NEWS

I cartelli informativi nella Videosorveglianza alla luce delle Linee Guida n.3/2019 dell’European Data Protection Board

Con provvedimento del 26 novembre 2020, n.256 l’Autorità Garante ha adottato una ordinanza-ingiunzione nei confronti di una struttura ricettiva, che, tra le altre cose, aveva omesso di apporre i cartelli informativi sulla videosorveglianza, che, come noto, sono stati recentemente oggetto di revisione da parte del Comitato Europeo per la protezione dei dati personali con le Linee Guida n.3/2019.

Marco Soffientini, Data Protection Officer di Federprivacy

(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy)

Il caso affrontato dall’Autorità Garante - scaturito da una segnalazione - ha riguardato un trattamento di dati personali effettuato da un hotel attraverso un sistema di videosorveglianza.

Il Nucleo speciale tutela privacy e frodi tecnologiche, su incarico del Garante, ha accertato che presso la struttura non era presente alcun cartello informativo relativo all’impianto di videosorveglianza.

Ciò - afferma il Garante - risulta in contrasto con quanto stabilito dall’art. 13 del Regolamento (UE) 2016/679, in base al quale il titolare è tenuto a fornire all’interessato, prima dell’inizio dei trattamenti, tutte le informazioni relative alle caratteristiche essenziali del trattamento.

La stessa Corte di Cassazione ha statuito che: "L'installazione di un impianto di videosorveglianza all'interno di un esercizio commerciale, costituendo trattamento di dati personali, deve formare oggetto di previa informativa, ex art. 13 del d.lgs. n. 196 del 2003, resa ai soggetti interessati prima che facciano accesso nell'area videosorvegliata, mediante supporto da collocare perciò fuori del raggio d'azione delle telecamere che consentono la raccolta delle immagini delle persone e danno così inizio al trattamento stesso". (Cass. 5 luglio 2016, n. 13663).

L’obbligo dell’informativa è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. art. 5, par. 1, lett. a) del Regolamento. Conseguentemente, il trattamento dei dati personali, effettuato dalla struttura alberghiera nel caso de quo attraverso il sistema di videosorveglianza, è stato ritenuto illecito in relazione agli artt. 5, par. 1, lett. a) e 13 del Regolamento e oggetto di sanzione amministrativa pecuniaria pari ad euro tremila, tenuto conto delle condizioni economiche del contravventore, determinate con riferimento al bilancio di esercizio.

Il caso affrontato ci ripropone un tema “classico” in materia di videosorveglianza: i c.d. cartelli informativi. Quest’ultimi sono stati trattati recentemente dall’European Data Protection Board con le linee Guida n.3/2019 sul trattamento dei dati personali attraverso dispositivi video.

Le linee guida introducono il concetto di informativa a più livelli. In particolare, l’EDPB prevede che: “alla luce della quantità di informazioni che devono essere fornite all’interessato, i titolari del trattamento possono seguire un approccio “a più livelli”, optando per una combinazione di metodi, al fine di rispettare il principio della trasparenza (WP 260, par. 35; WP 89, p. 22). Con riferimento alla videosorveglianza le informazioni più importanti potrebbero essere mostrate attraverso un cartello (primo livello), mentre le ulteriori informazioni obbligatorie potrebbero essere fornite con altri mezzi (secondo livello)”. (Linee guida Capitolo 7, § 109).

Proseguono, specificando che: “Il primo livello riguarda il modo in cui il Titolare del trattamento interagisce con l’interessato. In questa fase i Titolari possono usare un cartello di avvertimento contenente le informazioni di base.(vedi allegato). Quest’ultime possono essere fornite unitamente ad una icona al fine di fornire in maniera facilmente visibile, comprensibile e chiaramente leggibile, una panoramica significativa sul trattamento svolto (articolo 12 GDPR)”. (Capitolo 7.1, § 110).

È interessante notare come il fac-simile di cartello informativo proposto (primo livello), oltre a riportare i dati del titolare del trattamento e le finalità del sistema di videosorveglianza, contempli anche gli estremi del data protection officer, ove presente.

Videosorveglianza: il nuovo cartello predisposto dall'European Data Protectioon Board

Infine, le linee guida precisano come: “Le informazioni dovrebbero essere posizionate ad una distanza ragionevole rispetto ai luoghi ripresi (WP 89, p.22) di modo che l’interessato possa facilmente essere edotto sulla presenza dell’impianto di sorveglianza prima di farvi ingresso (all’incirca ad una altezza d’uomo).

Non è necessario specificare la precisa ubicazione dell’apparecchiatura di sorveglianza, purché non vi siano dubbi sull’area soggetta a ripresa e sul contesto della sorveglianza (WP 89, p.22). L’interessato deve essere in grado di stimare l’area oggetto di ripresa, affinché la possa evitare o acquisire un comportamento idoneo se necessario”. Capitolo 7.1, § 111

L’importanza del cartello informativo e la modalità di fruizione è stata ribadita recentemente anche dall’Autorità Garante nelle Faq sulla Videosorveglianza del dicembre 2020. Il Garante ha precisato che: “L’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB [vedi modello ] che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese).

L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza.

L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso).

Note Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Convenzione 108+, le novità sulla protezione dei dati a livello internazionale
Next Il mondo delle certificazioni ai sensi del Gdpr alla luce delle Faq del Garante Privacy e di Accredia

Umberto Rapetto: più tutelati con Gdpr ma non bisogna abbassare la guardia

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy