Recentemente il Garante per la privacy con i Provvedimenti n. 386[1] e 387[2] del 28 ottobre 2021 ha sanzionato una struttura turistica e un locale pubblico che utilizzavano sistemi di videosorveglianza in assenza della prescritta informativa cui all’art. 13 del GDPR e senza tenere conto delle indicazioni fornite dalle Autorità privacy europee nelle Linee guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video adottate il 29 gennaio 2020.
Queste decisioni rappresentano un’occasione irripetibile per riepilogare gli step operativi di compliance GDPR che le aziende devono osservare per informare correttamente gli interessati in ordine ai trattamenti effettuati mediante l’utilizzo di sistemi di videosorveglianza.
GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia
Indice degli argomenti
Le decisioni del Garante: cosa devono imparare le aziende
In particolare, dai Provvedimenti del Garante si possono apprendere alcune lezioni importanti che le aziende devono imparare:
- in ottemperanza al principio di trasparenza cui all’art. 5 del Regolamento, “gli interessati devono essere sempre essere informati che stanno per accedere in una zona videosorvegliata”; a questo scopo quindi il titolare del trattamento deve apporre idonei cartelli informativi;
- gli interessati devono essere informati sul trattamento dei propri dati con un duplice livello di informazioni;
- l’informativa di primo livello (o “di sintesi”[3]) deve essere posizionata in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata e deve contenere le informazioni più importanti (ad esempio, l’identità del titolare del trattamento, le finalità del trattamento, i diritti dell’interessato, il luogo e le modalità di pubblicazione dell’informativa di secondo livello);
- l’informativa di secondo livello (o “estesa”) deve riportare gli ulteriori dettagli obbligatori sulle caratteristiche dei trattamenti previsti dall’art. 13 del GDPR e deve essere messa a disposizione degli interessati entro le aree videosorvegliate tramite un codice QR inserito nell’informativa “sintetica” oppure indicando un sito web o altro luogo dove l’interessato possa consultare agevolmente l’informativa (anche in formato cartaceo).
Come si devono fornire le informazioni agli interessati
Le fattispecie considerate nelle decisioni in commento dall’Autorità Garante riguardavano alcune irregolarità emerse durante l’esecuzione di controlli effettuati dalla Polizia di Stato di Roma e di Palermo (rispettivamente nel mese di novembre 2019 e nel mese di febbraio 2020) nei confronti di una struttura turistica e di un locale pubblico relativamente all’utilizzo degli impianti di videosorveglianza.
Nel corso degli accertamenti, si rilevava la presenza di sistemi di videosorveglianza, attivi e funzionanti, rispetto ai quali non risultavano presenti le informative di cui all’art. 13 del Regolamento. L’Ufficio del Garante, pertanto, sulla base del contenuto delle relazioni di servizio trasmesse dalla Questura, notificava alle due aziende l’avvio del procedimento sanzionatorio, in relazione alla violazione dell’art. 13 cit..
Le società, nonostante fossero state informate della possibilità di produrre scritti difensivi o documenti in relazione al procedimento sanzionatorio a loro carico, non facevano pervenire alcuna documentazione al riguardo. In particolare, sulla base dei verbali di accertamento redatti dalla Questura di Roma e di Palermo, Divisione amministrativa e sociale, era emerso che gli impianti di videosorveglianza, installati presso le strutture, erano attivi e funzionanti, e che le società non avevano predisposto, essendovi tenute, informative idonee, ai sensi dell’art. 13 del GDPR, per informare gli interessati sul trattamento dei loro dati, non tenendo conto delle indicazioni contenute nelle Linee guida n. 3/2019 dell’EDPB sul trattamento dei dati personali attraverso dispositivi video (adottate il 29 gennaio 2020).
Al riguardo, l’Autorità affermava come le società avessero “effettuato un trattamento di dati personali, per mezzo di un impianto di videosorveglianza, in assenza della prescritta informativa. Tale condotta si pone in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento” (pag. 3 cit.).
Relativamente ai profili sopra rappresentati, il Garante evidenziava come l’utilizzo di sistemi di videosorveglianza “può determinare, in relazione al posizionamento delle telecamere e alla qualità delle immagini riprese, un trattamento di dati personali”. Detto trattamento – ribadiva l’Autorità – deve essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento e, in particolare, del principio di trasparenza che presuppone che “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata” (pag. 2 cit.).
“A questo scopo” – sottolineava il Garante – “quindi il titolare del trattamento deve apporre idonei cartelli informativi secondo le indicazioni contenute al punto 3.1. del provvedimento in materia di videosorveglianza – 8 aprile 2010[4] (in tal senso anche le FAQ in materia di videosorveglianza, pubblicate sul sito web dell’Autorità)”.
I richiami alle Linee Guida dell’EDPB
Sul punto, proseguendo la disamina dei Provvedimenti, sono interessanti e degni di nota gli espliciti richiami effettuati dal Garante alle linee guida adottate dall’EDPB (pag. 2 cit.): “Analogamente le Linee Guida n. 3/2019 del Comitato europeo per la protezione dei dati sul trattamento dei dati personali attraverso dispositivi video, punto 7[5]) specificano che “Per quanto riguarda la videosorveglianza, le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento stesso (primo livello), mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello). Nelle linee guida si prevede inoltre che “Tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”. Le informazioni dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi) “per consentire all’interessato di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.
Gli interessati, quindi, devono essere informati sul trattamento dei propri dati effettuati mediante l’utilizzo di sistemi di videosorveglianza con un duplice livello di informazioni.
L’informativa di primo livello (o “di sintesi”) deve essere posizionata in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata e deve contenere le informazioni più importanti (ad esempio, l’identità del titolare del trattamento, le finalità del trattamento, i diritti dell’interessato, il luogo e le modalità di pubblicazione dell’informativa di secondo livello).
L’informativa di secondo livello (o “estesa”), invece, deve riportare gli ulteriori dettagli obbligatori sulle caratteristiche dei trattamenti previsti dall’art. 13 del GDPR e deve essere messa a disposizione degli interessati entro le aree videosorvegliate tramite un codice QR inserito nell’informativa sintetica oppure indicando un sito web o altro luogo dove l’interessato possa consultare agevolmente l’informativa (anche in formato cartaceo).
Atteso quanto sopra, l’Authority, pertanto, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ordinava sia alla struttura ricettiva, sia all’esercizio pubblico, il pagamento della somma pari di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria in relazione al trattamento dei dati personali effettuato per mezzo degli impianti di videosorveglianza, in assenza dell’informativa di cui all’art. 13 del GDPR.
Videosorveglianza sul lavoro, non sempre è vietata: regole e casi pratici per non sbagliare
Conclusioni
Concludendo, il messaggio contenuto nei Provvedimenti n. 386 e 387 del 28 ottobre 2021 è di notevole importanza perché sottolinea espressamente come i titolari del trattamento debbano predisporre informative idonee, ai sensi dell’art. 13 del Regolamento, per informare gli interessati sulle caratteristiche essenziali del trattamento effettuato per mezzo di sistemi di videosorveglianza, tenendo conto delle indicazioni contenute nelle Linee guida n. 3/2019 dai Garanti privacy UE sul trattamento dei dati personali attraverso dispositivi video.
Ecco che, dunque, risulta evidente come le citate pronunzie dell’Authority fungano da monito per tutte le imprese – qualora siano utilizzati impianti di videosorveglianza – a verificare puntualmente la conformità dei modelli di informativa sul trattamento dei dati personali in uso alle indicazioni fornite dalle linee guida europee che, come sopra detto, prevedono che gli interessati devono essere informati con una doppia informativa, quella di c.d. primo livello (o “di sintesi”) e quella di c.d. secondo livello (o “estesa”).
NOTE
Ordinanza ingiunzione nei confronti di Anfiteatro Flavio s.r.l. – 28 ottobre 2021 (doc. web n. 9721758). ↑
Ordinanza ingiunzione nei confronti di OTTO s.r.l. – 28 ottobre 2021 (doc. web n. 9721784). ↑
Sul punto, si sottolinea che il Garante ha reso disponibile on line il modello semplificato, come quello realizzato dall’EDPB. ↑
Provvedimento in materia di videosorveglianza – 8 aprile 2010 (doc. web. n. 1712680). ↑
Sul punto, sia consentito anche rinviare al Provvedimento n. 327 del 16 settembre 2021 (doc. web n. 9705650) nel quale l’Autorità aveva espressamente richiamato il “Provvedimento in materia di videosorveglianza” dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1, nonché, da ultimo, la recente FAQ del Garante n. 4 in materia di videosorveglianza, doc. web 9496574; cfr., altresì, provv. 11 marzo 2021, n. 90, doc. web n. 9582791). ↑