Enforcement Legal Videosorveglianza: spetta a UE e Stato la disciplina Privacy Laura Biarella 23 April 2024 Safety & Security UE È incostituzionale la disciplina regionale che regola il trattamento dei dati personali nell’installazione degli impianti di videosorveglianza, poiché vìola gli obblighi derivanti dall’appartenenza dell’Italia all’UE e invade le competenze legislative esclusive dello Stato nella materia “ordinamento civile”. Lo ha stabilito la Corte Costituzionale nella sentenza n. 69 depositata il 23 aprile. La Corte costituzionale ha dichiarato illegittimo l’articolo 3 della legge della Regione Puglia n. 13/2023 per contrasto con l’art. 117, commi 1 e 2, della Costituzione. La Consulta ha rilevato che l’UE, nell’esercizio della competenza stabilita nell’art. 16 del Trattato sul funzionamento dell’Unione europea, detta una complessa disciplina sulla tematica del trattamento dei dati personali, che trova completamento e integrazione nelle fonti nazionali. In merito alla raccolta e al trattamento dei dati personali, la disposizione impugnata, da un lato, opera un richiamo al regolamento n. 679/2016/UE (GDPR) e al d.lgs. n. 101 del 2018 riferendosi alla sola fase dell’installazione della videosorveglianza e, dall’altro lato, entra nel vivo della disciplina sul trattamento dei dati personali, prevedendo che sia acquisito il consenso degli ospiti o dei loro tutori (art. 3, c. 3, legge reg. Puglia n. 13/2023) e che l’installazione sia genericamente effettuata con modalità che garantiscano la sicurezza dei dati e la loro protezione da accessi abusivi (art. 3, c. 2). Per i giudici delle leggi la selezione di fonti e di regole applicabili non prende in considerazione l’imponente corpo normativo che, in ambito eurounitario e statale, oltre a richiedere di regola il consenso di tutti coloro i cui dati vengono trattati (artt. 6 e 7 del regolamento n. 679/2016/UE, come anche art. 9 del medesimo regolamento rispetto ai dati sensibili), disciplina dettagliatamente: l’informativa; le modalità di raccolta del consenso e le sue caratteristiche; le cautele richieste in ordine ai dati sensibili; il trattamento dei dati successivo alla raccolta, a partire dalla durata e dalle modalità di conservazione dei dati; la garanzia per i titolari dei dati raccolti di poter accedere agli stessi e di poterne bloccare la diffusione. E’ stato inoltre osservato che, nella scansione delle differenti fasi del trattamento dei dati personali, le fonti emanate dai legislatori competenti riconoscono ai loro titolari specifiche situazioni giuridiche soggettive (a essere informati, a manifestare o revocare il consenso alla raccolta e al trattamento dei dati, a opporsi alla loro divulgazione, a prendere visione dei dati raccolti), che si riflettono su altrettanti strumenti di tutela. Pure i commi 1 e 4 dell’articolo 3 della legge regionale Puglia n. 13/2023 che prevedono, rispettivamente, l’autonoma installazione delle telecamere da parte delle strutture private, con mera comunicazione alle aziende sanitarie locali, nonché una semplice segnalazione dei sistemi di videosorveglianza a tutti i soggetti che accedono all’area, disattendono il necessario rispetto di tutte le fonti eurounitarie e statali, incluse le dettagliate prescrizioni richieste dal provvedimento generale del Garante per la protezione dei dati personali dell’8 aprile 2010. Per lo stesso collegio la Regione non può regolare in modo autonomo la materia, e neppure operare una selezione di fonti e di previsioni che, all’interno dell’articolato plesso normativo contemplato sia dall’Unione europea sia dal legislatore statale, sono chiamate a disciplinare “questa complessa e delicata materia”, poiché in tal modo “non solo si sovrappone alle normative eurounitaria e statale, travalicando le proprie competenze, ma oltretutto effettua una arbitraria scelta, il cui contenuto precettivo equivale a ritenere vincolanti le sole regole individuate dal legislatore regionale e non anche le altre”, dettate dall’UE e dal legislatore statale. Laura Biarella