La normativa vigente sulla protezione dei dati impone che, nel caso di un trattamento di dati, l’interessato sia informato (tranne che in determinate ipotesi) dell’esistenza, potenziale o in atto, del trattamento; dunque, che veda un cartello, che legga una comunicazione, che possa interloquire con chi lo informi, presso un URP o attraverso una linea telefonica, e via enumerando.
Tale obbligo si rinviene negli artt. 12, 13 e 14 del GDPR e negli artt. 9 e 10 del D. Lgs. n. 51/2018 (attuazione della Dir. 2016/680) e costituisce un corollario del principio di trasparenza e correttezza del trattamento dei dati: la persona interessata, infatti, deve essere informata di un’operazione che la riguarda e che potrebbe mettere in pericolo la sua privacy, al fine di consentirle l’esercizio dei diritti, che l’ordinamento le riconosce in proposito, e la predisposizione di ogni precauzione finalizzata a proteggere la sua riservatezza, compresa la decisione di non entrare, per esempio, nel raggio di azione di una telecamera (come nel caso della videosorveglianza).
Obbligo della informativa
Che cosa comporta l’inottemperanza all’obbligo d’informativa? Una sanzione pecuniaria al titolare del trattamento, stabilita nel suo massimale dall’art. 83 GDPR, ossia fino a venti milioni di euro o al 4% del fatturato di un’azienda.
Chi deve applicare le sanzioni? Può un agente o un ufficiale di qualsiasi Corpo di polizia accertare un’infrazione amministrativa di questo genere?
La risposta è negativa. L’art. 166 del D. Lgs. n. 196/2003 (cosiddetto Codice della Privacy) afferma espressamente che l’organo competente a ricevere il rapporto ed erogare le sanzioni è il Garante (s’intende: per la protezione dei dati personali). Questo, per quanto concerne le sanzioni amministrative; per quelle penali, di cui all’art. 167 del D. Lgs. 196/2003, non ci sono particolari problemi: la notitia criminis, una volta acquisita, è trasmessa al Pubblico Ministero dagli organi di polizia giudiziaria.
Il quesito è interessante, in quanto la Polizia Locale di un Comune del Torinese, qualche settimana fa, ha elevato un verbale all’esercente di un commercio al dettaglio, poichè l’uomo aveva installato una telecamera di videosorveglianza nel suo negozio, senza informare i clienti della presenza dell’apparecchiatura: mancava il cartello installato prima del raggio d’azione della telecamera (1). Tralasciando il fatto che il verbale in parola si riferiva ad una norma ormai abrogata (art. 13 Codice della Privacy), occorre evidenziare che l’atto è invalido perchè viziato da incompetenza. Come detto sopra, solo il Garante può erogare le sanzioni amministrative in materia.
Dunque, che cosa bisogna fare, se s’installa un sistema di videosorveglianza, per evitare di incorrere in una violazione sanzionabile?
Innanzi tutto, tenendo conto dei principii di necessità, finalità, minimizzazione e proporzionalità, di cui all’art. 5 GDPR, occorre domandarsi a quale fine si installa la videosorveglianza, se sia necessario e se non vi siano misure alternative ad essa, per raggiungere il predetto fine; in caso affermativo, infatti, andrebbero adottate le misure alternative, se ed in quanto meno invasive per la riservatezza di clienti e passanti. Le linee guida del Comitato Europeo per la Protezione dei Dati n. 3/2019 individuano il legittimo interesse, tra le principali basi giuridiche che consentono l’utilizzo della videosorveglianza; ma tale legittimo interesse deve essere reale, non fittizio o speculativo, e prevalere sui diritti e le libertà degli interessati.
In secondo luogo, come enuncia l’art. 35 GDPR, la videosorveglianza rientra tra i casi in cui la valutazione d’impatto sulla privacy (DPIA) è necessaria, prima di procedere con il trattamento dei dati. Se dalla valutazione d’impatto emerge un rischio elevato per i diritti e le libertà delle persone fisiche e il titolare del trattamento ritiene di non poter attenuare tale rischio per costi e tecnologie , è opportuno consultare il Garante. La DPIA è un’operazione di una certa complessità, tuttavia, che necessita di un esperto.
Esistono, inoltre, delle precauzioni da prendere, per predisporre un corretto trattamento dei dati; sono operazioni che qui citiamo a titolo esemplificativo, poichè non sono le uniche: in ottemperanza al principio di accountability, infatti, il titolare del trattamento è obbligato a prendere tutte le misure possibili, per proteggere i dati in suo possesso; tanto che, in caso di data breach, al medesimo spetta l’onere di provare che la diffusione illegittima dei dati è imputabile a causa fortuita.
Obblighi del titolare dell’impianto
Il titolare dell’impianto di videosorveglianza, dunque, sia esso un ente pubblico o privato, dovrà predisporre telecamere sprovviste di zoom e audio (per evitare un ampliamento del numero e delle dimensioni dei dati da registrare); i dipendenti che visionano le immagini devono essere autorizzati a tale compito e possedere credenziali di autenticazione; se le immagini vengono trasmesse all’esterno, ad un ente, ad un’agenzia, bisogna predisporre anche un sistema di crittografia; i tempi di conservazione delle immagini non possono superare il periodo di 24 ore, estensibili a 48 nei giorni festivi, tranne che nei casi in cui è necessario conservarle per periodi superiori, come nelle ipotesi in cui le immagini servano per procedure giudiziali e stragiudiziali ai fini della tutela dell’attività dell’azienda o dell’ente (es. furto, incidenti, danneggiamenti etc.)
Il discorso sulla videosorveglianza varia significativamente nel caso dell’ installazione di apparecchi sul posto di lavoro. L’art. 4 dello Statuto dei Lavoratori, come novellato dal D. Lgs. n. 151/2015 (cd. Jobs Act), supera il precedente divieto assoluto di controllare a distanza l’attività dei lavoratori mediante impianti audiovisivi e altri strumenti e consente l’installazione solo “per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale“, e previo accordo con le rappresentanze sindacali o, in mancanza di questo, a seguito di autorizzazione dell’Ispettorato nazionale del lavoro (2).
Dunque, è molto importante osservare con scrupolo la normativa in materia di protezione dei dati, se non vogliamo incorrere in sanzioni molto pesanti, sia amministrative che penali, cui potrebbero aggiungersi anche quelle civilistiche del risarcimento dei danni.
(1) Le linee guida EDPB del Luglio 2019 delineano un nuovo tipo di cartello, a fondo blu con logo bianco, che deve indicare il titolare del trattamento e i suoi contatti, le finalità per cui è stata installata la telecamera di videosorveglianza e la base giuridica, i diritti dell’interessato e il periodo di conservazione delle immagini.
(2) Se il controllo mira a tutelare i beni del patrimonio aziendale ovvero ad impedire la perpetrazione di comportamenti illeciti, non è necessario l’accordo sindacale nè l’informativa al lavoratore.
