Nessun cartello segnala la area videosorvegliata e mancano sia l'autorizzazione dell'ispettorato del lavoro che l'accordo sindacale con i dipendenti: il Garante sanziona per 15.000 euro un bar romano, obbligando alla messa a norma e dichiarando illegittimo il trattamento dei dati.

Cartello area videosorvegliata: il Garante riceve una segnalazione e si attiva

Il Garante per la protezione dei dati personali riceve, nel 2020, una nota con la quale viene segnalata l'installazione di un impianto di videosorveglianza in un caffè romano. La nota indica come l'area videosorvegliata non sia segnalato da alcun cartello.

Il Garante si attiva e chiede riscontri, con ben due richieste di informazioni ma l'azienda non risponde ai solleciti. A questo punto il Garante, ai sensi dell'art 166 del d.lgs 196/2003, comunica l'apertura del procedimento sanzionatorio per violazione delle disposizioni sul trattamento dei dati. Nessuna risposta dall'azienda che gestisce il bar. Il Garante invia quindi il Nucleo speciale di tutela privacy e frodi tecnologiche della Guardia di Finanza per un'ispezione e per la raccolta di informazioni in loco.

L'esito dell'accertamento della Guardia di Finanza: nessun cartello segnala la area videosorvegliata/h3>

La Guardia di Finanza effettua gli accertamenti direttamente nei locali dell'attività commerciale nel Gennaio 2022. Accerta la presenza di 14 telecamere attive e funzionanti sia entro i locali che nelle immediate vicinanze esterne del bar. Nessun cartello segnala, né all'interno né all'esterno, l' area videosorvegliata.

 Non solo. La Guardia di Finanza accerta anche: 

• l'installazione del sistema di videosorveglianza è avvenuta senza autorizzazione dell'Ispettorato del Lavoro;
• non è stato stipulato alcun accordo con la rappresentanza sindacale con i dipendenti.

L'Ufficio del Garante avvia il procedimento sanzionatorio, alla luce di tali esiti dell'accertamento in loco.

A seguito degli accertamenti della Guardia di Finanza, la società invia una memoria difensiva 

Nel mese di Marzo il rappresentante legale della società ha inviato al Garante una memoria difensiva per chiarire la posizione aziendale. Nella memoria, il rappresentate legale spiega che: 

• la società ha provveduto ad inoltrare alla Direzione Territoriale del Lavoro la richiesta di autorizzazione dell'impianto nel Gennaio del 2022;
• nonostante l'assenza dei cartelli informativi relativi all'impianto di sorveglianza, tutti i dipendenti sono stati avvisati della presenza delle telecamere. Il consenso ad essere ripresi sul posto di lavoro sarebbe stato richiesto nel contratto di lavoro.

 Per saperne di più> Videosorveglianza: quali obblighi normativi?

L'esito del procedimento sanzionatorio 

L'analisi delle memorie difensive della società e della documentazione prodotta porta all'accertamento definitivo della violazione di una serie di obblighi relativi alla messa a norma dell'impianto di videosorveglianza. Risultano accertati: 

• la presenza di 14 telecamere attive;
• l'assenza di ogni forma di cartello informativo relativo all'area videosorvegliata;
• l'assenza dell'autorizzazione dell'Impianto da parte dell'Ispettorato del lavoro;
• la mancanza di un accordo con le rappresentanze sindacali dei dipendenti.

La presenza di un'area videosorvegliata non introdotta da regolare informativa si pone in contrasto con quanto stabilito dall'art. 13 del GDPR. Questo prevede che il titolare del trattamento è obbligato a fornire all'interessato tutte le informazioni relative al trattamento prima dell'inizio del trattamento stesso. L'informativa cioè deve essere preventiva, precedente al trattamento dei dati. Il Garante sottolinea anche che:

 "nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. art. 5, par. 1, lett. a) del Regolamento."

Il trattamento dati personali in ambito di rapporto di lavoro deve rispettare l'art. 5 GDPR

Il trattamento di dati personali in ambito di rapporto di lavoro, se necessari per la finalità di gestione del rapporto stesso, devono rispettare i principi generali dell'art. 5 GDPR, con particolare attenzione al principio di liceità. Viene richiamato anche l'art.4 della legge 300/1970 che specifica che:

"gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del Lavoro."

La violazione di tale previsione è penalmente sanzionata.

Infine, a mò di aggravante nel computo della sanzione, il Garante ritiene la società colpevole di omessi riscontri, in più occasioni, alle richieste dell'Autorità stessa. Tali omissioni sono punibili con sanzione amministrativa.

Per saperne di più> Videosorveglianza: solo l’8% degli impianti è segnalato con regolare cartello

La dichiarazione di illiceità del trattamento e la sanzione 

Per tutte le motivazioni esposte sopra il Garante ha dichiarato illegittimo il trattamento dei dati effettuato dalla società gestrice del bar e ha deciso di comminare una sanzione amministrativa ai sensi dell'art. 83 del GDPR. La sanzione applicata è piuttosto alta per una piccola attività, circa 15.000 euro.

Il Garante ha applicato le previsioni del paragrafo 3 dell'art.83 del GDPR secondo cui:

"Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Gli omessi riscontri alle richieste del Garante sono "aggravanti"

All'ammontare complessivo della sanzione ha contribuito la condotta negligente della società. Si legge nel provvedimento

"con riguardo alla natura, gravità e durata della violazione è stata presa in considerazione la negligente condotta della XXXX s.r.l che ha determinato un allungamento dei tempi di definizione del procedimento e ha imposto la rinnovazione di atti istruttori nonché la responsabilità connessa all’inadempimento dell’obbligo di rendere l’informativa agli interessati e di adempiere agli obblighi di garanzia previsti all’art. 4 della legge n. 300/1970 (c.d. Statuto dei Lavoratori) richiamato dall’art. 114 del Codice".

A titolo di sanzioni aggiuntiva, il Garante dispone la pubblicazione del provvedimento sanzionatorio. Il testo completo del provvedimento è disponibile qui