L’installazione di un sistema di videosorveglianza senza l’affissione di cartelli recanti l’informativa agli interessati costa al titolare del trattamento una sanzione amministrativa di 2.000 Euro
di Marzia Marconcini – avvocato, consulente privacy
Description: Il trattamento della videosorveglianza merita particolare attenzione perché oltre a catturare immagini e suoni degli interessati ne influenza i comportamenti
Videosorveglianza: un trattamento che merita particolare attenzione
L’utilizzo di sistemi di videosorveglianza, qualsiasi ne sia la finalità, è sempre soggetto ad una normativa particolarmente stringente, dettata dal Garante per la protezione dei dati personali in attuazione e specificazione delle disposizioni di rango primario, proprio in virtù della natura stessa del trattamento, che non si limita a catturare – ed eventualmente a conservare – immagini e suoni relativi agli interessati, ma è destinato ad influenzarne anche i comportamenti.
È per questa ragione che, nei casi in cui ad installare l’impianto di telecamere sia un datore di lavoro, che intende utilizzare questo mezzo per garantire la sicurezza e la protezione del patrimonio aziendale, la normativa privacy si interseca con la materia giuslavoristica, per evitare che si tratti di un mezzo surrettizio per vigilare sul corretto operato dei dipendenti e comunque per garantire che questi siano correttamente preavvisati, in modo da essere in grado di adeguare i loro comportamenti, nella consapevolezza che gli stessi sono soggetti ad essere ripresi.
Lo stesso principio di base sia applica anche alla generalità dei casi: in tutti i luoghi in cui venga installato un sistema di videosorveglianza che possa potenzialmente effettuare riprese di persone, queste devono esserne adeguatamente informate in modo da essere messe nella condizione di decidere se accedere all’area videosorvegliata e, nel caso, ad impostare i loro atteggiamenti considerando che saranno ripresi.
Questo principio generale, affermato dal Garante italiano già nel provvedimento dell’8 aprile 2010 e ribadito nelle Linee guida dell’European Data Protection Board – EDPB n. 3 del 2019, si ritrova anche nell’ultimo provvedimento del Garante sul tema, del 21 luglio 2022.
Il caso concreto
Il provvedimento in questione nasce da un procedimento di accertamento della Commissariato di P.S. di Afragola, della Questura di Napoli, che, rilevata l’esistenza di un sistema di videosorveglianza installato dal titolare del trattamento senza l’esposizione della correlata informativa agli interessati ex art. 13 GDPR, ne dava comunicazione al Garante, il quale, acquisendo le risultanze dell’accertamento effettuato dal Commissariato di Afragola, anzitutto, come da Regolamento n. 1/2019 della stessa Autorità Garante, dava notizia dell’avvio del procedimento a suo carico al titolare del trattamento, invitandolo a produrre scritti difensivi e documenti, quindi, constatando la mancata cooperazione di questi, che non rispondeva in alcun modo alla notifica ricevuta, procedeva all’emanazione dell’ordinanza-ingiunzione e alla determinazione della conseguente sanzione pecuniaria.
In particolare, nell’argomentare i motivi del provvedimento sanzionatorio, il Garante ripercorre sinteticamente i principi generali già sopra richiamati, rilevando che, qualora l’utilizzo di un sistema di videosorveglianza comporti un trattamento di dati personali, “Tale trattamento deve essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento [il Regolamento UE 2016/679, meglio noto come GDPR] e, in particolare, del principio di trasparenza che presuppone che “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”. A questo scopo quindi il titolare del trattamento deve apporre idonei cartelli informativi […]”.
L’informativa contenuta nei cartelli può avere un contenuto minimo essenziale di mero avvertimento dell’esistenza di un sistema di videoriprese (c.d. informativa di primo livello), ma deve essere necessariamente accompagnata da una informativa estesa (c.d. informativa di secondo livello), che soddisfi tutti i requisiti di cui all’art. 13 GDPR, e che deve essere reperibile dall’interessato in maniera agevole.
Le informazioni contenute nel cartello possono essere corredate da icone, che le rendano più chiaramente ed immediatamente comprensibili, e possono essere replicate in più cartelli, a seconda dell’estensione dell’area soggetta a ripresa e alla collocazione dei singoli dispositivi.
In più, conclude il Garante, “Le informazioni dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi) “per consentire all’interessato di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario””.
A chiusura dell’esame del provvedimento in questione, preme evidenziare che il Garante, nella determinazione della misura della sanzione da infliggere, ha applicato un altro principio generale, affermato dall’art. 84 par. 2 GDPR, laddove il legislatore europeo, nel dare indicazioni alle autorità di vigilanza degli stati membri, relativamente alle sanzioni amministrative pecuniarie, sul “se” e “quanto” infliggere, individua tra i parametri di riferimento “il grado di cooperazione” del titolare del trattamento con l’autorità di controllo.
Orbene, il Garante, proprio rilevando “la circostanza che la Società, titolare del trattamento, non ha cooperato con l’Autorità nel corso del procedimento né ha dato dimostrazione di aver adempiuto all’obbligo di legge”, in aggiunta alla constatazione della effettività della violazione, rilevando, d’altra parte, “l’assenza di precedenti specifici a carico della società relativi a violazioni della disciplina in materia di protezione dei dati personali”, e tenendo contro, altresì, che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento)”, ha determinato in via definitiva l’importo della sanzione amministrativa pecuniaria in Euro 2.000,00 per la violazione dell’art. 13 GDPR, con la sanzione accessoria della pubblicazione del provvedimento sul sito internet del Garante.