g-docweb-display Portlet

Impianto di videosorveglianza installato presso l'esercizio commerciale - 30 ottobre 2013 [2908871]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2908871]

Impianto di videosorveglianza installato presso l´esercizio commerciale - 30 ottobre 2013

Registro dei provvedimenti
n. 484 del 30 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

ESAMINATA la documentazione in atti;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTO il provvedimento generale del Garante dell´8 aprile 2010, in materia di trattamento di dati personali effettuato tramite sistemi di videosorveglianza (G.U. n. 99 del 29 aprile 2010 e in www.garanteprivacy.it, doc. web n. 1712680);

VISTO il verbale di accertamento ispettivo del 31 luglio 2012, avente ad oggetto il trattamento di dati personali effettuato mediante un impianto di videosorveglianza installato presso l´esercizio commerciale "A&O" di Lopez s.r.l. di Bari, dal quale emerge che:

- il sistema di videosorveglianza, installato "a seguito di eventi criminosi accaduti in passato" per finalità di "tutela del patrimonio aziendale e dei dipendenti", è composto da quattro telecamere "collegate a due monitor […] posizionati, rispettivamente, il primo all´ingresso del supermercato e rivolto verso il bancone della cassa ed il secondo […] nello stanzino adibito ad ufficio, accessibile esclusivamente al responsabile del supermercato. I due monitor riportano le immagini provenienti dalle telecamere in quattro riquadri visibili contemporaneamente"; presso l´esercizio è altresì presente "un apparato di registrazione" collegato all´impianto di videosorveglianza in ordine al quale si è fatta riserva di fornire ulteriori indicazioni (cfr. verbale del 31 luglio 2012, p. 2);

- quanto alla disposizione delle telecamere, una sarebbe posizionata "al di sopra della porta di ingresso" esternamente al negozio "in modo da riprendere l´area antistante l´accesso al supermercato"; la seconda "è posta all´interno del supermercato […] rivolta verso la porta di ingresso, riprendendo […] parte del bancone cassa, senza riprendere la cassa stessa; la terza […] è posta in modo da riprendere uno dei due corridoi del supermercato, dove sono posizionati gli scaffali di esposizione della merce; la quarta telecamera è ubicata al piano sotterraneo nella sala motori dei banchi frigo" (cfr. verbale cit., p. 2);

- l´installazione, la gestione e la manutenzione del sistema sono effettuati da Vigilanza Palumbo s.r.l. (cfr. verbale cit., p. 2);

- secondo quanto dichiarato "in un caso, in cui è intervenuta la Polizia di Stato a seguito di un evento criminoso, per poter estrarre le immagini è stato necessario l´intervento [di] Vigilanza Palumbo s.r.l. che ha estratto le immagini direttamente dai propri uffici" (cfr. verbale cit., p. 3);

- quanto all´obbligo di fornire agli interessati l´informativa prevista dall´art. 13 del Codice, in sede ispettiva è stato dichiarato che Lopez s.r.l. "ha predisposto un cartello informativo posto sulla vetrina di ingresso al locale" contenente l´immagine della telecamera ed alcune sintetiche informazioni (cfr. verbale cit., p. 3);

VISTA la successiva comunicazione (e allegata documentazione) inviata da Lopez s.r.l. al Nucleo il 16 agosto 2012 con la quale è stato dichiarato che:

- il titolare del trattamento dei dati "raccolti con il sistema di videosorveglianza è Lopez s.r.l. nella persona del suo rappresentante legale pro-tempore"; quest´ultimo sarebbe altresì "responsabile del trattamento dei dati e delle immagini raccolte per il […] supermercato […] di Bari […] essendo i dipendenti […] impossibilitati ad accedere alla registrazione delle immagini, essendo tale funzione di esclusiva pertinenza della società di vigilanza dietro specifica richiesta degli organi di polizia";

- "il contratto di vigilanza e videosorveglianza, stipulato con la società Vigilanza Palumbo s.r.l. è stato trasferito per incorporazione [a] Sicuritalia s.p.a.";

- in un locale situato all´interno del supermercato sono collocati un videoregistratore e un monitor; quest´ultimo "riporta in tempo reale le immagini delle 4 telecamere installate all´interno e all´esterno del supermercato e consente al dipendente ivi occupato, di allertare immediatamente le forze dell´ordine in caso di rapina";

- le immagini registrate attraverso il menzionato sistema sono cancellate automaticamente mediante sovrascrittura dopo 24 ore;

- nessun dipendente dell´esercizio commerciale "ha la possibilità di intervenire su dette registrazioni" né può comunque accedervi;

- nell´ambito dell´attività di vigilanza, Sicuritalia s.p.a. "in caso di allarme con ponte radio collegato alla centrale operativa e dalle ore 21,30 alle 7,00" può visionare le immagini; non sarebbe previsto di regola, secondo quanto dichiarato, alcun "collegamento video nelle ore di apertura del supermercato";

- non sono state adottate le garanzie previste dall´art. 4, comma 2, della legge n. 300 del 1970 poiché "le telecamere installate non riprendono le immagini del dipendente durante l´espletamento delle sue funzioni";

- la società "non [è] a conoscenza dell´eventuale designazione del responsabile del trattamento di Sicuritalia s.p.a. già ex vigilanza Palombo s.r.l. per la Lopez s.r.l.";

VISTI gli esiti dei successivi accertamenti ispettivi effettuati dal Nucleo presso la sede di Sicuritalia s.p.a. in data 14 e 15 marzo 2013 nonché la comunicazione inviata dalla predetta società il 18 aprile 2013, dai quali è emerso che:

- titolari dei trattamenti di dati personali effettuati "mediante i sistemi di videosorveglianza in uso ai clienti di Sicuritalia s.p.a. sono i medesimi clienti" (cfr. verbale 14 marzo 2013, p. 2);

- in sede di installazione o configurazione degli impianti di videosorveglianza presso i clienti, i tecnici della società di vigilanza "impostano il sistema operando tramite l´account administrator. Congiuntamente alla programmazione del sistema viene creato un utente "user", con profilo di sola visualizzazione, che sarà utilizzato dagli operatori della sala operativa. Al termine dell´intera programmazione del sistema, le credenziali di accesso come profilo administrator vengono riconsegnate al cliente […]. Pertanto qualunque successiva modifica delle impostazioni del sistema potrà essere effettuata esclusivamente dal cliente […]" (cfr. verbale 14 marzo 2013, p. 3);

- la fornitura di servizi di vigilanza a Lopez s.r.l. è cessata a far data dal 29 febbraio 2012 (cfr. verbale 14 marzo 2013, p.2); in proposito è stata altresì prodotta la dichiarazione di un ex dipendente di diversa società "fornitore di Sicuritalia s.p.a." nella quale si rappresenta che "Lopez s.r.l. era in possesso delle credenziali di autenticazione, quale amministratore del sistema di videosorveglianza in uso presso i propri locali" (cfr. verbale 15 marzo 2013, p. 3 e All. 7);

VISTA la copia del contratto stipulato tra Lopez s.r.l. e Vigilanza Palumbo s.r.l. datato 1° marzo 2009 avente ad oggetto l´effettuazione del servizio di videosorveglianza a seguito della ricezione di segnalazioni di allarme nonché del servizio di videoispezione "all´interno della proprietà" in orari predeterminati utilizzando il sistema di videosorveglianza (cfr. verbale 14 marzo 2013, All. 1);

VISTO che Lopez s.r.l. è titolare dei trattamenti di dati personali effettuati ai sensi degli artt. 4, comma 1, lett. f) e 28 del Codice – considerato che detta società, oltre a dotarsi del sistema di videosorveglianza e fissarne le finalità, è risultata altresì effettuare un´attività di controllo in tempo reale delle immagini attraverso il monitor collocato all´interno dell´esercizio ed ha altresì la disponibilità delle immagini registrate, pur essendo l´attività di registrazione demandata ad una società di vigilanza (sulla nozione di "titolare" del trattamento v. anche Gruppo dei Garanti europei previsto dall´art. 29 della Direttiva 95/46/CE, Parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento", WP 169, adottato il 16 febbraio 2010);

CONSIDERATA la necessità di garantire un livello elevato di tutela dei diritti e delle libertà fondamentali nonché della dignità degli interessati rispetto al trattamento dei dati personali effettuato mediante l´utilizzo di sistemi di videosorveglianza;

CONSIDERATO che l´installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell´ordinamento civile e penale applicabili, comprese le vigenti norme in materia di controllo a distanza dei lavoratori;

RILEVATO che, in base alle risultanze degli atti, benché la società abbia dichiarato che non sono oggetto di ripresa le immagini dei dipendenti mentre attendono alle loro mansioni, il sistema di videosorveglianza in esame risulta idoneo a riprendere e registrare l´attività di quanti, ivi compresi i lavoratori nello svolgimento della propria attività, transitano oppure operano nelle aree interessate (area interna ed esterna prospicente l´ingresso, bancone cassa, corridoio del supermercato, sala motori dei banchi frigo);

RILEVATO che, pur a fronte di dichiarazioni discordanti in atti circa l´effettivo svolgimento della attività di vigilanza da remoto da parte di Sicuritalia s.p.a. al tempo degli accertamenti ispettivi, Lopez s.r.l. non risulta aver effettuato, ai sensi dell´art. 29 del Codice, la designazione a responsabile del trattamento della società di vigilanza, pur avendo effettuato quest´ultima (quantomeno fino al 29 febbraio 2009) operazioni di trattamento di dati personali riferiti a dipendenti della società e a clienti dell´esercizio commerciale (segnatamente, registrazione delle immagini e loro visualizzazione in corrispondenza di determinati eventi: cfr. verbale 14 marzo, p. 3 e All. 1 – contratto di vigilanza);

RILEVATO inoltre che il titolare del trattamento non risulta aver effettuato, ai sensi dell´art. 30 del Codice, la designazione a incaricati del trattamento dei dipendenti preposti alla visualizzazione delle immagini tratte in tempo reale dalle telecamere installate presso l´esercizio commerciale;

RITENUTO che la società dovrà pertanto provvedere a designare per iscritto i propri incaricati impartendo agli stessi le istruzioni per provvedere al trattamento dei dati personali, ai sensi dell´art. 30 del Codice;

RILEVATO altresì che all´esito dell´istruttoria non risultano essere state attivate le garanzie previste dalla disciplina in materia di controllo a distanza dei lavoratori, come richiesto dall´art. 4, comma 2, l. n. 300/1970 (richiamato dall´art. 114 del Codice) nonché in conformità con quanto stabilito dal Garante nel menzionato provvedimento generale in materia di videosorveglianza dell´8 aprile 2010, con particolare riferimento al par. 4.1 (cfr., tra i tanti, Provv.ti 5 settembre 2013, n. 385, doc web n. 2683203; 18 luglio 2013, n. 361, doc. web n. 2605290; 4 luglio 2013, n. 335, doc. web n. 2577227; 26 febbraio 2009, doc. web n. 1601522);

RITENUTO pertanto che il descritto trattamento risulta effettuato dalla società in violazione della disciplina di protezione dei dati personali nonché della pertinente disciplina di settore (art. 114 del Codice in relazione all´art. 4, comma 2, l. n. 300/1970);

CONSIDERATO che, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice il Garante può prescrivere anche d´ufficio le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti;

RITENUTO pertanto di dover prescrivere alla società, quale misura necessaria al fine di rendere il suddetto trattamento conforme alla disciplina in materia di protezione dei dati personali di attivare, fatti salvi nel frattempo i diritti dei lavoratori, le procedure previste dal richiamato art. 4, comma 2, l. n. 300/1970;

RISERVATA la valutazione da parte dell´Autorità, con autonomo procedimento, della sussistenza di violazioni amministrative in capo al titolare del trattamento ai sensi dell´art. 162, comma 2 bis del Codice (con particolare riferimento alla violazione delle misure di sicurezza ex artt. 33 e ss. del Codice);

RILEVATO che, in caso di inosservanza del presente provvedimento, si renderanno applicabili le sanzioni di cui agli artt. 162, comma 2-ter del Codice;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO, IL GARANTE

nei confronti di Lopez s.r.l., con riguardo al trattamento effettuato presso l´esercizio commerciale "A&O" di Bari:

1. dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato a mezzo del sistema di videosorveglianza;

2. prescrive, ai sensi dell´art. 154, comma 1, lett. c) e 143, comma 1, lett. b), del Codice di:

a. attivare senza ritardo, e comunque entro e non oltre 30 giorni dal ricevimento del presente provvedimento, le procedure previste dall´art. 4, comma 2, della legge n. 300 del 1970, impregiudicati nel frattempo i diritti dei lavoratori;

b. designare per iscritto i propri incaricati ai sensi dell´art. 30 del Codice;

3. ai sensi dell´art. 157 del Codice, invita la società a dare comunicazione al Garante delle misure adottate entro 30 giorni dalla data di ricezione del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia