Continuano i provvedimenti sanzionatori del Garante privacy in materia di videosorveglianza (ne avevamo già parlato in questo articolo).
Nel caso in esame, l’Autorità Garante, a seguito di un esposto presentato da un privato cittadino che lamentava l’installazione di un impianto di videosorveglianza, ha dato corso ad un accertamento ispettivo.
Nel corso dei controlli emergeva la presenza di quattro telecamere installate da una società a responsabilità limitata di Milano, operante nel settore immobiliare, le cui immagini venivano non solo visualizzate su un monitor, ma anche memorizzate su un dispositivo di registrazione, effettuando perciò un trattamento di dati personali.
La società aveva provveduto a predisporre un cartello di segnalazione delle telecamere sprovvisto, però, degli elementi obbligatori riportati nelle Linee Guida 3/2019 dell’EDPB. Infine, ulteriore criticità rilevata dall’Autorità era l’assenza di un’idonea informativa ex art. 13 del Regolamento Europeo.
Per tali ragioni, l’Autorità Garante ingiungeva alla società, Titolare del trattamento, una sanzione amministrativa di euro 2.000 e le intimava di adeguarsi alla normativa europea entro 30 giorni, fornendo riscontro documentale delle iniziative adottate.
COSA FARE PER UNA VIDEOSORVEGLIANZA A NORMA?
Relativamente al cartello di videosorveglianza, chiamato anche informativa di primo livello dalle linee guida dell’EDPB, si ricorda che la sua funzione principale è quella di informare le persone fisiche che stanno per accedere ad una zona videosorvegliata “per consentire all’interessato di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”. Pertanto, non è sufficiente predisporre un’informativa di primo livello priva delle informazioni necessarie circa gli elementi essenziali del trattamento e dei riferimenti del titolare. Infatti, tale documento dovrà contenere le informazioni utili a garantire non solo l’esercizio dei diritti da parte degli interessati, ma anche a concedere loro la possibilità di determinazione.
La segnaletica di primo livello deve fare necessariamente riferimento all’informativa estesa, c.d. di secondo livello. Tale documento deve contenere tutti gli elementi obbligatori a norma dell’art. 13 del GDPR e il suo contenuto deve necessariamente essere congruente a quanto riportato nel cartello.
Pertanto, al fine di evitare sanzioni, il Titolare dovrà informare i soggetti interessati circa le modalità con cui effettua il trattamento di dati, il tempo di conservazione degli stessi e tutti i soggetti che hanno facoltà di trattare i dati o i destinatari degli stessi.
Ricordiamo che l’art. 4 GDPR considera un trattamento qualsiasi operazione che abbia ad oggetto dati personali. In ambito di videosorveglianza questo significa che devono rispettare la normativa sia gli impianti che conservano le immagini, sia le telecamere dotate di monitor che permettono la visualizzazione in tempo reale da parte di un incaricato al trattamento dati individuato dal titolare ed opportunamente autorizzato a visualizzarle.
Ulteriori adempimenti verranno imposti al Titolare del trattamento, qualora le videocamere installate siano posizionate in modo tale da ricomprendere nel loro raggio d’azione porzioni di pubblica via. In questo caso, sarà necessario effettuare una valutazione d’impatto (DPIA) volta a valutare se il trattamento di dati può comportare un rischio elevato per i diritti e le libertà degli interessati.
Continuano i provvedimenti sanzionatori del Garante privacy in materia di videosorveglianza (ne avevamo già parlato in questo articolo).
Nel caso in esame, l’Autorità Garante, a seguito di un esposto presentato da un privato cittadino che lamentava l’installazione di un impianto di videosorveglianza, ha dato corso ad un accertamento ispettivo.
Nel corso dei controlli emergeva la presenza di quattro telecamere installate da una società a responsabilità limitata di Milano, operante nel settore immobiliare, le cui immagini venivano non solo visualizzate su un monitor, ma anche memorizzate su un dispositivo di registrazione, effettuando perciò un trattamento di dati personali.
La società aveva provveduto a predisporre un cartello di segnalazione delle telecamere sprovvisto, però, degli elementi obbligatori riportati nelle Linee Guida 3/2019 dell’EDPB. Infine, ulteriore criticità rilevata dall’Autorità era l’assenza di un’idonea informativa ex art. 13 del Regolamento Europeo.
Per tali ragioni, l’Autorità Garante ingiungeva alla società, Titolare del trattamento, una sanzione amministrativa di euro 2.000 e le intimava di adeguarsi alla normativa europea entro 30 giorni, fornendo riscontro documentale delle iniziative adottate.
COSA FARE PER UNA VIDEOSORVEGLIANZA A NORMA?
Relativamente al cartello di videosorveglianza, chiamato anche informativa di primo livello dalle linee guida dell’EDPB, si ricorda che la sua funzione principale è quella di informare le persone fisiche che stanno per accedere ad una zona videosorvegliata “per consentire all’interessato di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”. Pertanto, non è sufficiente predisporre un’informativa di primo livello priva delle informazioni necessarie circa gli elementi essenziali del trattamento e dei riferimenti del titolare. Infatti, tale documento dovrà contenere le informazioni utili a garantire non solo l’esercizio dei diritti da parte degli interessati, ma anche a concedere loro la possibilità di determinazione.
La segnaletica di primo livello deve fare necessariamente riferimento all’informativa estesa, c.d. di secondo livello. Tale documento deve contenere tutti gli elementi obbligatori a norma dell’art. 13 del GDPR e il suo contenuto deve necessariamente essere congruente a quanto riportato nel cartello.
Pertanto, al fine di evitare sanzioni, il Titolare dovrà informare i soggetti interessati circa le modalità con cui effettua il trattamento di dati, il tempo di conservazione degli stessi e tutti i soggetti che hanno facoltà di trattare i dati o i destinatari degli stessi.
Ricordiamo che l’art. 4 GDPR considera un trattamento qualsiasi operazione che abbia ad oggetto dati personali. In ambito di videosorveglianza questo significa che devono rispettare la normativa sia gli impianti che conservano le immagini, sia le telecamere dotate di monitor che permettono la visualizzazione in tempo reale da parte di un incaricato al trattamento dati individuato dal titolare ed opportunamente autorizzato a visualizzarle.
Ulteriori adempimenti verranno imposti al Titolare del trattamento, qualora le videocamere installate siano posizionate in modo tale da ricomprendere nel loro raggio d’azione porzioni di pubblica via. In questo caso, sarà necessario effettuare una valutazione d’impatto (DPIA) volta a valutare se il trattamento di dati può comportare un rischio elevato per i diritti e le libertà degli interessati.