Ennesimo provvedimento sanzionatorio del Garante nei confronti di una azienda che ha attivato un sistema di videosorveglianza senza apporre i dovuti cartelli. Erogata una sanzione amministrativa di 5.000 euro.
In seguito a un controllo da parte del Comando dei Carabinieri per la tutela del lavoro di Ferrara, veniva tramesso al
Garante il verbale di segnalazione, in base al quale l’Autorità ha dato avvio al procedimento. Alla società, nella sede operativa in Ferrara, era stata accertata la presenza di un impianto di videosorveglianza (di 28 telecamere interne e 4 esterne) non segnalato da opportuni cartelli informativi.
Successivamente alla comunicazione di avvio del procedimento sanzionatorio nei confronti della società, la stessa ha provveduto all’invio di scritti difensivi, nei quali rappresentava di:
– essere “intercorsa nella presente infrazione in tutta buona fede”;
– aver “appaltato i lavori d’installazione dell’impianto di videosorveglianza alla società XX, la quale aveva certificato di aver eseguito i lavori a norma di legge”.
Oltre a tali dichiarazioni, veniva prodotta copia dell’atto di autorizzazione rilasciato da parte dell’Ispettorato Territoriale del Lavoro di Ferrara-Rovigo.
Il Garante, nel valutare gli scritti difensivi, ha ricordato il quadro giuridico del trattamento. Precisando che i sistemi di videosorveglianza possono determinare, in relazione al posizionamento delle telecamere e alla qualità delle immagini, un trattamento di dati personali. Pertanto, il trattamento deve essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento UE 2016/679 (RGPD), in particolare, del principio di trasparenza che presuppone che “gli interessati devono sempre essere informati che stanno per accedere in una zona videosorvegliata”.
Per tale motivo, il titolare deve apporre idonei cartelli informativi secondo le indicazioni contenute al punto 3.1 del Provvedimento in materia di videosorveglianza (2010), così come ribadito nelle FAQ sul sito del Garante e, analogamente, sulle Linee Guida n. 3/2019 dell’EDPB.
Il seguito dell’istruttoria ha comprovato che l’attivazione e il funzionamento dell’impianto sono avvenuti in assenza della prescritta informativa. Ciò in contrasto anche con quanto stabilito dall’art. 13 del RGPD, in base al quale il titolare deve fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento.
L’autorità, accertata la violazione e la modalità con cui ne è venuta a conoscenza, ha provveduto a ingiungere al titolare di procedere all’applicazione dei cartelli previsti, oltre che determinare la sanzione pecuniaria di 5.000 euro.
Alcune riflessioni – Il caso riportato evidenzia come, in ambito di trattamento di dati personali, l’Autorità “si attiva” prevalentemente in seguito a segnalazioni o reclami che riceve. Una volta che è chiamata ad intervenire, procede alla verifica del trattamento e all’analisi del rispetto di tutti i principi sanciti nel RGPD. In questi casi, il titolare del trattamento deve dimostrare tutte le scelte che ha effettuato per rendere il trattamento svolto conforme alla normativa. Con l’entrata in vigore del RGPD non è più possibile avere check-list da seguire per conformare le attività (v. Allegato B al “vecchio” Codice della privacy). Oggi i titolari devono fare un’analisi dei trattamenti che intendono attuare, considerando il rischio, e riflettere su come organizzarli, gestirli e implementarli (secondo il principio di privacy by design e by default – art. 25 del RGPD).
Autore: Luca Leoni – Sistema Ratio Centro Studi Castelli
Foto: archivio Qdpnews.it
#Qdpnews.it
