Privacy: il Garante sanziona un Comune che aveva installato un sistema di videosorveglianza in prossimità dei sistemi di rilevazione delle presenze dei lavoratori.
Con segnalazione presentata ai sensi dell’art. 144 del decreto legislativo del 30 giugno 2003, n. 196, c.d. Codice Privacy, una dipendente del Comune di Madignano (di seguito, il “Comune”), ha segnalato l’installazione di un sistema di videosorveglianza nella sede del Comune, in prossimità dei sistemi di rilevazione delle presenze e in assenza dell’accordo con le organizzazioni sindacali, nonché l’impiego di tale sistema per l’effettuazione di specifiche contestazioni disciplinari alla dipendente in ordine al mancato rispetto dell’orario di servizio e alla violazione dei propri dei doveri d’ufficio. Per approfondimenti sull’utilizzo dei dati di videosorveglianza, consigliamo il volume Formulario commentato della privacy.
Indice
1. L’istruttoria sulla videosorveglianza dei dipendenti
Con tale sistema di videosorveglianza, attraverso l’utilizzo delle immagini registrate, l’amministrazione comunale aveva contestato alla dipendente alcune violazioni dei propri doveri d’ufficio, tra cui il mancato rispetto dell’orario di servizio.
Da tale contestazione è nata la segnalazione al Garante della Privacy da parte della dipendente e, successivamente, l’Autorità ha trasmesso una richiesta di informazioni al Comune.
Il Comune ha riscontrato tale richiesta di informazioni dichiarando, in particolare, che a seguito di presunti comportamenti non conformi agli obblighi del contratto di lavoro, l’ente ha emesso una contestazione disciplinare alla dipendente in ordine al mancato rispetto dell’orario di servizio. Nel corso dell’indagine interna sono state acquisite alcune informazioni in merito alla rilevazione delle presenze e, sotto questo profilo, l’installazione di un sistema di videosorveglianza avrebbe lo scopo di tutelare il patrimonio comunale e l’incolumità dei dipendenti.
Il Garante, in base agli elementi acquisti dalle verifiche compiute nel corso dell’istruttoria, ha notificato al Comune ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver:
1 – omesso di fornire agli interessati (ovvero sia i lavoratori sia i visitatori presso la sede del Comune) un’informativa sul trattamento dei dati personali mediante il predetto sistema di videosorveglianza, in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento;
2 – trattato dati personali mediante il predetto sistema di videosorveglianza in assenza delle condizioni previste dalla disciplina in materia di controlli a distanza, in violazione degli artt. 5, par. 1, lett. a), 6, e 88 del Regolamento, nonché 114 del Codice, in riferimento all’art. 4, comma 1, della l. n. 300 del 1970;
3 – utilizzato i dati raccolti mediante il predetto sistema di videosorveglianza nell’ambito del procedimento disciplinare avviato nei confronti dell’interessata, in assenza dei presupposti richiesti dalla disciplina di settore in materia di controlli a distanza, in violazione degli artt. 5, par. 1, lett. a) e b), 6, e 88 del Regolamento, nonché 114 del Codice, in riferimento all’art. 4, comma 3, della l. n. 300 del 1970.
Con una nota successiva, il Comune, che non ha chiesto di essere audito, ha presentato una memoria difensiva, dichiarando che la finalità del trattamento non consisteva nella “videosorveglianza sui luoghi di lavoro per la tutela del patrimonio aziendale”, bensì nella “pubblica sicurezza e […] accertamento dei reati”, così come previsto dal “regolamento approvato con delibera n. 26 del 29/06/2005”, ai sensi del quale il Comune può “monitorare, anche con l’uso di videocamere, il territorio, l’interno e l’esterno degli edifici pubblici (art. 2, n. 5)”.
Inoltre, secondo il Comune, ulteriore prova del perseguimento delle sole finalità di Pubblica Sicurezza e di accertamento dei reati, risiede nel fatto che l’unico monitor per la visualizzazione delle immagini è posizionato nell’ufficio della Polizia Locale adiacente all’atrio di ingresso del Municipio dov’è collocata la videocamera interna, senza che il Sindaco possa tenere monitorate costantemente le immagini.
Il Comune, con tale nota, dichiara che ha “disposto […] il collegamento della videocamera “a seguito di una aggressione subita dall’assistente sociale” e, che, pertanto “è evidente che l’unico scopo perseguito [dal Comune], così come dalle precedenti, è la tutela della Sicurezza collettiva, la prevenzione e l’accertamento dei reati e non la videosorveglianza sui luoghi di lavoro per la tutela del patrimonio aziendale. Gli interessati al trattamento, quindi, non sono mai stati i dipendenti pubblici del Comune in quanto tali ma la collettività tutta”. Per approfondimenti sull’utilizzo dei dati di videosorveglianza, consigliamo il volume Formulario commentato della privacy.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
51.20 €
2. Esito dell’istruttoria e sanzione
In merito alla normativa in materia di dati personali, la disciplina prevede che i soggetti pubblici possono, di regola, trattare dati personali se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).
Inoltre, con specifico riferimento all’utilizzo di sistemi di videosorveglianza da parte di soggetti pubblici, già nel “Provvedimento in materia di videosorveglianza” (provv. dell’8 aprile 2010, doc. web n. 1712680) il Garante aveva chiarito che tali soggetti, “in qualità di titolari del trattamento […], possono trattare dati personali nel rispetto del principio di finalità, perseguendo scopi determinati, espliciti e legittimi […] per lo svolgimento delle proprie funzioni istituzionali” (par. 5) (cfr. sez. 3.2 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati del 29 gennaio 2020).
Ciò stante, quando, come nel caso di specie, le telecamere di videosorveglianza sono idonee a riprendere anche il personale che transita o sosta nei luoghi di lavoro, il trattamento dei dati personali dei lavoratori può essere effettuato, dal titolare in qualità di datore di lavoro, se è necessario, in generale, per la gestione del rapporto di lavoro e nell’ambito del quadro giuridico applicabile definito da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), e 88 del Regolamento). In tale quadro, il datore di lavoro deve, quindi, rispettare le norme nazionali che “includono misure appropriate e specifiche a salvaguardia della dignità umana […] degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento).
La normativa europea prevede che i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” e “raccolti per finalità determinate, esplicite e legittime” (principi di “liceità, correttezza e trasparenza” e “limitazione della finalità”), ammettendo la possibilità di successivi trattamenti ma solo “in modo che non sia incompatibile con [le] finalità” iniziali del trattamento (art. 5, par. 1, lett. a) e b), del Regolamento).
In tale quadro, il titolare può utilizzare per ulteriori trattamenti i soli dati personali lecitamente raccolti in presenza di un’idonea base giuridica, avendo previamente “soddisfatto tutti i requisiti per la liceità del trattamento originario” (cfr. cons. n. 50 del Regolamento), e dunque nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata, avuto riguardo alla finalità principale e nel rispetto dei principi generali di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza”, in attuazione del quale il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (cfr. art. 12, par. 1, del Regolamento).
Potrebbero interessarti anche:
3. Conclusioni
Secondo il Garante, intervenuto nella questione con provvedimento
dell’11 aprile 2024, n. 234 alla luce delle considerazioni ivi rappresentate, deve concludersi che il Comune non ha fornito agli interessati (ovvero sia lavoratori che utenti o visitatori presso la propria sede) un’idonea informativa sul trattamento dei dati, completa di tutti gli elementi richiesti dal Regolamento, in violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento.
Si deve pertanto concludere che, l’installazione degli “occhi elettronici” nei luoghi di lavoro deve rispettare gli obblighi previsti dallo Statuto dei lavoratori e le garanzie assicurate ai dipendenti dalla normativa privacy. Il principio è stato ribadito dal Garante Privacy che ha inflitto al Comune una sanzione di 3.000,00 euro per trattamento illecito di dati personali.
L’Autorità ha, pertanto, sanzionato l’Amministrazione ingiungendo, inoltre, alla stessa di fornire a tutti gli interessati (lavoratori e visitatori presso la sede comunale) un’idonea informativa sui dati personali trattati mediante l’utilizzo della telecamera in questione. Il Comune non aveva infatti reso tutti gli elementi informativi previsti dal Regolamento europeo, né potevano essere considerati idonei altri documenti redatti dal titolare per diversi fini[1].
Note
- [1]
Provvedimento del Garante della Privacy dell’11 aprile 2024, n. 234.
Scrivi un commento
Accedi per poter inserire un commento