NEWS

Conto salato per il ristorante che aveva installato le telecamere di videosorveglianza senza rispettare la normativa sulla privacy

Con un recente provvedimento (Registro provvedimenti n.293 del 06 luglio 2023) l’Autorità Garante per la protezione dei dati personali ha sanzionato un ristorante per aver installato un impianto di videosorveglianza che oltre a riprendere la strada pubblica era sprovvisto di informativa e autorizzazione dell’ispettorato del lavoro ai sensi dell’articolo 4 dello Statuto dei lavoratori.

Anche i piccoli imprenditori rischiano sanzioni per violazioni privacy se non rispettano le norme del GDPR

In particolare, il verbale accertava che, relativamente alle telecamere posizionate all’esterno puntate sulla pubblica via, non era presente alcun cartello che informasse i passanti di un trattamento effettuato nei loro confronti come prescritto dall’art. 13 del GDPR.

Inoltre, dalla documentazione fotografica allegata al verbale si rilevava l’idoneità delle telecamere a riprendere ampi spazi della strada pubblica prospiciente l’esercizio commerciale. Per quanto riguarda il rispetto delle garanzie previste a tutela del personale impiegato presso l’esercizio, veniva accertato che, come anche rappresentato dalla Società, non era stata richiesta alcuna autorizzazione all’installazione dell’impianto all’Ispettorato del Lavoro.

Si tratta di un provvedimento interessante perché ci ricorda che la disciplina in tema di sistemi di videosorveglianza in ambienti di lavoro deve sottostare a specifiche regole e che quest’ultime si applicano anche ai piccoli imprenditori, che altrimenti rischiano sanzioni come quella ricevuta dal ristorante, che adesso dovrà pagare 5.000 euro per le telecamere installate in violazione della normativa sulla privacy.

Tra gli adempimenti primari più rilevanti ai quali deve adempiere chi intende installare impianti di videosorveglianza nell’ambito del rapporto di lavoro, è l’accordo sindacale o l’autorizzazione dell’ispettorato del lavoro ai sensi della disciplina sul controllo a distanza dell’attività lavorativa (art. 4 L. n.300/1970). La regola generale prevede che, prima di installare un sistema di videosorveglianza in un ambiente lavorativo dove sono presenti lavoratori debba essere concluso un accordo sindacale con le rappresentanze sindacali o in loro assenza, che debba essere ottenuta l’autorizzazione dell’Ispettorato del lavoro (ITL competente o quando ne ricorrono i presupposti INL). Si tratta di una regola che non prevede eccezioni o sanatorie.

Altro fondamentale adempimento è l’informativa. Quest’ultima è sempre stata al centro della disciplina privacy, sia nella legge n. 675/1996, che nel Dlgs. n. 196/2003, ed oggi anche nel Regolamento UE 2016/679 (GDPR). Il Considerando n. 60 del Regolamento afferma che, affinché un trattamento possa definirsi corretto e trasparente, è necessario che all’interessato sia resa un’informativa sull’esistenza del trattamento e delle sue finalità. Lo stesso Garante nelle recenti Faq sulla videosorveglianza ha ribadito il concetto per cui gli interessati devono sempre essere informati (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato. Il ruolo ricoperto dall’informativa, di presupposto di liceità di un trattamento di dati personali, è stato affermato anche dai giudici della Corte di Cassazione, i quali hanno statuito che:

«L’installazione di un impianto di videosorveglianza all’interno di un esercizio commerciale, costituendo trattamento di dati personali, deve formare oggetto di previa informativa, ex art. 13 del d.lgs. n. 196 del 2003 [NDR ora Regolamento UE 2016/679), resa ai soggetti interessati prima che facciano accesso nell’area videosorvegliata, mediante supporto da collocare perciò fuori del raggio d’azione delle telecamere che consentono la raccolta delle immagini delle persone e danno così inizio al trattamento stesso» (Corte di Cassazione, sez. II Civile, sentenza 19 aprile – 5 luglio 2016, n. 13663)

Sulla base delle indicazioni fornite dall’European Data Protection Board con le linee guida n. 3/2019, il Garante, nella sezione Faq del proprio sito in tema di videosorveglianza, ha affermato che l’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB) che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese).

(Nella foto: l'Avv. Marco Soffientini, relatore al Seminario online 'La videosorveglianza con il GDPR' organizzato da Federprivacy)

L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. Il cartello di informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso).

Per quanto riguarda il corretto posizionamento delle telecamere e la definizione dell’angolo di visuale delle stesse va detto che si tratta di un adempimento sempre più disatteso e oggetto di sanzioni. La regola generale è che si devono riprendere aree di proprietà. Le Linee Guida n. 3/2019 del Comitato europeo per la protezione dei dati (punto 7) specificano che “in alcuni singoli casi potrebbe essere necessario estendere la videosorveglianza alle immediate vicinanze dell’area di proprietà. In tale contesto, il titolare del trattamento dovrebbe prendere in considerazione l’impiego di mezzi fisici e tecnici, ad esempio bloccando o oscurando le zone non pertinenti.”

Si pensi a una telecamera che riprende l’ingresso di un esercizio commerciale. In questo caso è pertinente la ripresa di una limitata porzione di suolo pubblico prospicente all’ingresso, mentre andrà oscurata la porzione di immagini eccedente. Il trattamento deve, quindi, essere effettuato con modalità tali da limitare l’angolo di visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari che non risultino rilevanti per la tutela dell’interesse legittimo del titolare del trattamento (spazi pubblici, altri esercizi commerciali o edifici pubblici estranei rispetto alle attività del titolare, ecc.) (vedi Provv. N. 20 del 27 Gennaio 2022 – doc. web n.9746047).

A questi adempimenti, oggetto di attenzione da parte del Garante nel provvedimento esaminato, dovranno seguire altri adempimenti come a titolo esemplificativo e non esaustivo la definizione dei tempi di conservazione delle immagini che non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (art. 5, paragrafo 1, lett. c) ed e), del Regolamento). In base al principio di responsabilizzazione (art. 5, paragrafo 2, del Regolamento), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Per essere sicuri di installare un sistema di videosorveglianza conforme alla disciplina è opportuno seguire le indicazioni fornite dai Garanti Europei, con le linee guida n.3/2019 in tema di progettazione by design e by default di un sistema di videosorveglianza.

Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati.

Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”).

Note sull'Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Food delivery senza privacy: dopo avere dato il proprio numero per la consegna, il 29% dei clienti viene ricontattato per avances sessuali
Next I clienti telefonavano alla compagnia assicurativa per chiedere un preventivo ma i loro dati sensibili finivano online

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy