Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI

Videosorveglianza e mancata informativa, azienda sanzionata dalla Polizia Locale: quale lezione

Lo scorso 16 gennaio la Polizia Territoriale di Salvario Caporetto Borgo Po ha redatto un “Verbale di accertamento di illecito amministrativo” ad un piccolo imprenditore contestando la mancata esposizione dell’informativa sulla videosorveglianza. I retroscena di una storia ricca di colpi di scena e incongruenze e una valida lezione di compliance per tutti

04 Feb 2020
C
Rudy Caltagirone

Studio Legale Associato Monticone Caltagirone

S
Manuel Angelo Salvi

DPO GRC Team


Lo scorso mercoledì 16 gennaio la Polizia Territoriale di Salvario Caporetto Borgo Po, nell’espletazione delle quotidiane incombenze e verifiche, presso un esercizio di vendita al dettaglio, penna alla mano, redige un “Verbale di accertamento di illecito amministrativo” del valore di € 12.000,00.

I protagonisti della nostra storia sono un maldestro Agente di Polizia locale, una sanzione da far impallidire, un imprenditore superficiale e una norma a dir poco bistrattata.

L’Agente redige un verbale infarcito di errori, citando articoli abrogati e arrogandosi competenze che non possiede.

La sanzione è decisamente importante.

L’imprenditore dal canto suo, con il piglio purtroppo di molti, ha installato un impianto di videosorveglianza senza preoccuparsi di rispettare tutte le normative del caso.

La normativa, chiamata semplicemente Privacy, anche da chi dovrebbe avere l’onere istituzionale di sostenerla, non è certo recentissima, essendo la Direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, datata 24 ottobre1995.

Stranisce quanto la materia sia poco conosciuta e poco applicata, per cui è utile fare chiarezza su una storia ricca di colpi di scena e incongruenze.

Il verbale

Il verbale, maldestramente redatto, è qui trascritto nelle sue parti salienti:

In qualità di titolare ometteva di esporre informativa per la tutela della privacy, per aver collocato all’interno del locale N. 2 telecamere di video sorveglianza. Si allega verbale d’ispezione che diventa parte integrante del presente verbale redatto e notificato il 21-01-2020 alle h. 16.30.

Art. 13 e 161 del codice in materia di protezione dei dati personali.”

A coloro che si intendono di GDPR e Codice Privacy balzeranno all’occhio immediatamente alcuni grossolani errori.

L’articolo 13 (Informativa) e 161 (Omessa o inidonea informativa all’interessato) relativi al D.lgs. 196/2003 sono stati entrambi abrogati dal D.lgs. 101 del 10 agosto 2018 e pubblicato in G.U. il 4 settembre 2018.

L’Agente avrebbe dovuto piuttosto citare il Regolamento UE 679/2016, indicando gli articoli 13 e 83.

In particolare, l’articolo 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato – al comma 1 recita: In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni.

L’articolo 83 – Condizioni generali per infliggere sanzioni amministrative pecuniarie, riporta invece al comma 5:

In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

b) i diritti degli interessati a norma degli articoli da 12 a 22;

La cosa forse ancor più grottesca è che l’ispezione non è stata immediatamente contestata perché si necessitavano ulteriori accertamenti d’ufficio.

Accertamenti, verrebbe da dire, che non hanno portato gli esiti sperati.

La competenza

Può la Polizia Locale sanzionare come illecito amministrativo una violazione della normativa in materia di protezione dei dati?

La polizia municipale, in massima parte, potrebbe effettuare controlli di questo tipo su esposto o in caso di accertamenti resi necessari da un procedimento in atto.

Un’iniziativa diretta in tal senso potrebbe essere possibile o vi è un problema di incompetenza della stessa?

L’articolo 166 del D.lgs. 196/2003 Novellato parla chiaro e non sembra lasciare molti dubbi con i commi 3 e 5.

Comma 3. Il Garante è l’organo competente ad adottare i provvedimenti correttivi di cui all’articolo 58, paragrafo 2, del Regolamento, nonché ad erogare le sanzioni di cui all’articolo 83 del medesimo Regolamento e di cui ai commi 1 e 2.

Comma 5. L’Ufficio del Garante, quando ritiene che gli elementi acquisiti nel corso delle attività, avvia il procedimento per l’adozione dei provvedimenti e delle sanzioni di cui al comma 3 notificando al titolare o al responsabile del trattamento le presunte violazioni.

L’articolo 166 al comma 3 e nei successivi richiama il Regolamento UE 679/2016 negli articoli 58 e 83.

L’Articolo 58 GDPR relativo ai “Poteri” sottolinea:

  1. Ogni autorità di controllo ha tutti i poteri di indagine seguenti:
  2. condurre indagini sotto forma di attività di revisione sulla protezione dei dati;
  3. notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento;
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

L’Articolo 83 GDPR relativo alle “Condizioni generali per infliggere sanzioni amministrative pecuniarie” sottolinea la centralità dell’Autorità di controllo.

Se quanto sopra non fosse sufficiente a sfatare qualunque dubbio sul fatto che la Polizia Comunale non ha alcuna competenza in materia di indagine e sanzione, relativamente alla normativa in materia di protezione dei dati, prendiamo in considerazione altri elementi.

Innanzitutto, il D.lgs. 196/2003 all’Art. 156 comma 4 recita:

L’Ufficio può avvalersi, per motivate esigenze, di dipendenti dello Stato o di altre amministrazioni pubbliche o di enti pubblici collocati in posizione di fuori ruolo o equiparati nelle forme previste dai rispettivi ordinamenti, ovvero in aspettativa ai sensi dell’articolo 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, in numero non superiore, complessivamente, a venti unità e per non oltre il venti per cento delle qualifiche dirigenziali, lasciando non coperto un corrispondente numero di posti di ruolo.

Con tutto il rispetto per la Polizia Locale di Salvario Caporetto Borgo Po dubitiamo che i loro agenti siano inclusi in tale task force.

Un altro elemento da considerare è che le risorse di personale aggiuntivo previste dal punto precedente sono gestite attraverso un “Protocollo d’Intesa relativo ai rapporti di collaborazione tra il Garante per la Protezione dei Dati e la Guardia di Finanza”.

Il Protocollo sottolinea in diversi passaggi l’importanza di elementi specifici, che precludono di fatto, che altri soggetti, privi di un similare accordo, possano arrogarsi competenze assegnate esclusivamente al Garante stesso.

Il Protocollo sottolinea alcuni elementi imprescindibili che escludono di fatto che altri al di fuori del Nucleo Speciale Privacy della Guardi di Finanza possano operare per conto del Garante:

“Considerata l’esigenza di disporre di personale in possesso di specifica competenza e pregresse esperienze in materia di attività di polizia giudiziaria e di polizia amministrativa, da impiegare nell’articolazione ispettiva dell’Ufficio;

Viste le circolari n. 136079/08/3102 del 24 aprile 2008 e 240000/310 (edizione 2013) – del citato Comando Generale – Ufficio Ordinamento, concernenti rispettivamente “Interventi Organizzativi nell’ambito dei Reparti Speciali” e “Ordinamento della Guardia di Finanza”, con le quali in particolare il Nucleo Speciale Funzione Pubblica e Privacy è stato ridenominato in “Nucleo Speciale Privacy” ed il Nucleo è confermato quale referente nei rapporti con il Garante;

Il Protocollo è fin troppo evidente in numerosi articoli.

Concludo limitandomi a citare l’articolo 1:

(Collaborazione tra il Garante e la Guardia di Finanza)

  • … il Garante, per l’accertamento delle violazioni alla normativa in materia di trattamento dei dati personali, si avvale della collaborazione della Guardia di Finanza. …attraverso:
  1. il reperimento di dati e informazioni sui soggetti da controllare;
  2. la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;
  3. l’assistenza nei rapporti con l’Autorità Giudiziaria;
  4. lo sviluppo di attività delegate o sub-delegate per l’accertamento delle violazioni in materia di protezione dei dati personali;
  5. la contestazione delle sanzioni amministrative rilevate nell’ambito delle attività delegate;

La sanzione

Il Verbale riporta quale indicazione sanzionatoria la presente:

“Istruzione per la conciliazione: Sanzione amministrativa da € 6.000,00 a € 36.000.

È ammesso il pagamento in misura ridotta di € 12.000,00 più 2 € di bollo, entro 60 gg. Dalla contestazione o notificazione della violazione”.

Tale somma può ritenersi congrua?

A dire il vero non saprei.

Il GDPR ha stravolto quelle che potevano essere le indicazioni sanzionatorie previste dal D.lgs. 196/2003 e all’articolo 83 del GDPR parla solo di massimali, orami ben noti a tutti, pari a 10 o 20 milioni di euro oppure al 2 % o 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

L’unica sanzione inflitta in materia di videosorveglianza la ha inferta il Garante austriaco Datenschutzbehörden. L’importo di 4.000 euro in confronto alla sanzione piemontese sembra essere decisamente più abbordabile.

L’azienda sanzionata utilizzava il sistema di video sorveglianza in modo erroneo, facendo rientrare nel cono video-ripreso il marciapiede esterno al perimetro aziendale, senza alcuna giustificata motivazione e senza informare con apposita cartellonistica i passanti.

La conformità

Alle organizzazioni pubbliche o private italiane, il consiglio che mi sento fortemente di caldeggiare è: “mettetevi a norma!”.

Qui mi limiterò a suggerire alcuni adempimenti per essere compliance con le attività di Videosorveglianza.

Vediamo passo passo cosa fare:

Step 1

Qualora abbiate fatto le cose per bene e le telecamere non siano ancora montate, come per qualsiasi trattamento di dati, prima di accingersi a farlo, si dovrebbe riflettere sulla finalità e necessità del trattamento.

Prima di installare un sistema di videosorveglianza il titolare dovrebbe verificare, che tale misura sia proporzionata alla finalità perseguita.

La videosorveglianza dovrebbe essere infatti adottata come extrema ratio: e si dovrebbe valutare preventivamente l’adozione di misure alternative.

Cosa fare in concreto:

  1. rispondete alla seguente domanda: “Per la vostra organizzazione la videosorveglianza è davvero utile per prevenire incidenti, situazioni di pericolo o di tutela del patrimonio?”;
  2. se la risposta è affermativa, proseguite.

Step 2

Valutato di proseguire con la decisione presa di installare l’impianto si dovrebbe indicare la base giuridica attraverso la quale rendere lecito il trattamento. Sovente per le organizzazioni private si opta per il Legittimo interesse per la sicurezza sul lavoro o per esigenze organizzative e produttive oppure per la tutela del patrimonio aziendale. Tale indicazione in fase di ispezione da parte del Garante potrebbe non essere sufficiente.

Dovreste rinforzare le motivazioni che vi hanno fatto propendere per tale base giuridica attraverso la compilazione di una LIA Legitimate Interests Assessment. La LIA è lo strumento utile a fornire una breve sintesi dei criteri applicati nel bilanciamento effettuato fra i diritti fondamentali e le libertà degli interessati, così come previsto dall’art. 6, paragrafo 1, lett.f) del RGPD.

La LIA potrebbe essere propedeutica alla stesura di una DPIA.

Cosa fare in concreto:

  1. stendete una LIA. Si tratta di un documento non particolarmente complesso di 2 o 3 pagine, che racchiude le medesime domande che vi potrebbero essere poste in fase d’ispezione, qualora abbiate optato per il Legittimo Interesse. Con l’ausilio di un esperto sarà cosa di poco conto.

Step 3

La DPIA è necessaria in presenza di almeno due criteri ricorrenti in una lista ristretta. Tale lista include 2 elementi ricorrenti quasi sempre in tema di videosorveglianza:

  1. il monitoraggio sistematico (es: videosorveglianza). Il Garante esplicita la videosorveglianza quale esempio di monitoraggio sistemico;
  2. dati relativi a soggetti vulnerabili.

I soggetti vulnerabili sono minori, anziani, soggetti con patologie psichiatriche, richiedenti asili come esplicitato anche nell’infografica pubblicata sul sito del Garante.

Soggetti vulnerabili sono anche i dipendenti, se la videosorveglianza è svolta dal datore di lavoro, in quanto si potrebbe prefigurare il rischio di controllo a distanza del dipendente.

Questo tema che tratteremo al punto 4 è estremamente importante.

Per saperne di più sulla DPIA potete consultare la Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per  stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 – WP248rev.01.

Cosa fare in concreto:

  1. procedete con la DPIA. Credo che per la DPIA l’esperto che vi sia d’ausilio sia necessario essendo documento di una certa complessità, se non si è del mestiere.

Step 4

Qualora vi siano dei dipendenti all’interno dell’organizzazione il Titolare deve premunirsi di un accordo sindacale o richiedere autorizzazione alla sede territoriale dell’Ispettorato Nazionale del Lavoro (ITL) ovvero – in caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali – della sede centrale dell’Ispettorato Nazionale del Lavoro.

Lo statuto dei Lavoratori (Art. 4) prescrive: “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria (RSU) o dalle rappresentanze sindacali aziendali (RSA) o associazioni sindacali comparativamente più rappresentative sul piano nazionale”.

Cosa fare in concreto:

  1. se googolate “Modello Videosorveglianza ITL” troverete il modello di facile compilazione, cui dovrete aggiungere descrizione dell’impianto e piantina con la posizione delle telecamere installate. La piantina non è obbligatoria ma molte ITL la pretendono;
  2. se avete un RSU all’interno della vostra organizzazione confrontatevi con lui e svolgete il tutto in sinergia.

Step 5

Gli obblighi di trasparenza e informazione dovrebbero essere la parte più facile.

Gli interessati devono essere informati con speciale segnaletica informativa prima di entrare nel raggio di azione delle telecamere, con un formato che garantisca visibilità anche in orario notturno.

Gli interessati (dipendenti, visitatori/clienti) devono essere informati con un Informativa dettagliata, sita in un luogo facilmente accessibile agli interessati (es: Ingresso, Sito web) e consultabile prima di accedere all’area videosorvegliata.

Cosa fare in concreto:

  1. appendete le vignette (cartelli con l’icona della videosorveglianza) nei pressi di ogni telecamera;
  2. affiggete in bacheca e pubblicate sul sito web la vostra Informativa.

Fate attenzione perché l’EDPB nella Linea guida del luglio 2019 ha proposta una nuova grafica per le vignette.

La nuova vignetta (logo bianco su sfondo blu) prevede dei campi da compilarsi con le seguenti informazioni:

  • indicazione del Titolare del trattamento e suoi contatti;
  • la finalità del trattamento e la base giuridica come da Step 2;
  • i diritti dell’interessato;
  • il periodo di conservazione delle immagini.

Step 6

Verificate con il vostro tecnico alcuni elementi sanzionabili:

  • tempi di conservazione: Non possono essere memorizzate per un periodo superiore di 24 ore, estensibile a 48 ore nei weekend e nei festivi, salvo il caso nel quale sia necessario conservarli a seguito di sinistri, furti, danneggiamenti e altri eventi che obblighino il Titolare a conservarli per l’espletamento di una procedura stragiudiziale ovvero giudiziale volta alla tutela dell’Azienda;
  • le telecamere devono essere sprovviste della possibilità di zoom, brandeggio (joystick con le quali cambiare l’angolo di visualizzazione) e audio;
  • i dipendenti incaricati a visionare le immagini devono essere nominati soggetti autorizzati al trattamento delle immagini. Devono possedere delle credenziali di autenticazione (Utilizzo di User ID / password per ciascun autorizzato alla visione delle immagini). Il cambio Password come per qualsiasi altro trattamento deve avere le caratteristiche standard di complessità con scadenza automatica trimestrale/semestrale;
  • qualora vi sia la trasmissione/comunicazione delle immagini (VPN / HTTPS) all’esterno (es: Agenzia di sicurezza) si dovrebbe implementare un sistema di crittografia;
  • gli Access Log degli amministratori di sistema e degli utenti autorizzati alla visione del registrato sono da conservare per almeno 6 mesi;
  • andrebbero implementate le procedure per far valere i diritti degli interessati;
  • i Monitor e la loro presa visione: la visione delle immagini dovrebbe essere effettuata solo fuori dagli orari lavorativi. In fase ispettiva gli Ispettori potrebbero verificare l’orario di visione dagli Access log del sistema di videosorveglianza;
  • fate attenzione anche per l’installazione di videocamere non funzionanti o finte in quanto il loro utilizzo, anche se non comporta il trattamento di dati personali, potrebbe determinare forme di condizionamento nei movimenti e nei comportamenti delle persone in luoghi pubblici e privati e pertanto può essere legittimamente oggetto di contestazione;
  • NB: richiedete all’installatore la dichiarazione di conformità privacy.

Fonti e riferimenti normativi:

  • Riforma dell’art. 4 dello Statuto dei Lavoratori L. 300/70 come modificato dal D.lgs. 151/2015 (Jobs Act)
  • Principi dettati dal Provvedimento Videosorveglianza 8/04/2010 (Gazzetta Ufficiale n. 99 del 29 aprile 2010)
  • Circolare n. 5/2018 e n. 1881/2019 – Ispettorato Nazionale del Lavoro
  • Linee guida n. 3/2019 del 12 luglio 2019 dell’European Data Protection Board (EDPB) sul trattamento dei dati personali in merito ai servizi di videosorveglianza.

Conclusioni

La videosorveglianza, come abbiamo visto, è tema spinoso.

La polizia locale non avendo la competenza per sanzionarvi relativamente al GDPR o D.lgs. 196/2003, non può farvi alcun verbale sanzionatorio, il quale è illegittimo e impugnabile.

Legittimati a sanzionarvi lato Privacy sono il personale del Garante o su loro mandato la Guardia di Finanza.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

L’Ispettorato del lavoro potrebbe altresì sanzionarvi in violazione dello Statuto dei lavoratori, la cui penalità è stabilita, salvo che il fatto non costituisca più grave reato, nell’ammenda da € 154,00 a € 1.549,00 o nell’arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell’arresto e dell’ammenda sono applicate congiuntamente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5