Diritti interna

Doveri interna

ricerca avanzata

Impianto di videosorveglianza presso un supermercato - 30 ottobre 2013 [2851973]

[doc. web n. 2851973]

Impianto di videosorveglianza presso un supermercato - 30 ottobre 2013

Registro dei provvedimenti
n. 483 del 30 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

ESAMINATA la documentazione in atti;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTO il provvedimento generale del Garante dell´8 aprile 2010, in materia di trattamento di dati personali effettuato tramite sistemi di videosorveglianza (G.U. n. 99 del 29 aprile 2010 e in www.garanteprivacy.it, doc. web n. 1712680);

VISTI il verbale di accertamento ispettivo del 12 luglio 2012 e il verbale di accertamento tecnico recante rilievi fotografici del 17 luglio 2012, redatti dal "Nucleo Speciale Privacy" della Guardia di finanza, concernenti il trattamento di dati personali effettuato mediante un impianto di videosorveglianza installato presso l´esercizio commerciale "Forte Hardiscount" di Trapani gestito da Meridi s.r.l. (di seguito, la società) dai quali emerge che:

- già in data 29 settembre 2011, rilevata la presenza – "senza […] alcuna autorizzazione" – di due "telecamere occultate all´interno di cassette per impianti elettrici [che] inquadravano le casse ed il banco salumi", il Servizio Ispettorato Provinciale del Lavoro di Trapani (con verbale del 10 ottobre 2011) aveva prescritto alla società la rimozione dell´"impianto audiovisivo e/o [di] altre apparecchiature dalle quali derivi anche la possibilità di controllo a distanza dell´attività dei lavoratori" (cfr. All 1, verbale 12 luglio 2012);

- a seguito dei sopralluoghi effettuati dalla Guardia di finanza presso il medesimo punto vendita è stata accertata la presenza di "due microcamere […] occultate all´interno di due scatole di derivazione elettrica, installate esternamente al punto vendita in modo da riprendere l´ingresso/uscita […] e l´accesso all´area di carico/scarico merci" (cfr. verbale cit., p. 2 e verbale contenente rilievi fotografici 17 luglio 2012);

- le microcamere sono risultate collegate ad un videoregistratore digitale "occultato nel controsoffitto dell´ingresso principale [e] collegato in rete per la trasmissione e visualizzazione delle immagini da remoto" (cfr. verbale 12 luglio cit., p. 3);

- le immagini registrate, secondo quanto dichiarato dal responsabile area vendite, sono conservate per 48 ore, decorse le quali il sistema "le cancella mediante operazioni di sovrascrittura" (cfr. verbale cit., p. 3), senza che siano state tuttavia indicate le ragioni di tale prolungata conservazione;

- il trattamento dei dati personali sarebbe effettuato a fini di "tutela del patrimonio" (cfr. verbale cit., p. 3);

- in relazione al menzionato trattamento di dati personali, la cui gestione avverrebbe "da remoto direttamente presso la sede legale della società", non sono state fornite le (richieste) indicazioni circa la designazione di eventuali responsabili e degli incaricati (cfr. verbale cit., p. 2 e 3);

- con riferimento alle modalità con le quali si è adempiuto all´obbligo di fornire l´informativa agli interessati ai sensi dell´art. 13 del Codice, in sede ispettiva si è dato conto della presenza di due cartelli, recanti un´informativa minima, "posizionati in maniera ben visibile […] sulla vetrata scorrevole di accesso al punto vendita e […] sulla porta dell´area di carico/scarico delle merci" (cfr. verbale cit., p. 2);

- non è stata fornita alcuna indicazione (pur richiesta) circa l´eventuale comunicazione a terzi delle immagini raccolte né relativamente all´eventuale osservanza dell´art. 4 della legge n. 300 del 1970;

VISTO che, a seguito degli accertamenti svolti, la società è risultata, ai sensi dell´art. 28 del Codice, titolare dei predetti trattamenti di dati personali;

CONSIDERATA la necessità di garantire un livello elevato di tutela dei diritti e delle libertà fondamentali nonché della dignità degli interessati rispetto al trattamento dei dati personali effettuato mediante l´utilizzo di sistemi di videosorveglianza (cfr. art. 2 del Codice);

CONSIDERATO che l´installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell´ordinamento civile e penale applicabili, comprese le vigenti norme in materia di controllo a distanza dei lavoratori;

RILEVATO che, allo stato degli atti, le telecamere sopra considerate risultano in grado di riprendere (e registrare) l´attività di quanti, ivi compresi i lavoratori nello svolgimento della propria attività, transitano o operano nelle aree interessate (con riguardo alla ripresa delle zona di carico/scarico merci cfr. Provv. 26 febbraio 2009, doc. web n. 1601522);

RILEVATO che il divieto di controllo a distanza dell´attività lavorativa – e con esso le garanzie previste dall´art. 4, comma 2, l. n. 300/1970 – non viene meno in ragione della circostanza che lo stesso possa essere discontinuo (cfr. Cass. 6 marzo 1986, n. 1490);

RILEVATO che all´esito dell´istruttoria non risultano essere state attivate le garanzie previste dalla disciplina in materia di controllo a distanza dei lavoratori, come richiesto dall´art. 4, comma 2, l. n. 300/1970 (richiamato dall´art. 114 del Codice) nonché in conformità con quanto stabilito dal Garante nel menzionato provvedimento generale in materia di videosorveglianza dell´8 aprile 2010, con particolare riferimento al par. 4.1 (cfr., tra i tanti, Provv.ti 5 settembre 2013, n. 385, doc web n. 2683203; 18 luglio 2013, n. 361, doc. web n. 2605290; 4 luglio 2013, n. 335, doc. web n. 2577227; 26 febbraio 2009, doc. web n. 1601522);

RITENUTO che, alla luce degli elementi sopra rappresentati, il descritto trattamento risulta effettuato dalla società in violazione della disciplina di protezione dei dati personali (art. 114 del Codice in relazione all´art. 4 della legge n. 300/1970, nonché art. 30 del medesimo Codice);

RILEVATO inoltre che il titolare del trattamento non risulta aver effettuato, ai sensi dell´art. 30 del Codice, la designazione a incaricati del trattamento dei dipendenti preposti alla visualizzazione delle immagini tratte dalle telecamere installate presso l´esercizio commerciale;

RITENUTO che la società dovrà pertanto provvedere a designare per iscritto i propri incaricati impartendo agli stessi le istruzioni per provvedere al trattamento dei dati personali, ai sensi dell´art. 30 del Codice;

CONSIDERATO che, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, il Garante può prescrivere anche d´ufficio le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti;

RITENUTO pertanto di dover prescrivere alla società, quali misure necessarie al fine di rendere il suddetto trattamento conforme alla disciplina in materia di protezione dei dati personali di:

a. attivare le procedure previste dall´art. 4, comma 2, della legge n. 300/1970, impregiudicati nel frattempo i diritti dei lavoratori (art. 11, comma 2 del Codice);

b. commisurare il tempo di conservazione delle immagini alle effettive necessità della raccolta nei termini previsti dal provvedimento generale dell´8 aprile 2010 (in particolare al punto 3.4);

RISERVATA la valutazione da parte dell´Autorità, con separato procedimento, della sussistenza di violazioni amministrative in capo al titolare del trattamento ai sensi dell´art. 162, comma 2 bis del Codice (con particolare riferimento alla violazione delle misure di sicurezza ex artt. 33 e ss. del Codice);

RILEVATO che, in caso di inosservanza del presente provvedimento, si renderà applicabile la sanzione di cui all´art. 162, comma 2-ter del Codice;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO, IL GARANTE

nei confronti di Meridi s.r.l., per il trattamento di dati personali effettuato a mezzo del sistema di videosorveglianza presso l´esercizio commerciale "Forte Hardiscount" di Trapani:

1. dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato a mezzo del sistema di videosorveglianza;

2. prescrive, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, senza ritardo, e comunque entro trenta giorni dal ricevimento del presente provvedimento, di:

a. attivare le procedure previste dall´art. 4, comma 2, della legge n. 300/1970, impregiudicati nel frattempo i diritti dei lavoratori;

b. designare per iscritto i propri incaricati ai sensi dell´art. 30 del Codice;

c. commisurare il tempo di conservazione delle immagini alle effettive necessità della raccolta nei termini previsti dal provvedimento generale dell´8 aprile 2010;

3. ai sensi dell´art. 157 del Codice, invita la società a dare comunicazione al Garante delle misure adottate entro 30 giorni dalla data di ricezione del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia