L’uso della videosorveglianza è sempre più diffuso in ambito aziendale e privato, ma la conformità alle normative sulla protezione dei dati personali è spesso trascurata. Il Garante per la Privacy, con il provvedimento n. 772/2024, ha sanzionato un’azienda per gravi violazioni nel trattamento delle immagini raccolte.
Questa vicenda offre un’occasione per chiarire gli obblighi di conformità e le buone pratiche per evitare sanzioni. Vediamo i punti fondamentali della decisione e le implicazioni per aziende e privati.
Le violazioni accertate dal Garante: cosa è andato storto?
L’azienda sanzionata aveva installato un sistema di videosorveglianza per prevenire furti, ma senza rispettare le regole del Regolamento Generale sulla Protezione dei Dati (GDPR). Le principali violazioni accertate sono state:
✔ Mancata informativa agli interessati (artt. 12 e 13 GDPR): i cartelli di avviso non erano chiari né completi, e non fornivano informazioni sui diritti degli interessati.
✔ Assenza di una valutazione d’impatto (DPIA) (art. 35 GDPR): la videosorveglianza in luoghi accessibili al pubblico può presentare rischi elevati per i diritti delle persone, richiedendo un’analisi preventiva dei rischi.
✔ Nessuna registrazione nel Registro dei Trattamenti (art. 30 GDPR): l’azienda non aveva documentato correttamente il trattamento delle immagini.
Ad esempio un negozio installa telecamere di sorveglianza ma non espone cartelli informativi chiari e non indica chi è responsabile del trattamento. In caso di reclamo, il Garante può sanzionare l’attività per mancato rispetto della trasparenza.
Videosorveglianza e legittimità: quando è consentita?
L’installazione di telecamere non è vietata, ma deve rispettare specifiche basi giuridiche previste dall’art. 6 del GDPR. Tra le motivazioni lecite troviamo:
✔ Interesse legittimo del titolare: protezione della sicurezza di persone e beni.
✔ Obbligo legale: normativa sulla sicurezza sul lavoro o disposizioni di pubblica sicurezza.
✔ Consenso esplicito: in contesti privati dove la sorveglianza non rientra negli altri casi previsti.
Tuttavia, l’interesse legittimo non può prevalere automaticamente sulla protezione dei dati. È necessario dimostrare che il trattamento sia proporzionato e non eccessivamente invasivo.
Ad esempio un’azienda vuole installare telecamere negli uffici. Se non ci sono motivazioni specifiche di sicurezza, potrebbe non essere giustificato il trattamento dei dati dei dipendenti.
Informativa e trasparenza: come deve essere gestita?
Chi utilizza un sistema di videosorveglianza deve fornire agli interessati un’informativa chiara e completa, indicando:
✔ Identità del titolare del trattamento e dati di contatto.
✔ Finalità e base giuridica del trattamento.
✔ Periodo di conservazione delle immagini (generalmente 24-72 ore, salvo casi eccezionali).
✔ Diritti degli interessati (accesso, rettifica, opposizione, cancellazione).
I cartelli informativi devono essere visibili e chiari, con un rimando all’informativa completa.
Ad esempio un parcheggio privato installa telecamere di sorveglianza ma non informa adeguatamente gli utenti. Senza cartelli chiari e un’informativa dettagliata, il trattamento potrebbe essere considerato illecito.
DPIA e Registro dei Trattamenti: quando sono obbligatori?
Due strumenti essenziali per la compliance in materia di videosorveglianza sono:
✔ La Valutazione d’Impatto sulla Protezione dei Dati (DPIA): necessaria quando la videosorveglianza può comportare rischi elevati per i diritti degli interessati (ad esempio, sorveglianza in luoghi pubblici o uso di tecnologie avanzate come il riconoscimento facciale).
✔ Il Registro dei Trattamenti: obbligatorio per documentare tutte le operazioni di trattamento, comprese finalità, basi giuridiche, tempi di conservazione e misure di sicurezza adottate.
Ad esempio un supermercato decide di implementare telecamere con tecnologia di analisi del comportamento dei clienti. Questo sistema richiede una DPIA obbligatoria per valutare i rischi di profilazione e sorveglianza invasiva.
Come evitare sanzioni: le buone pratiche per aziende e privati
Per garantire la conformità alla normativa e ridurre il rischio di sanzioni, è consigliabile adottare alcune buone pratiche:
✔ Definire una base giuridica chiara per la videosorveglianza.
✔ Fornire un’informativa trasparente e dettagliata, con cartelli ben visibili.
✔ Effettuare una DPIA in caso di trattamenti potenzialmente invasivi.
✔ Registrare il trattamento nel Registro dei Trattamenti, con indicazione di finalità e misure di sicurezza.
✔ Limitare la conservazione delle immagini a un periodo ragionevole (24-72 ore).
✔ Adottare misure di sicurezza adeguate, come crittografia e controlli di accesso.
In conclusione l’uso della videosorveglianza deve rispettare le regole del GDPR per proteggere i diritti degli interessati ed evitare sanzioni. Il provvedimento del Garante dimostra che la mancata osservanza degli obblighi di trasparenza e sicurezza può portare a conseguenze economiche significative.
Per le aziende, è fondamentale adottare un approccio strutturato alla compliance, con un’adeguata formazione del personale e un controllo costante delle pratiche di videosorveglianza.
Hai dubbi sulla conformità del tuo sistema di videosorveglianza? Una consulenza legale specializzata può aiutarti a garantire il rispetto delle normative e a proteggere i dati personali nel rispetto del GDPR.