>>>Leggi Ordinanza ingiunzione n. 300 del 15 settembre 2022<<<
1. I fatti
La Polizia Municipale di Milano comunicava al Garante per la protezione dei dati personali che, a seguito di un sopralluogo effettuato presso uno stabile, era stato rinvenuto un sistema di videosorveglianza composto da 4 telecamere, installate dalla società proprietaria dello stabile stesso su richiesta di alcuni inquilini. Pertanto, il Garante delegava alla Guardia di Finanza gli accertamenti presso lo stabile per verificare il sistema di videosorveglianza. In particolare, da detto accertamento emergeva che presso lo stabile era in funzione un sistema costituito da 4 telecamere che inquadravano, rispettivamente, lo spazio antistante il portone di accesso allo stabile, lo spazio antistante l’ascensore, il cortile posto sul retro e le rampe di accesso alle cantine e a un appartamento posto all’interno dello stabile stesso. Le immagini acquisite dalle telecamere venivano visualizzate in un monitor presente nella portineria dello stabile e memorizzate su un dispositivo di registrazione ivi presente.
Infine, emergeva che sul lato sinistro del portone di ingresso dello stabile era presente un cartello dove era disegnata la figura di una telecamera stilizzata, che però non conteneva le informazioni in ordine al titolare del trattamento e alle sue finalità.
Non erano invece stati rinvenuti dalla Guardia di Finanza altri cartelli informativi, né un testo dell’informativa privacy (neanche presso la portineria).
In considerazione di ciò, il Garante avviava il procedimento nei confronti della immobiliare proprietaria dell’immobile e la invitava a fornire scritti difensivi in merito alla contestazione. Tuttavia, la società proprietaria dell’immobile non inviava alcuno scritto difensivo al Garante (nonostante la ricezione dell’invito).
Potrebbero interessarti anche
- Videosorveglianza urbana, accesso e privacy: una “quadra” nel GDPR?
- Videosorveglianza smart, istruttorie per due comuni: di cosa si tratta?
- Sistema di videosorveglianza non segnalato: il Garante sanziona
2. Le valutazioni del Garante
Il Garante ha ritenuto che la proprietaria dell’immobile abbia effettuato un trattamento di dati personali attraverso un sistema di videosorveglianza, senza però fornire agli interessati un’idonea informativa privacy, così violando i principi generali in materia di trattamento e l’obbligo di informativa di cui all’art. 13 del Regolamento europeo (GDPR).
In particolare, l’uso di un sistema di videosorveglianza può comportare un trattamento di dati personali allorquando le telecamere sono posizionate in modo tale da inquadrare il viso delle persone e la qualità delle immagini è tale da poter identificare le stesse.
Pertanto, tale trattamento deve essere effettuato dal titolare nel rispetto dei principi generali di cui all’art. 5 del GDPR, soprattutto del principio di trasparenza (secondo cui gli interessati devono sapere che stanno per accedere ad una zona videosorvegliata).
Per poter rispettare tale principio, quindi, il titolare del trattamento deve fornire agli interessati un’idonea informativa, posizionando dei cartelli informativi da cui gli interessati possano avere conoscenza del titolare del trattamento e delle finalità di quest’ultimo. Tali informazioni, cosiddette di primo livello, devono poi essere completate mediante un’informazione di secondo livello fornita con altri mezzi, dove vengono comunicati agli interessati gli altri contenuti dell’informativa privacy.
Il Garante ricorda che le informazioni di primo livello possono essere anche fornite in combinazione con un’icona che rende in maniera chiara e comprensibile un quadro d’insieme del trattamento. Tuttavia, tali informazioni devono essere posizionate in modo tale da permettere all’interessato di riconoscere, in maniera facile, che è in corso una videosorveglianza in quella zona, in modo che l’interessato possa valutare quale sia la zona videosorvegliata e possa così evitarla.
Tuttavia, nel caso di specie, il proprietario dell’immobile aveva posizionato un cartello dove era soltanto presente una telecamera stilizzata, ma non c’era alcun riferimento alle altre informazioni che avrebbe dovuto fornire agli interessati: cioè il nominativo del titolare del trattamento e le sue finalità. Pertanto, gli interessati non potevano conoscere gli elementi essenziali del trattamento e non potevano sapere a chi rivolgersi per esercitare i propri diritti.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che il trattamento effettuato dalla società era illecito e che la violazione della normativa privacy non potesse essere considerata minore, in ragione della natura, della gravità e della durata della violazione stessa nonché del grado di responsabilità del titolare del trattamento e delle modalità con cui il Garante è venuto a conoscenza della violazione stessa.
A tal proposito, infatti, il Garante ha evidenziato come il comportamento posto in essere dal titolare del trattamento, il quale – nonostante la regolare notifica dell’avvio del procedimento nei suoi confronti – ha ritenuto di non partecipare al procedimento e di non inviare al Garante alcun elemento da cui poter desumere che lo stesso abbia collocato idonee informative agli interessati presso lo stabile dove viene effettuato il trattamento dati mediante il sistema di videosorveglianza, impone all’autorità, non solo di applicare una sanzione amministrativa pecuniaria nei confronti del titolare medesimo, ma anche di ingiungergli di conformare i suddetti trattamenti dati alla normativa privacy mediante l’installazione di cartelli informativi che siano idonei secondo quanto sopra esposto.
Pertanto, il Garante ha ordinato al titolare del trattamento di provvedere ad installare i suddetti cartelli informativi e di comunicare al Garante stesso, entro i successivi 30 giorni, documentazione idonea a dimostrare l’adempimento a quanto prescritto.
Per quanto concerne, invece, la quantificazione della sanzione pecuniaria, al fine di stabilire una sanzione che fosse effettiva e dissuasiva nei confronti del titolare (anche rispetto alle sue condizioni economiche), il Garante ha valutato, da un lato, la condotta negligente posta in essere dal titolare del trattamento e il fatto che quest’ ultimo non ha cooperato con l’Autorità durante il procedimento; dall’altro lato, ha considerato che il titolare non aveva alcun precedente specifico in relazione a violazioni della disciplina in materia di protezione dei dati personali.
In considerazione di tutto quanto sopra, il Garante ha ritenuto di poter applicare una sanzione di carattere pecuniario nei confronti del titolare del trattamento nella misura di €. 2.000,00 (duemila).
Volume consigliato
La nuova privacy
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni. Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).
Nadia Arnaboldi | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento