Videosorveglianza e tutela dei dati personali
Il consenso del lavoratore non solleva il Comune dal rispetto della normativa in tema di trattamento dei dati personali
Il Garante per la protezione dei dati personali, con provvedimento n. 578 del 16 novembre 2023, ha ordinato ad un Comune il pagamento della somma di euro 50.000, a titolo di sanzione amministrativa pecuniaria per la violazione degli articoli 5, par. 1, lett. a) ed e), 6, 12, 13, 35 e 88 del Regolamento (UE) Generale sulla protezione dei dati personali (G.D.P.R.) n. 679/2016, nonché 2-ter, 113 e 114 del d.lgs. n. 196/2003 (Codice Privacy), rispettivamente in relazione agli articoli 8 e 4, comma 1, della l. n. 300/1970 (cd. “Statuto dei lavoratori”), disponendo, altresì, a titolo di sanzione accessoria, la pubblicazione del provvedimento sul sito web.
L’intervento del Garante Privacy era stato sollecitato da un reclamo, ai sensi dell’art. 77 del Regolamento n. 679/2016, con cui un Vice Commissario della Polizia locale segnalava al Garante Privacy l’installazione di una telecamera posta all’interno di un Comando di Polizia locale (diverso da quello dell’ente di propria appartenenza), prospiciente il front-office.
In riscontro a una richiesta d’informazioni del Garante, il Comune, presso il cui Comando era stata installata la telecamera, dichiarava che:
“il trattamento dei dati personali delle immagini di videosorveglianza si è reso necessario per: l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Comune, in qualità il titolare del trattamento. In particolare, l’utilizzo della telecamera era finalizzato alla: sicurezza degli operatori di Polizia Locale presenti all’interno dell’ufficio nonché alla tutela del patrimonio pubblico in caso di intrusione abusiva, considerato che la porta di ingresso è una comunissima porta antipanico vetrata e non blindata e che all’interno dell’ufficio, sono presenti nr. 7 pistole d’ordinanza”;
“la telecamera, posta all’interno del Comando di Polizia locale, rivolta verso il front office, ha una visuale di 90 gradi. Quest’ultima telecamera, successivamente rimossa, oltre alle immagini acquisiva anche l’audio”;
“il tempo di conservazione delle immagini registrate è, secondo le regole generali, di 7 giorni, al termine dei quali vi è la cancellazione automatica. Tuttavia, l’ulteriore conservazione dei dati personali è ammessa qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria. Nel caso di specie, conseguentemente, non vi è stata alcuna violazione del principio di limitazione della conservazione dei dati personali, sussistendo i presupposti per una conservazione ulteriore al termine di 7 giorni”;
“all’epoca, non vi fu accordo sindacale specifico per la telecamera in questione poiché: la richiesta di inserimento di tale telecamera avvenne da parte degli appartenenti il Comando di Polizia locale, i quali ritenevano l’installazione della suddetta telecamera una sorta di sicurezza personale. Il consenso dei lavoratori, nel caso di specie, ha costituito il presupposto per l’installazione delle telecamere che, nel tempo, e fino alla data di disattivazione, hanno generato sicurezza nella gestione del rapporto di lavoro”;
“era stata posizionata cartellonistica sulla porta all’ingresso dello stabile, posto al piano terra, dell’Ufficio di Polizia Locale, così come sulla porta d’entrata dell’ufficio di Polizia Locale, posto al primo piano”;
“la telecamera di sorveglianza è stata poi rimossa e non fa più parte dell’impianto di video sorveglianza cittadina. Le immagini e audio di videosorveglianza che riguardano il reclamante non sono più trattate, essendo state eliminate”.
In riscontro a un’ulteriore richiesta d’informazioni del Garante, il medesimo Comune, dichiarava che:
“la telecamera, posta all’interno del Comando di Polizia locale, rivolta verso il front-office, è stata installata e messa in funzione tra gennaio XX e marzo XX. L’installazione è avvenuta a seguito di incarico alla ditta esecutrice mediante l’assunzione della determinazione di acquisto nr. XX del XX […]”;
“l’ente aveva ritenuto di non essere assoggettato alla valutazione di impatto in relazione alla circostanza che: a) l’impianto da realizzare avrebbe assorbito le telecamere del precedente impianto, di cui si presupponeva la regolarità; b) il capitolato speciale d’appalto […] vincola l’affidatario alla garanzia della riservatezza dei dati, all’applicazione della normativa sul trattamento, alla protezione dei dati medesimi […] e alla formazione del personale […]”.
Le violazioni al Regolamento (UE) sulla protezione dei dati personali (G.D.P.R.)
Il Garante, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articoli 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni:
- degli articoli. 5, par. 1, lett. a), 6 e 88 del Regolamento, nonché 114 del Codice Privacy (in relazione all’articolo 4, comma 1, della l. n. 300/1970), per aver installato nei locali del Comando di Polizia locale una telecamera di videosorveglianza, dotata anche di funzionalità di registrazione dell’audio, in assenza delle procedure di garanzia richieste dalla legge (accordo sindacale o autorizzazione pubblica);
- degli articoli 5, par. 1, lett. a), 6 e 88 del Regolamento, nonché 113 del Codice Privacy (in relazione agli articoli 8 della l. n. 300/1970 e 10 del d.lgs. n. 276/2003), per aver raccolto e trattato le registrazioni audio acquisite mediante la predetta telecamera, in assenza di idonei presupposti giuridici, con la conseguente possibilità per il datore di lavoro di acquisire, nel corso dello svolgimento del rapporto di lavoro, informazioni sulle opinioni, relazioni o vicende afferenti alla vita privata dei lavoratori;
- degli articoli 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice Privacy (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo), per aver comunicato i dati personali del reclamante, contenuti nella predetta registrazione audio-video, ad altro ente, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica;
- degli articoli 5, par. 1, lett. a), 12 e 13 del Regolamento, per non aver adeguatamente informato gli interessati in merito al trattamento di dati personali posto in essere mediante la predetta telecamera di videosorveglianza;
- dell’articolo 5, par. 1, lett. e), del Regolamento, per aver conservato la registrazione audio-video oggetto di reclamo oltre il termine di conservazione stabilito dal Comune;
- dell’articolo 35 del Regolamento, per non aver redatto una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento di dati personali mediante la predetta telecamera di videosorveglianza.
La disciplina in materia di protezione dei dati personali
In base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento) dei lavoratori se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, parr. 1, lett. e), 2 e 3 del Regolamento; 2-ter del Codice, nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente all’epoca dei fatti oggetto di reclamo).
Il datore di lavoro deve, inoltre, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (articoli 6, par. 2, e 88, par. 2, del Regolamento).
Sul punto il Codice Privacy, confermando l’impianto anteriore alle modifiche apportate dal d.lgs. 10 agosto 2018, n. 101, fa espresso rinvio alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”).
Per effetto di tale rinvio, e tenuto conto dell’articolo 88, par. 2, del Regolamento, l’osservanza degli articoli 4 e 8 della l. n. 300/1970 e dell’art. 10 del d.lgs. n. 297/2003 (nei casi in cui ne ricorrono i presupposti) costituisce una condizione di liceità del trattamento.
Tali norme costituiscono nell’ordinamento interno, quelle disposizioni più specifiche e di maggiore garanzia di cui all’articolo 88 del Regolamento la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione determina anche l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d), del Regolamento.
Sulla base di un orientamento del Garante ormai consolidato, le garanzie dello “Statuto dei lavoratori” trovano, peraltro, sempre applicazione, fatto salvo quanto disposto altrimenti dalle specifiche disposizioni di settore (combinato disposto articolo 37 della l. 300/1970 e articoli 3, 42 e 51, comma 2, del d.lgs. 165/2001; v. anche Consiglio di Stato, sentenza n. 708 del 12 luglio 1990; Sez. V, n. 95 del 23 gennaio 1995, in base alle quali le norme della l. n. 300/1970 si applicano ai dipendenti pubblici nel caso in cui manchi del tutto la disciplina relativa al caso di specie nell’ambito dell’ordinamento interno dell’ente).
In base alla disciplina di protezione dei dati, i soggetti pubblici possono trattare dati personali se il trattamento è necessario, in particolare, “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (articolo 6, par. 1, lett. c) ed e) del Regolamento).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (articolo 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di comunicazione di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (v. articolo 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).
Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (articolo 12 del Regolamento).
Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di primo livello, mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; v. anche la FAQ n. 4 del Garante in materia di videosorveglianza, doc. web n.9496574).
Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., spec. par. 114, che forniscono anche un modello esemplificativo di cartello con l’informativo di primo livello).
La segnaletica di avvertimento di primo livello deve, inoltre, contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.
Ai sensi dell’articolo 35 del Regolamento, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.
In attuazione del principio di “responsabilizzazione” (cfr. articolo 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 del Regolamento).
In base al principio di “limitazione della conservazione”, i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), del Regolamento).
Il mancato rispetto della disciplina in materia di controlli a distanza
Sulla base di quanto è emerso nel corso dell’istruttoria, è stato accertato che il Comune, nel periodo intercorrente tra i mesi di gennaio/marzo XX e il 31 ottobre XX, ha installato e messo in funzione all’interno dei locali del Comando di Polizia locale una telecamera di videosorveglianza, senza aver previamente esperito le procedure di garanzia di cui all’articolo 4, comma 1, della l. 300/1970 (“Statuto dei lavoratori”).
A tal riguardo, si evidenzia che le esigenze di sicurezza, pure invocate dal Comune, non possono di per sé sole, in base al quadro normativo sopra delineato, legittimare il trattamento dei dati personali mediante strumenti dai quali può derivare anche la possibilità di controllo a distanza dei lavoratori, come la telecamera di videosorveglianza in questione, in assenza delle garanzie previste dall’articolo 4, comma 1, l. n. 300/1970.
Sul punto, anche la giurisprudenza della Corte europea dei diritti dell’uomo ha stabilito che il rispetto della “vita privata” deve essere esteso anche ai luoghi di lavoro pubblici (nel caso di specie, le aule universitarie), evidenziando che la videosorveglianza sul posto di lavoro pubblico può essere giustificata solo nel rispetto delle garanzie previste dalla legge nazionale applicabile, in mancanza delle quali costituisce un’interferenza illecita nella vita privata del dipendente, ai sensi dell’articolo 8, par. 2, della Convenzione Europea dei Diritti dell’Uomo.
Pertanto, il rispetto del citato articolo 4, comma 1, anche per effetto del rinvio ad esso contenuto nell’articolo 114 del Codice Privacy, costituisce condizione di liceità del trattamento dei dati personali (cfr., da ultimo, con riguardo al ricorso alla videosorveglianza sui luoghi di lavoro, provvedimenti 16 settembre 2021, n. 331, doc. web n. 9719768; 11 marzo 2021, n. 90, doc. web n. 9582791; 5 marzo 2020. n. 53, doc. web n.9433080; 19 settembre 2019, n. 167, doc. web n. 9147290; v., a livello europeo, le indicazioni contenute nelle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati del 29 gennaio 2020, spec. par. 11, nonché le precedenti indicazioni del Gruppo di Lavoro Articolo 29 nel “Parere 2/2017 sul trattamento dei dati sul posto di lavoro”, WP 249; in giurisprudenza, v. Cass. pen., sez. 3, 17 dicembre 2019, n. 50919; Cass. civ., sez. 1, 19 settembre 2016, n. 18302).
Né è idonea a far venir meno l’obbligo di conformarsi alla richiamata disciplina la circostanza, rappresentata dal Comune, che i lavoratori in servizio presso il Comando della Polizia locale avessero prestato il proprio consenso all’installazione della telecamera in questione.
Al riguardo si fa presente che il consenso, stante la asimmetria contrattuale connaturata dal rapporto di lavoro, non costituisce di regola un’idonea base giuridica per i trattamenti di dati personali in ambito lavorativo (v., tra gli altri, provvedimenti 28 ottobre 2021, n. 384, doc. web n. 9722661 e 13 dicembre 2018, n. 500, doc. web n. 9068983, punto 3.1.; con specifico riferimento alla videosorveglianza v. provvedimenti 4 luglio 2013, n. 336, doc. web n. 2578071 e 18 luglio 2013, n. 361, doc. web n.2605290; v. anche Comitato per la protezione dei dati, “Linee Guida sul consenso ai sensi del Regolamento UE 2016/679”, WP 259, del 4 maggio 2020, par.3.1.1, nonché “Parere 2/2017 sul trattamento dei dati sul posto di lavoro”, adottato dal Gruppo di lavoro art. 29 in data 8 giugno 2017, WP 249).
Tale considerazione è valida anche con riguardo ai trattamenti posti in essere da soggetti pubblici, circostanza che, pure, ricorre nel caso di specie (cfr. cons. 43 del Regolamento).
Peraltro, la giurisprudenza di legittimità ha più volte ritenuto che l’articolo 4 della l. n. 300 del 1970 “tutela interessi di carattere collettivo e superindividuale” e, pertanto, anche il consenso, eventualmente prestato dai singoli lavoratori all’installazione di impianti, non è equivalente alla necessaria attivazione della procedura con le rappresentanze dei dipendenti o, in mancanza, all’autorizzazione pubblica non potendo essere sufficiente a scriminare la condotta vietata e penalmente sanzionata (v. Cass., sez. 3 penale, sentenza 17 gennaio 2020, n. 1733 e precedenti pronunce ivi richiamate; cfr. provvedimento 16 settembre 2021, n. 331, cit.).
In ragione delle considerazioni che precedono, il trattamento dei dati personali effettuato mediante la predetta telecamera risulta essere stato effettuato in contrasto con la normativa in materia di protezione dei dati personali e con la disciplina di settore in materia di controlli a distanza, in assenza delle procedure di garanzia richieste dalla legge nazionale applicabile, che ne costituisce la base giuridica (sotto tale profilo, ancorché con riferimento all’impiego di diversi sistemi nel contesto lavorativo, v. provvedimento 1° dicembre 2022, n. 409, doc web n. 9833530, spec. parr. 3.4 e 3.5).
La telecamera di videosorveglianza in questione, catturando in via generalizzata l’audio e il video di qualsiasi evento occorso all’interno dell’area di ripresa nel Comando della Polizia locale del Comune, ha, pertanto, comportato il trattamento di dati personali relativi ai lavoratori e ad altri interessati (ad esempio, visitatori, utenti, fornitori, cittadini e altre categorie di interessati), in maniera non conforme al “principio di liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli articoli 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice (in relazione all’articolo 4, comma 1, della l. n. 300/1970).
La raccolta di dati non attinenti all’attività lavorativa: le registrazioni audio
Il Comune ha confermato, nel corso dell’istruttoria, che la telecamera di videosorveglianza installata presso il Comando della Polizia locale registrava anche il segnale audio.
Fin dal 1970, al datore di lavoro, pubblico e privato, è fatto divieto di “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” (v. articolo 8 della l. n. 300/1970 e articolo 10 del d.lgs. 10 settembre 2003, n. 276, richiamati espressamente dall’articolo 113 del Codice Privacy).
Sul presupposto che la linea di confine tra ambito lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto e che, pertanto, non può essere prefigurato il completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, la Corte europea dei diritti dell’uomo ha nel tempo confermato che la protezione della vita privata si estende anche all’ambito lavorativo, ove si svolgono le relazioni della persona che lavora.
Tale tutela va assicurata, più in generale, a tutte le conversazioni private, che sono assistite dalle più elevate garanzie sul piano costituzionale (articolo 21 Cost.).
La sproporzione del trattamento che consiste dell’acquisizione dell’audio sussiste, peraltro, di regola, nel più generale contesto dell’impiego di qualsiasi dispositivo video, anche al di fuori del contesto lavorativo (v. le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 129, ove si afferma che “le soluzioni individuate non dovrebbero prevedere funzioni non necessarie (ad esempio, movimento illimitato delle telecamere, capacità di zoom, radiotrasmissione, analisi e registrazioni audio). Le funzioni fornite, ma non necessarie, devono essere disattivate”).
Nel caso di specie, la generalizzata raccolta e la conservazione di registrazioni audio sul luogo di lavoro, attraverso una telecamera di videosorveglianza, in assenza di idonei presupposti giuridici e di chiare indicazioni e informazioni rese ai lavoratori, ha comportato la possibilità per il datore di lavoro di acquisire, nel corso dello svolgimento del rapporto di lavoro, informazioni sulle opinioni, relazioni o vicende afferenti alla vita privata dei lavoratori in servizio presso il Comando di Polizia locale o su fatti comunque non rilevanti ai fini della valutazione dell’attitudine professionale, oggetto di conversazione tra gli stessi dipendenti e tra questi e soggetti terzi (ad esempio, utenti, visitatori, fornitori, familiari, ecc.).
Per tali ragioni, la condotta del Comune è risultata, altresì, in contrasto con le disposizioni nazionali che vietano al datore di lavoro di acquisire (e comunque “trattare”) informazioni che “non [siano] rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” o comunque relative alla sfera privata degli interessati, in violazione degli articoli 5, par. 1, lett. a), 6 e 88, del Regolamento, nonché 113 del Codice (in relazione agli articolo 8 della l. n. 300/1970 e 10 del d.lgs. n. 276/2003).
La mancanza di trasparenza nei confronti degli interessati
Nel corso dell’istruttoria, il Comune ha dichiarato che “era stata posizionata cartellonistica […] sulla porta all’ingresso dello stabile, posto al piano terra, dell’Ufficio di Polizia Locale, così come sulla porta d’entrata dell’ufficio di Polizia locale, posto al primo piano”, allegando copia della stessa.
Al riguardo, è stato osservato che l’informativa di primo livello sul trattamento dei dati personali, riportata in tale cartellonistica, non era conforme ai requisiti previsti dalla normativa in materia di protezione dei dati.
Premesso che non è più attuale il richiamo all’articolo 13 del Codice, abrogato dal d.lgs. 10 agosto 2018, n. 101, l’informativa in questione era sprovvista di riferimenti all’identità e ai dati di contatto del titolare del trattamento e del responsabile della protezione dei dati da questi designato (articolo 13, par. 1, lett. a) e b), del Regolamento); al periodo di conservazione dei dati (articolo 13, par. 2, lett. a), del Regolamento); ai diritti degli interessati e alle modalità per esercitare gli stessi (articolo 13, par. 2, lett. b), del Regolamento).
L’informativa di primo livello difettava, altresì, di ogni riferimento alla registrazione dell’audio, non essendo stata, pertanto, fornita agli interessati un’“informazione sugli impatti più consistenti del trattamento” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., spec. par. 114), esponendo gli stessi all’elevato rischio che informazioni di natura privata o di carattere confidenziale venissero acquisite dal Comune, senza che gli interessati ne avessero consapevolezza.
Inoltre, tale cartello non conteneva alcuna informazione in merito alle modalità con le quali gli interessati (ovvero tutti i soggetti, compresi i visitatori, ripresi dalla telecamera di videosorveglianza in questione) avrebbero potuto ricevere un’informativa completa, di secondo livello, sul trattamento dei propri dati (v. parr. 117-119 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit.).
Non è emerso dagli atti che il Comune abbia provveduto a redigere tale informativa di secondo livello e portarla a conoscenza degli interessati, ad esempio mediante pubblicazione della stessa sul sito web istituzionale del Comune.
Anche con specifico riguardo al trattamento dei dati personali dei lavoratori in servizio presso il Comando di Polizia locale, il Comune non ha comprovato nel corso dell’istruttoria di aver fornito loro un’informativa relativa al trattamento dei dati personali effettuato, mediante la telecamera in questione, per le finalità di cui all’art. 4, comma 1, della l. 300/1970.
Il Comune ha, pertanto, agito in maniera non conforme al “principio di liceità, correttezza e trasparenza” e in violazione degli articoli 5, par. 1, lett. a), 12 e 13 del Regolamento.
La mancata redazione di una valutazione d’impatto sulla protezione dei dati
In attuazione del principio di “responsabilizzazione” (cfr. articolo 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali ai sensi dell’articolo 35 del Regolamento (cfr. cons. 90 del Regolamento).
Nel caso di specie, il trattamento delle registrazioni audio-video, mediante la predetta telecamera di videosorveglianza, è stato effettuato anche in assenza di una preliminare valutazione d’impatto sulla protezione dei dati.
Tenuto conto delle indicazioni fornite anche a livello europeo sul punto, si rileva, invece, che il trattamento in questione, comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo (articolo 35 del Regolamento).
Tanto in considerazione della particolare “vulnerabilità” degli interessati nel contesto lavorativo (cfr. cons. 75 e art. 88 del Regolamento e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti”) e del fatto che in tale ambito l’impiego di sistemi che comportano il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (cfr. criterio n. 3 indicato nelle Linee guida, cit., ma vedi anche criteri 4 e 7), può presentare rischi in termini di possibile monitoraggio dell’attività dei dipendenti (cfr. articoli 35 e 88, par. 2, del Regolamento; v. anche provvedimento 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1, che espressamente menziona i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”; v., tra gli altri, provvedimento 1° dicembre 2022, n. 409, doc. web n. 9833530).
Nel caso di specie, il Comune ha, invece, trattato i dati personali dei lavoratori in servizio presso il Comando di Polizia locale, mediante la telecamera di videosorveglianza in questione, nel periodo tra il 25 maggio XX (data in cui il Regolamento è diventato efficace) e il 31 ottobre XX (data in cui tale telecamera è stata disinstallata), in assenza di una preliminare valutazione d’impatto sulla protezione dei dati e, pertanto, in violazione dell’art. 35 del Regolamento.
La violazione del principio di limitazione della conservazione dei dati
La registrazione presso i locali del Comando della Polizia di locale è stata conservata ben oltre il termine di sette giorni che, in base al principio di responsabilizzazione, era stato stabilito dal Comune stesso per il perseguimento di finalità di sicurezza.
Il Comune ha, pertanto, agito in maniera non conforme al principio di “limitazione della conservazione”, in violazione dell’articolo 5, par. 1, lett. e), del Regolamento.
L’adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie
Il Garante Privacy – rilevata l’illiceità del trattamento di dati personali effettuato dal Comune, per aver posto in essere un trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a) ed e), 6, 12, 13, 35 e 88 del Regolamento (UE) sulla protezione dei dati personali, nonché 2-ter, 113 e 114 del Codice Privacy (rispettivamente in relazione agli artt. 8 e 4, comma 1, della l. n. 300/1970), nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo – ha ordinato al Comune di pagare la somma complessiva di euro 50.000 (cinquantamila) a titolo di sanzione amministrativa pecuniaria, disponendo, altresì, a titolo di sanzione accessoria, la pubblicazione del provvedimento sul sito web.
