Non consultare il DPO costa caro: lo esprime bene l’Autorità garante per la protezione dei dati francese (CNIL) che ha sanzionato SAMARITAINE SAS, che gestisce l’omonimo negozio, per 100.000 euro a causa di telecamere nascoste nei magazzini del negozio.
Molteplici sono le violazioni del Regolamento (UE) 2016/679 cd GDPR, dalla violazione dei principi di liceità, correttezza e trasparenza alla minimizzazione dei dati (art. 5), a una conservazione di dati oltre lo stretto necessario, per non aver notificato il data breach (art. 33) e soprattutto per il mancato coinvolgimento del DPO.
Ecco cosa ha ritenuto l’Autorità.
Indice degli argomenti
Videosorveglianza, costa caro non informare il DPO: il caso
La nota società parigina “mimetizzava le telecamere nei rilevatori di fumo per sorvegliare i propri dipendenti” senza averli prima minimamente informati.
Questo accadevanell’agosto del 2023, a causa di un asserito aumento dei furti di merce nei magazzini: così si difendeva la Società, la quale aveva installato telecamere nascoste che registravano a tutti gli effetti.
Queste, nonostante fossero ben mimetizzate, venivano comunque scoperte dai dipendenti, uno dei quali proponeva reclamo alla CNIL, la quale si muoveva con l’ispezione.
Non informare il DPO: la violazione di spicco
Tra i rilievi più significativi, spicca la violazione per il mancato coinvolgimento del DPO.
Leggiamo infatti, nella deliberazione in parola, che “la società non ha informato il responsabile della protezione dei dati RPD [o DPO] della sua intenzione di installare telecamere nascoste nelle aree di stoccaggio. Pertanto, l’implementazione di questo dispositivo non è stata accompagnata da garanzie adeguate a garantire il mantenimento di un giusto equilibrio tra l’obiettivo perseguito dal titolare del trattamento e la tutela della privacy dei dipendenti”.
Il DPO deve essere coinvolto, in modo adeguato e tempestivo, in tutte le questioni relative alla protezione dei dati personali (art. 38).
Le stesse linee guida del 13 dicembre 2016, riviste il 5 aprile 2017, relative ai responsabili della protezione dei dati, dicono che è essenziale che il DPO, o il suo team, “sia coinvolto fin dalle prime fasi in tutte le questioni relative alla protezione dei dati […] informare e consultare il RPD/DPO fin dall’inizio faciliterà la conformità al GDPR e incoraggerà un approccio di protezione dei dati fin dalla progettazione; dovrebbe pertanto essere una procedura standard nell’ambito della governance dell’Organizzazione”.
In assenza di tutto ciò è evidente che il DPO non possa svolgere i suoi compiti di consulenza e sorveglianza (art. 39). E a nulla rileva che le telecamere fossero in fase di test, in un periodo estivo. L’azienda avrebbe dovuto assolutamente informare il DPO dell’installazione dei dispositivi di videosorveglianza, anche con un semplice messaggio.
Il parere del DPO avrebbe da un lato avvisato l’azienda delle misure da adottare per limitare i rischi per la protezione dei dati dei dipendenti, conformemente alle sue funzioni, e dall’altro evitato l’adozione di un sistema contrario ai principi di lealtà e trasparenza, e quindi prevenuto la sanzione.
Le ulteriori violazioni
Molteplici poi sono state le ulteriori violazioni riscontrate in sede di ispezione.
Violazione dei principi di liceità, correttezza, trasparenza e minimizzazione dati
Anzitutto è emersa la violazione dei principi cardine del GDPR: liceità, correttezza e trasparenza che il titolare del trattamento è tenuto a garantire in ragione dell’accountability. È d’obbligo, infatti, il trattamento corretto, lecito e trasparente dei dati personali.
In linea di principio, come ha evidenziato la CNIL per il tramite del Comitato ristretto, per soddisfare il requisito di correttezza di un sistema di videosorveglianza, le telecamere che compongono il sistema devono essere visibili, e non nascoste.
Per quanto “gli obblighi di trasparenza o il diritto di accesso previsti dal GDPR non implichino l’esposizione o la comunicazione di una planimetria che includa l’ubicazione esatta delle telecamere (CNIL, P, 29 maggio 2024, Rifiuto, Comune di X, 27412, non pubblicato, nelle tabelle Informatiche e Libertà), a condizione che le informazioni forniscano indicazioni sufficienti sull’area soggetta a videosorveglianza/sorveglianza”. Così argomenta la CNIL.
Ne consegue che soltanto in circostanze del tutto eccezionali e a determinate tassative condizioni, possono essere temporaneamente installate telecamere non visibili ai dipendenti. Circostanze che devono comunque sussistere in concreto ed essere sempre ben giustificate.
Vale dunque la regola del bilanciamento di interessi da un lato, e dall’accountability dall’altro.
Nel caso di specie, come risulta dagli atti e dalla lettura del provvedimento, l’azienda avrebbe “denunciato i furti dalle riserve e ha spiegato che il dispositivo era temporaneo (cosa che le caratteristiche tecniche del dispositivo sembrano confermare)”, ma non anche “effettuato alcuna analisi preventiva di conformità al GDPR, né ha documentato la natura temporanea dell’installazione, scoperta dai dipendenti poche settimane dopo la sua installazione”.
Non solo, le telecamere in quanto dotate di microfoni registravano le conversazioni tra dipendenti, che rientravano nella sfera personale. Registrazione audio eccessiva rispetto alle finalità e quindi in spregio del principio di minimizzazione. Ne è valsa sufficiente la giustificazione addotta dalla Società che fossero telecamere di “prova”.
Periodo di conservazione dei dati non rispettato (artt. 5, 13)
Anche l’obbligo di rispettare il periodo di conservazione dei dati non superiore alle finalità non è stato rispettato.
Al riguardo, infatti, si legge nel provvedimento che “sebbene la società avesse definito un periodo di conservazione di 17 giorni per le immagini del sistema di videosorveglianza, l’ispezione in loco effettuata il 29 novembre 2023 ha rivelato la presenza sulla postazione di lavoro dedicata alla videosorveglianza di estratti video risalenti al 3 gennaio 2022” ben oltre quei 17 giorni indicati, senza precisare la finalità che giustificasse la conservazione di tali immagini oltre detto periodo.
Attività di trattamento non tracciata nel registro e mancata DPIA
Inoltre, dall’istruttoria è emerso che dette telecamere non fossero presenti come attività di trattamento nel registro dei trattamenti (art. 30), né risultava agli atti la valutazione d’impatto – DPIA (art. 35).
Ricordiamo che la DPIA è assolutamente necessaria in caso di videosorveglianza perché si tratta di un tipo di trattamento di dati personali che comporta rischi elevati per i diritti e le libertà degli interessati. Fare una DPIA diventa una valida misura di sicurezza idonea a valutare e mitigare tali rischi.
A rigore, la DPIA va fatta prima dell’installazione e dell’attivazione di un sistema di videosorveglianza essendo una misura preventiva a garanzia anche dell’accountability(principio di responsabilizzazione) del titolare del trattamento che, non di meno, viene per l’effetto irrobustita.
Mancata notifica di data breach (art. 33)
Ancora, per la CNIL, dallo svolgimento dei fatti palese era la “violazione dei dati personali”, rimarcando che “la perdita di controllo da parte del titolare del trattamento di apparecchiature contenenti dati personali è esplicitamente citata come esempio di un evento da qualificare come violazione dei dati personali ai sensi degli articoli 4-12 del GDPR e viene utilizzata come esempio nelle suddette linee guida dell’EDPB o nelle comunicazioni pubbliche della CNIL relative alla sicurezza dei dati”.
Violazione del tutto idonea, a maggior ragione vista la presenza sulle schede SD di registrazioni video e audio riguardanti i dipendenti, a creare un rischio per i diritti e le libertà delle persone interessate. Quindi andava notificata.
Cosa ci insegna questa vicenda
Da questa decisione impariamo che il coinvolgimento tempestivo e sistematico del DPO non è opzionale, ma costituisce un presidio essenziale e imprescindibile di accountability; e il ragionamento della CNIL lo conferma a chiare lettere.
Ancora, il caso in questione ha dimostrato che urgenze organizzative o assenze temporanee non giustificano affatto l’esclusione del DPO, specie in trattamenti ad alto impatto sui diritti dei lavoratori.
Infine, la pesante sanzione inflitta a Samaritaine ci insegna che senza DPO, il rischio di una carente, debole, difettosa compliance aumenta massimamente con un’esposizione altissima a sanzioni significative, come in questo caso.
