[doc. web n. 10127915]

Provvedimento del 13 marzo 2025

Registro dei provvedimenti
n. 136 del 13 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il verbale trasmesso in data 14.5.2024 dalla Guardia di finanza di Roma – Nucleo speciale tutela privacy e frodi tecnologiche con cui è stata accertata la presenza di un impianto di videosorveglianza all’esterno della sede legale della società Morganti s.n.c. di Morganti Andrea & C., costituito da 2 telecamere funzionanti idonee a riprendere aree di proprietà di soggetti terzi;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo pervenuto il 24.10.2023, veniva segnalata a questa Autorità l’installazione, presso la società Morganti s.n.c. di Morganti Andrea & C. (di seguito, la “Società”), con sede in Senigallia, lungomare Goffredo Mameli 226, esercente l’attività di alberghi, di un impianto di videosorveglianza non conforme alle norme in materia di protezione dei dati personali, in quanto le telecamere, posizionate all’esterno della società sarebbero state idonee ad inquadrare aree diverse da quelle di esclusiva pertinenza della società e, in particolare, aree comuni (cortili, pianerottoli, scale, parti comuni e condominiali) e zone di pertinenza di soggetti terzi (in particolare, aree di pertinenza dei sig.ri XX e XX).

Veniva altresì segnalato che i cartelli informativi della presenza delle telecamere non avrebbero riportato i dati identificativi del titolare del trattamento né le finalità dello stesso.

A seguito di richiesta da parte dell’Ufficio, con nota del 14.5.24, la Guardia di finanza di Roma – Nucleo speciale tutela privacy e frodi tecnologiche trasmetteva a questa Autorità il verbale del controllo effettuato, in data 23.4.2024, presso gli uffici della sede legale della società Morganti s.n.c. di Morganti Andrea & C. -  nonché sede dell’hotel dei Galli dalla stessa gestito - con cui veniva accertata la presenza, all’esterno dei locali della suddetta struttura, di un impianto di videosorveglianza costituito da 2 telecamere funzionanti poste rispettivamente una “su un palo nell’area di parcheggio a ripresa dell’accesso antistante la sbarra di ingresso” e un’altra “sul muro dell’hotel a ripresa del parcheggio”.

Il verbale riferiva la presenza di “4 cartelli informativi collocati rispettivamente prima, in corrispondenza della telecamera posta a ripresa della sbarra d’ingresso, sulla porta d’ingresso dell’hotel e nella bacheca affissa nella hall” e che “i due cartelli esterni riportano l’indicazione del titolare del trattamento Morganti s.n.c., del referente Pierluca Cecilia, dell’e-mail di contatto, delle finalità di tutela del patrimonio aziendale, dei tempi di conservazione delle immagini di 24 ore con sovrascrittura automatica nonché dei diritti dell’interessato ai sensi dell’art. 15 del GDPR”.

In merito all’angolo di visuale, il verbale riferisce che “relativamente alla specifica telecamera oggetto di reclamo, le immagini riprese coinvolgono parzialmente la porta d’ingresso dei reclamanti” e che “le immagini consentono una sommaria definizione dei soggetti ripresi anche attraverso l’eventuale utilizzo della funzione di zoom”.

2. L’avvio del procedimento.

L’Ufficio, pertanto, sulla base degli accertamenti eseguiti, di cui al predetto verbale, provvedeva a notificare alla Morganti s.n.c. di Morganti Andrea & C. l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 5, par. 1, lett, a) e 6 del Regolamento (nota del 26.08.2024, prot. n.100943).

Con nota del 26.09.2024, la Società, in persona dei sig.ri Andrea Morganti e Liviana Morganti, inviava al Garante memorie difensive - producendo documentazione fotografica a sostegno delle dichiarazioni rese - in relazione al procedimento sanzionatorio a suo carico, dichiarando:

che “le immagini contestate, ovvero, il tratto di strada ripreso dalla videocamera oggetto di reclamo, è sottoposto a servitù perpetua di passaggio (…). In ragione di tale diritto reale, antecedente e conosciuto da controparte, veniva installata una telecamera che registrava solo in caso di passaggio per 8 secondi (il minimo permesso dal sistema). Si specifica che la telecamera non riprendeva in ogni caso l’accesso alla casa dei reclamanti, ma, eventualmente, per metà altezza e senza una definizione idonea a una eventuale identificazione di un corpo, l’accesso esterno al condominio che, inevitabilmente, insiste sulla strada in oggetto, come riportato anche dalla Guardia di Finanza”;

che le telecamere oggetto di segnalazione erano programmate al fine di registrare solo “in presenza della rilevazione di un movimento”, ritenendo, “dal punto di vista della conservazione e dell’inquadratura, di aver fatto il possibile per rispettare i diritti di tutti i soggetti coinvolti nel trattamento. Oltretutto, come già detto dalla Guardia di finanza, le immagini non hanno una definizione tale, anche se si utilizza lo zoom, da permettere di riconoscere singole persone fisiche che accedono allo stabile, dentro il quale vi è anche la proprietà degli interessati, essendo comunque ripresi da una certa distanza”;

“di aver adottato i migliori accorgimenti possibili per riuscire a garantire la verifica dell’accesso dell’hotel senza riprendere lo spazio privato”;

di aver provveduto a “rimuovere integralmente le due vecchie telecamere e a installare un nuovo sistema di videosorveglianza con due telecamere che monitorano punti diversi, totalmente interni alla proprietà” della Società. In particolare, “si è deciso di cambiare le telecamere, di spostare il loro posizionamento e investire in una nuova tecnologia che permetta anche il c.d. crop delle immagini. Tale scelta tecnica è stata adottata perché, per la conformità geografica dei luoghi e la posizione degli stabili, risulta particolarmente complicato non riprendere porzioni di altri immobili. A ogni modo, la parte oscurata con crop corrisponde a uno spazio esterno utilizzato solitamente come posto auto e non riferito ai reclamanti. Nonostante, quindi, si tratti di una area assolutamente non “critica”, si è comunque deciso, nel rispetto della normativa e per maggior tutela degli interessati, di oscurare di default quella zona investendo, appunto, nella tecnologia crop”.

3. Il quadro giuridico del trattamento effettuato.

Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, si rileva come tale trattamento debba essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento.

In particolare, sulla base alle disposizioni del provvedimento generale in materia di videosorveglianza dell’8 aprile del 2010, nel caso di ripresa di aree esterne ad edifici ed immobili, il trattamento deve avvenire “con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando la ripresa di luoghi circostanti e di particolari non rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)” (si veda, in particolare, il punto 6.2.2.1 del provvedimento).

Analogamente le già citate Linee Guida n. 3/2019 prevedono che, “in generale, la necessità di utilizzare la videosorveglianza per proteggere i locali del Titolare finisce ai confini della proprietà, tuttavia, per una protezione efficace, in alcuni casi potrebbe essere necessario estendere la videosorveglianza nelle immediate vicinanze dei locali. In questo contesto, il Titolare dovrebbe prendere in considerazione mezzi fisici e tecnici, come ad esempio bloccare o pixelare aree non rilevanti” (3.1.2 par. 27).  

4. L’esito dell’istruttoria e del procedimento sanzionatorio.

Sulla base del verbale di accertamento redatto dalla la Guardia di finanza di Roma – Nucleo speciale tutela privacy e frodi tecnologiche è emerso che l’impianto di videosorveglianza, installato all’esterno dell’hotel dei Galli gestito dalla Morganti s.n.c. di Morganti Andrea & C., con sede in Senigallia, via Mameli 226, era attivo e funzionante e le telecamere erano idonee a riprendere anche aree di pertinenza di soggetti terzi ed in particolare “la porta d’ingresso dei reclamanti”.

Tale condotta si pone in violazione dei principi generali di cui all’art. 5, par. 1, lett. a) del Regolamento in ragione del mancato rispetto delle citate prescrizioni di cui al provvedimento generale in materia di videosorveglianza; inoltre il relativo trattamento risulta effettuato in violazione dell’art. 6 del Regolamento in quanto privo di base giuridica.

5. Conclusioni: dichiarazione di illiceità del trattamento.

Alla luce di quanto complessivamente rilevato, l’Autorità rileva l’illiceità del trattamento effettuato in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.

OMISSIS

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato dalla Morganti s.n.c. di Morganti Andrea & C., P.I. 01295170425, attraverso l’utilizzo del sistema di videosorveglianza installato presso la sede della suddetta società e sede dell’Hotel dei Galli dalla stessa gestito, sita in Senigallia (AN), lungomare Goffredo Mameli 226, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento;

OMISSIS

DISPONE

OMISSIS

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 marzo 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei