabile del trattamento ai sensi dell’articolo 28 GDPR (quindi come fornitore esterno che esegue il trattamento per conto del titolare) oppure come incaricato interno ai sensi dell’articolo 29 GDPR (persona autorizzata ad operare sotto l’autorità del titolare); se si tratta di un responsabile esterno, la nomina deve essere formalizzata attraverso un contratto che descriva in modo puntuale la natura, la durata, la finalità del trattamento, le tipologie di dati personali trattati, le categorie di interessati e le istruzioni documentate del titolare. Nel testo devono essere indicate le finalità della videosorveglianza (ad esempio sicurezza dei locali, tutela del patrimonio, controllo accessi), la base giuridica del trattamento (interesse legittimo del titolare, obbligo di legge, ecc.), e la specificazione delle aree e delle modalità di ripresa: ubicazione delle telecamere, tipologia dei locali (ambiente pubblico, privato, area con clienti/visitatori), eventuale registrazione audio (con indicazione della necessità di ulteriori cautele giuridiche) e la descrizione delle categorie di dati che verranno trattate (immagini, dati identificativi estratti dalle immagini, dati relativi a eventi e timestamp). Deve essere chiarito il periodo di conservazione delle registrazioni e i criteri adottati per determinarlo, le procedure di cancellazione o conservazione straordinaria (es. conservazione per indagini o obblighi giudiziari), nonché le regole per l’eventuale conservazione su supporti diversi, backup e copia di sicurezza; è opportuno indicare anche le misure organizzative e tecniche predisposte per garantire la sicurezza dei dati come controllo degli accessi fisici e logici, autenticazione, logging degli accessi alle registrazioni, crittografia, pseudonimizzazione quando possibile, aggiornamento e manutenzione del sistema, procedure di gestione delle password e separazione dei ruoli. La nomina deve descrivere i compiti specifici attribuiti al nominato: gestione operativa del sistema di videosorveglianza, autorizzazione e gestione degli accessi alle immagini, valutazione e implementazione delle misure di minimizzazione e di protezione, tenuta e aggiornamento della documentazione relativa al trattamento (incluso il registro delle attività se richiesto), predisposizione e aggiornamento dei cartelli informativi per gli interessati, gestione delle richieste di esercizio dei diritti (accesso, rettifica, cancellazione, limitazione, portabilità quando applicabile), collaborazione con il responsabile della protezione dei dati (DPO) e con il titolare in caso di ispezione del Garante per la protezione dei dati personali, gestione e segnalazione delle violazioni dei dati personali secondo i termini previsti dal GDPR (comunicazione al titolare e, ove necessario, assistenza alla notifica all’autorità di controllo entro i termini di legge). Se la nomina riguarda un responsabile esterno, il contratto deve altresì prevedere espressamente obblighi in capo al responsabile come il dovere di riservatezza, l’obbligo di impiegare esclusivamente persone autorizzate e istruite, la possibilità per il titolare di effettuare verifiche e audit, le condizioni per l’eventuale subaffidamento (sub-responsabili) con l’obbligo di approvazione preventiva e contrattualizzazione, l’obbligo di fornire supporto al titolare per l’esercizio dei diritti degli interessati e per gli adempimenti relativi alla valutazione d’impatto sulla protezione dei dati (DPIA) qualora necessaria, nonché le istruzioni per la restituzione o cancellazione dei dati al termine del contratto. Devono essere inserite clausole che richiamino gli obblighi di conservazione delle evidenze e dei registri operativi (log di accesso, interventi di manutenzione, copie di backup, segnalazioni di incidenti) e l’obbligo di tenere un elenco aggiornato delle persone autorizzate ad accedere alle registrazioni; la nomina dovrebbe anche richiamare esplicitamente il dovere del nominato di rispettare i principi del GDPR: liceità, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza. È opportuno che il documento faccia esplicito riferimento agli adempimenti informativi verso gli interessati: la necessità di apporre segnaletica visibile e contenente le informazioni minime previste dagli articoli 13 e 14 GDPR (identità del titolare, finalità del trattamento, base giuridica, periodo di conservazione, possibilità di esercitare i diritti, contatti del DPO se nominato), e definisca chi è responsabile dell’aggiornamento di tali informative. La nomina dovrebbe indicare le misure di tutela specifiche per casi particolari, ad esempio limitazioni di accesso per le immagini che riprendono aree sensibili, modalità di anonimizzazione o mascheramento automatico per minimizzare la visibilità di persone non rilevanti, e il divieto di utilizzo delle registrazioni per finalità diverse da quelle previste salvo autorizzazione scritta del titolare. Deve essere prevista la cooperazione con l’autorità di controllo e la disponibilità a produrre documentazione e registri in caso di ispezione, oltre all’indicazione delle responsabilità in caso di inosservanza degli obblighi, compresa la disciplina di responsabilità e risarcimento nei rapporti contrattuali. Infine la nomina deve essere sottoscritta dalle parti con indicazione della data, e conservata insieme alla documentazione di conformità (registro dei trattamenti ove richiesto, copia del contratto/atto di nomina, valutazioni d’impatto, informative e prove dell’adozione delle misure di sicurezza); il documento può altresì richiamare obblighi di formazione periodica del personale autorizzato e programmi di verifica e revisione dell’efficacia delle misure di protezione e delle procedure operative legate alla videosorveglianza.
Esempio Nomina responsabile videosorveglianza GDPR
Tra
Il Titolare del trattamento:
Denominazione: ____________________________________________________________
Sede legale: _______________________________________________________________
Partita IVA / Codice Fiscale: _________________________________________________
Rappresentante legale: ______________________________________________________
Contatti (telefono / e-mail): _________________________________________________
e
Il Sig./La Sig.ra (Responsabile videosorveglianza nominato/a)
Nome e cognome: ___________________________________________________________
Luogo e data di nascita: _____________________________________________________
Codice fiscale: _____________________________________________________________
Qualifica e ruolo aziendale: _________________________________________________
Indirizzo di servizio: _______________________________________________________
Contatti (telefono / e-mail): _________________________________________________
Premesso che
– il Titolare intende garantire la sicurezza dei propri locali, dei beni e delle persone mediante sistemi di videosorveglianza;
– il trattamento delle immagini è disciplinato dal Regolamento (UE) 2016/679 (GDPR) e dalla normativa nazionale applicabile;
Si conviene e si stipula quanto segue.
1. Nomina
Il Titolare nomina, e il nominato accetta, la qualifica di “Responsabile videosorveglianza” ai sensi del GDPR per le attività di gestione, funzionamento e controllo degli impianti di videosorveglianza di cui al punto 4. La presente nomina è conferita in conformità alle istruzioni del Titolare e nei limiti delle attribuzioni qui indicate.
2. Durata della nomina
La nomina ha effetto dal _______________ e resterà valida fino al _______________ salvo revoca anticipata scritta da parte del Titolare o cessazione del rapporto di lavoro/incarico.
3. Ambito e descrizione degli impianti
Sistema/i di videosorveglianza interessato/i:
– Localizzazione impianto 1: __________________________________________________
– Numero e tipologia telecamere: _____________________________________________
– Area/e riprese e finalità per ciascuna area: __________________________________
– Modalità di registrazione (live/registrazione continua/solo su evento): ___________
– Durata massima di conservazione delle registrazioni: __________________________
– Luogo di conservazione dei supporti/servers: __________________________________
4. Finalità e base giuridica del trattamento
Le immagini saranno trattate per le seguenti finalità: prevenzione e repressione di reati, tutela della sicurezza dei beni e delle persone e gestione della sicurezza aziendale. Base giuridica del trattamento: art. 6(1)(f) GDPR (interesse legittimo del Titolare), salvo diverso specifico presupposto indicato dal Titolare.
5. Compiti e responsabilità del Responsabile videosorveglianza
Il Responsabile dovrà, in particolare:
a) gestire e supervisionare l’operatività quotidiana degli impianti di videosorveglianza in conformità alle istruzioni del Titolare;
b) assicurare il rispetto dei principi di liceità, correttezza e trasparenza del trattamento delle immagini;
c) mantenere aggiornato il Registro delle attività di trattamento relativo alla videosorveglianza e fornire al Titolare ogni informazione utile per l’aggiornamento del Registro generale delle attività di trattamento;
d) predisporre e aggiornare le informative ai soggetti interessati e vigilare sull’apposizione della cartellonistica obbligatoria (luogo/simbolo, Titolare, finalità, contatti): testi e collocazione conformi a quanto indicato dal Titolare;
e) contestualizzare e applicare i tempi di conservazione delle registrazioni stabiliti dal Titolare e procedere all’eliminazione sicura delle registrazioni scadute;
f) gestire le richieste di accesso, rettifica, cancellazione o altre istanze degli interessati inerenti le immagini, trasmettendole al Titolare e collaborando alla loro gestione nei termini di legge;
g) autorizzare e registrare gli accessi alle immagini e ai supporti di registrazione, mantenendo un registro accessi ove siano annotate data, ora, soggetto, motivo e durata dell’accesso;
h) applicare misure tecniche e organizzative per la protezione delle immagini (controllo accessi, autenticazione degli operatori, crittografia ove previsto, backup sicuri, aggiornamenti software);
i) segnalare immediatamente al Titolare e, se previsto, al DPO ogni violazione dei dati personali (data breach) relativa agli impianti o alle registrazioni, fornendo dettagli per la gestione dell’evento e la notifica all’Autorità di controllo;
j) coordinarsi con il Responsabile della sicurezza aziendale e con il DPO (Data Protection Officer) ove nominato: DPO: ____________________________________________;
k) predisporre e verificare ciclicamente le operazioni di manutenzione e i verbali di controllo funzionale delle apparecchiature;
l) curare le attività di formazione del personale incaricato all’uso degli impianti secondo le direttive del Titolare.
6. Limitazioni
Il Responsabile non potrà utilizzare le immagini per finalità diverse da quelle espressamente autorizzate dal Titolare, né delegare a terzi le funzioni conferite senza preventiva autorizzazione scritta del Titolare. Ogni eventuale nomina di incaricati esterni o affidamento in qualità di responsabile del trattamento di specifiche attività dovrà essere autorizzata dal Titolare e formalizzata mediante apposito contratto.
7. Misure di sicurezza
Il Responsabile è tenuto ad attuare e far rispettare le misure minime di sicurezza previste dal GDPR e dalla normativa italiana in materia, tra cui:
– controllo degli accessi fisici e logici ai sistemi di registrazione;
– password policy e autenticazione a più fattori ove possibile;
– cifratura dei flussi e dei dispositivi di archiviazione se richiesto;
– backup regolari protetti e procedure di disaster recovery;
– aggiornamento e patching dei software delle telecamere e dei server;
– log degli accessi e delle operazioni di visione/estrazione;
– procedure di conservazione e distruzione sicura dei supporti;
– misure organizzative di minimizzazione dell’accesso alle immagini.
8. Trasferimenti e comunicazioni a terzi
Qualsiasi comunicazione o trasferimento di immagini a soggetti terzi (autorità giudiziarie, forze dell’ordine, società di sicurezza, consulenti) dovrà avvenire secondo le istruzioni del Titolare e nel rispetto della normativa vigente. Eventuali trasferimenti verso Paesi terzi richiedono preventiva autorizzazione scritta del Titolare e conformità alle condizioni previste dal GDPR.
9. Registro dei trattamenti e documentazione
Il Responsabile curerà l’aggiornamento della documentazione relativa al trattamento delle immagini (registro, istruzioni operative, verbali di accesso, rapporti di incidente), mettendola a disposizione del Titolare e, se richiesto, delle autorità competenti.
10. Responsabilità e sanzioni
Il Responsabile risponderà nei confronti del Titolare per l’inosservanza delle istruzioni ricevute o per la gestione negligente/colposa delle attività conferite. In caso di violazioni gravi o reiterate, il Titolare si riserva di adottare provvedimenti disciplinari, ivi inclusa la revoca della nomina e ogni ulteriore azione prevista dal rapporto di lavoro o dall’ordinamento.
11. Revoca della nomina e cessazione
La nomina potrà essere revocata, in qualsiasi momento e senza preavviso, per giusta causa. In caso di revoca o cessazione dell’incarico, il Responsabile dovrà consegnare al Titolare tutta la documentazione, le chiavi, le credenziali e ogni altro supporto inerente agli impianti, e cooperare per il trasferimento delle attività o per la cancellazione sicura dei dati secondo le istruzioni ricevute.
12. Comunicazioni
Ogni comunicazione relativa alla presente nomina dovrà essere inviata ai seguenti contatti:
Titolare – referente: _______________________________________________________
E-mail: ___________________________________________________________________
Responsabile – contatti: ____________________________________________________
13. Accettazione
Il sottoscritto nominato dichiara di aver ricevuto copia della presente nomina e di accettarne i termini, impegnandosi a svolgere le attività previste nel rispetto della normativa sulla protezione dei dati personali e delle istruzioni del Titolare.
Luogo e data: _____________________________________________________________
Per il Titolare
Nome e qualifica: _________________________________________________________
Firma: ___________________________________________________________________
Il/La Responsabile videosorveglianza
Nome e cognome: __________________________________________________________
Firma per accettazione: ____________________________________________________