Le telecamere riprendevano aree in cui transitavano alunni minorenni: sanzionata una scuola
La vicenda trae origine da un incidente avvenuto all’interno di una scuola. Nell’ambito dell’azione promossa dai genitori dell’alunno ai fini della richiesta di risarcimento del danno alla società assicuratrice, è emerso che l’Istituto era in possesso di una registrazione video dell’episodio.
I genitori hanno inoltre appreso che il filmato in questione non era stato acquisito direttamente dal sistema di videosorveglianza, bensì mediante un telefono cellulare che ha ripreso lo schermo di un computer al momento della riproduzione del video. La coppia, per tramite del loro avvocato, si è quindi rivolta al Garante.
Nell’ambito dell’attività istruttoria, l’Autorità ha accertato che nell’istituto è presente un sistema di video sorveglianza formato da due videoregistratori digitali (DVR) che registrano le immagini riprese da complessive 38 telecamere che riprendono gli accessi in corrispondenza dei cancelli, il parcheggio esterno, i box dedicati al deposito di materiali, le scale esterne e i portoni di ingresso/uscita dall’istituto. I siti di installazione interni riguardano esclusivamente gli atri di accesso ai piani, e non sono riprese classi, corridoio di accesso alle classi o altre aree in cui si svolge in via continuativa attività didattica, mentre le immagini sono conservate per 8 giorni nel caso di un DVR, e per 14 giorni per l’altro, in funzione della capacità di memoria del disco di archiviazione.
Verificato ciò, il Garante ha rilevato che il sistema di videosorveglianza dell’Istituto ha comportato il trattamento di dati personali appartenenti anche a “persone fisiche vulnerabili”, ovvero gli studenti minorenni frequentanti l’Istituto, in quali meritano “una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.
Come in più occasioni evidenziato, il Garante ha ribadito che “l’eventuale installazione di sistemi di videosorveglianza presso le scuole deve garantire il diritto dello studente alla riservatezza".
"Può risultare ammissibile l’utilizzo di tali sistemi in casi di stretta indispensabilità, al fine di tutelare l’edificio e i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate. È inoltre necessario segnalare la presenza degli impianti con cartelli. Le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche. Se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato”.
La circostanza che classi e corridoi non fossero ripresi dal sistema TVCC è certamente priva di pregio, atteso che la vita di relazione degli studenti, e tra questi e gli insegnanti e altro personale in servizio, si svolge in tutti i luoghi della realtà scolastica, comprese le aree di transito, passaggio o stazionamento temporaneo. Inoltre, il trattamento di dati personali relativi a lavoratori, mediante telecamere di videosorveglianza idonee a riprendere anche il personale che transita o sosta nei luoghi di lavoro, può essere effettuato dal datore di lavoro se esso è necessario per la gestione del rapporto di lavoro, nel rispetto del quadro giuridico applicabile, definito dalla normativa nazionale ed euro unitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), e 88 del Regolamento).
In tale quadro, il datore di lavoro deve rispettare le norme nazionali di maggior tutela che regolano i trattamenti di dati personali nel contesto lavorativo (88, par. 2, del Regolamento, a cui fa rinvio l’art. 6, par. 2, del Regolamento). Occorre oltretutto sempre considerare l’effettiva natura d’interesse pubblico dell’attività educativa svolta dal Titolare (cfr. l’art. 6, par. 1, lett. f), ultimo periodo), in un contesto caratterizzato, peraltro, dalla presenza di minori, circostanza che rende più radicalmente illecito il trattamento. Nella vicenda in questione, erano sottoposte a videosorveglianza aree in cui potevano transitare o sostare gli alunni, con la conseguenza che necessariamente anche i docenti e il personale amministrativo, chiamati alla vigilanza sugli stessi, erano ripresi mentre svolgevano la propria attività lavorativa in tali aree.
Con particolare riferimento al video dal quale scaturisce la vicenda, lo stesso è stato visionato, oltre che dai genitori del ragazzo, da una docente e da una coordinatrice della scuola, e non è stato estratto dal supporto informatico per mancanza del tecnico addetto a tali operazioni, circostanza che ha reso necessario effettuare una ripresa dello schermo con un telefonino. Tenuto conto dell’illiceità del trattamento effettuato a monte mediante le telecamere di videosorveglianza in questione, e stante l’inutilizzabilità dei “dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati” (art. 2-decies del Codice), l’Autorità ha ritenuto illeciti anche questi successivi trattamenti. Infatti, il trattamento di dati personali per una finalità ulteriore rispetto a quella per i quali sono stati raccolti presuppone che la finalità di trattamento originaria sia lecita, circostanza, questa, che non ricorre nel caso di specie (cfr. artt. 5, par. 1, lett. b), e 6, par. 4, del Regolamento).
Secondo il Garante, il trattamento dei dati personali degli studenti, dei lavoratori e degli altri soggetti ripresi dall’istituto è stato effettuato in modo non conforme ai principi di “liceità, correttezza e trasparenza”, così come gli ulteriori trattamenti dei dati personali del figlio minore dei reclamanti, nonché in assenza di base giuridica. L’inesistenza, inoltre, di una valutazione d’impatto – necessaria anche per motivare le ragioni che hanno indotto l’Istituto a conservare le immagini fino a 14 giorni dalla loro registrazione, e quindi ben oltre le 72 ore – è circostanza altrettanto grave perché essa avrebbe consentito al Titolare di effettuare valutazioni più opportune, come elemento che concorre a definire la complessiva “necessità e proporzionalità dei trattamenti in relazione alle finalità” (art. 35, par. 7, lett. b), del Regolamento).
Il Garante (doc. web GPDP n. 10222864) ha quindi dichiarato l’illiceità del trattamento effettuato dall’Istituto per violazione degli artt. 5, par. 1, lett. a) e b), 6, 12, par. 1, 13, 35 e 88 del Regolamento, nonché 2-ter e 114 del Codice, condannandolo ad una sanzione di 12 mila euro.
