[doc. web n. 3500271]

Sistema di videosorveglianza all´interno di un bar - 18 settembre 2014

Registro dei provvedimenti
n. 412 del 18 settembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

ESAMINATA la documentazione in atti;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTO il provvedimento generale del Garante dell´8 aprile 2010, in materia di trattamento di dati personali effettuato tramite sistemi di videosorveglianza (G.U. n. 99 del 29 aprile 2010 e in www.garanteprivacy.it, doc. web n. 1712680);

VISTI i verbali di accertamento ispettivo del 14 e 19 maggio 2014  redatti dal "Nucleo Speciale Privacy" della Guardia di finanza, aventi ad oggetto il trattamento effettuato mediante un impianto di videosorveglianza installato presso il Ristorante Bar Barocco situato in Roma e gestito da Insaf s.r.l. (di seguito, la società), dai quali è emerso che:

- il menzionato sistema di videosorveglianza, installato "da circa sette o otto mesi" all´interno dell´esercizio commerciale per finalità "di tutela del patrimonio aziendale, ivi compresi i beni, i dipendenti ed i clienti", comprende quattro telecamere, due interne e due esterne al locale, un monitor posizionato nei pressi della cassa ed un registratore digitale, completo di relativo monitor di servizio, posto all´interno di un´apposita stanza (cfr. verbale 14.5.2014, p. 2 e 3);

- le immagini registrate dal predetto impianto, funzionante nell´arco delle 24 ore, sono conservate per sette giorni ed in seguito automaticamente sovrascritte (cfr. verbale cit., p. 2);

- l´accesso alle immagini registrate è consentito solo al legale rappresentante della società, per quanto quest´ultimo abbia dichiarato in sede ispettiva di "non vision[are] mai le immagini registrate e [di] non intervenire mai sul sistema di videosorveglianza" (cfr. verbale cit., p. 2 e 3);

- in prossimità dell´area videosorvegliata, esternamente al locale, sono stati rilevati tre cartelli informativi risultati sprovvisti dell´indicazione del titolare e delle finalità del trattamento, come invece previsto dalla disciplina in materia di protezione dei dati personali e dal provvedimento generale adottato dal Garante l´8 aprile 2010  (cfr. verbale cit., p. 3 e All. 4); in particolare tale profilo è stato oggetto di contestazione di violazione amministrativa da parte della Guardia di finanza con verbale del 19 maggio 2014;

- le telecamere riprendono aree ove si svolge l´attività dei dipendenti, come risultante dalla documentazione fotografica allegata (cfr. All. 1 e 2, verbale cit.);

- con riferimento alla conformità del sistema installato alla disciplina di settore in materia di controllo a distanza dei lavoratori, il legale rappresentante ha prodotto un documento datato 5.11.2013 e corredato "per accettazione" da 11 sottoscrizioni, con il quale "si comunica a tutti i dipendenti che all´interno del locale per motivi di sicurezza […] e per motivi di tutela del patrimonio aziendale […] sono state installate delle telecamere di videosorveglianza. I dati possono essere comunicati su richiesta dell´autorità giudiziaria, su richiesta dell´interessato previa verifica e accoglimento dell´istanza" (cfr. All. 1, verbale 19.5.2014);

VISTO che, a seguito degli accertamenti, la società è risultata essere titolare dei trattamenti di dati personali effettuati ai sensi dell´art. 28 del Codice;

CONSIDERATO che l´installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell´ordinamento civile e penale applicabili, comprese le vigenti norme in materia di controllo a distanza dei lavoratori;

RILEVATO che il divieto di controllo a distanza dell´attività lavorativa – e con esso le garanzie previste dall´art. 4, comma 2, l. n. 300/1970 – non viene meno per il fatto che i lavoratori siano al corrente dell´esistenza del sistema di videosorveglianza e del suo funzionamento (cfr. Cass., 18 febbraio 1983, n. 1236; Cass., sez. lav., 16 settembre 1997, n. 9211);

RILEVATO che in atti risulta un´informativa resa ai dipendenti (peraltro non a tutti) riguardante l´esistenza di un impianto di videosorveglianza;

RILEVATO che il sistema risulta idoneo a riprendere e registrare immagini riferite non solo alla clientela ma anche all´attività dei lavoratori che, nello svolgimento dei propri compiti, transitano o operano nelle aree interessate;

RILEVATO che non risultano essere state attivate le garanzie previste dalla disciplina in materia di controllo a distanza dei lavoratori, come richiesto dall´art. 4, comma 2, l. n. 300/1970 (richiamato dall´art. 114 del Codice);

RITENUTO pertanto che il descritto trattamento risulta effettuato dalla società in violazione della disciplina di protezione dei dati personali nonché della rilevante disciplina di settore (artt. 11, comma 1, lett. a) e 114 del Codice in relazione all´art. 4, comma 2, l. n. 300/1970);

RILEVATO che le immagini registrate risultano essere conservate per un periodo di sette giorni senza che il titolare del trattamento abbia rappresentato esigenze specifiche che renderebbero necessaria tale ulteriore conservazione dei dati rispetto ai termini ritenuti congrui, in applicazione del principio di proporzionalità, nel citato provvedimento generale in materia di videosorveglianza dell´8 aprile 2010 (cfr. in particolare punto 3.4);

CONSIDERATO che, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice il Garante può prescrivere anche d´ufficio le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti;

RITENUTO pertanto, impregiudicati gli esiti del procedimento avviato con verbale di contestazione di violazione amministrativa n. 27 del 19 maggio 2014, di dover prescrivere alla società, quali misure necessarie al fine di rendere il suddetto trattamento conforme alla disciplina in materia di protezione dei dati personali, di:

- attivare le procedure previste dal richiamato art. 4, comma 2, l. n. 300/1970, fatti salvi nel frattempo i diritti dei lavoratori;

- commisurare il tempo di conservazione delle immagini alle effettive necessità della raccolta nei termini previsti dal provvedimento generale dell´8 aprile 2010;

- integrare l´informativa semplificata da rendere agli interessati con gli elementi indicati dal provvedimento generale dell´8 aprile 2010 (con particolare riferimento alla finalità e alla titolarità del trattamento);

RILEVATO che, in caso di inosservanza del presente provvedimento, si renderà applicabile la sanzione di cui all´art. 162, comma 2-ter del Codice;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO, IL GARANTE

nei confronti di Insaf s.r.l. con riferimento al trattamento effettuato presso l´esercizio commerciale Ristorante Bar Barocco sito in via Napoli n. 45/48 in Roma:

1. dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato a mezzo del sistema di videosorveglianza;

2. prescrive, ai sensi dell´art. 154, comma 1, lett. c) e 143, comma 1, lett. b) del Codice, di procedere senza ritardo, e comunque entro e non oltre 30 giorni dal ricevimento del presente provvedimento, a:

- attivare le procedure previste dall´art. 4, comma 2, l. n. 300/1970, fatti salvi nel frattempo i diritti dei lavoratori;

- commisurare il tempo di conservazione delle immagini alle effettive necessità della raccolta nei termini previsti dal provvedimento generale dell´8 aprile 2010;

- integrare l´informativa semplificata da rendere agli interessati con gli elementi indicati dal provvedimento generale dell´8 aprile 2010 (con particolare riferimento alla finalità e alla titolarità del trattamento);

3. ai sensi dell´art. 157 del Codice, invita la società a dare comunicazione al Garante delle misure adottate entro 40 giorni dalla data di ricezione del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 settembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia