Un interessante provvedimento del Garante per la protezione dei dati personali ha rimarcato la necessità di un’analisi approfondita delle soluzioni (ormai di uso anche comune) applicate nelle specifiche situazioni in cui devono essere utilizzati strumenti di videosorveglianza, soprattutto quando la misura riguarda soggetti fragili, che non hanno piena consapevolezza o percezione del trattamento operato dal titolare.
Nel mese di settembre, il Garante per la protezione dei dati personali si è espresso sulla vicenda, sottoposta all’attenzione dell’Autorità di controllo con un reclamo, relativa alla presenza di un impianto di videosorveglianza installato in un istituto per non vedenti e ipovedenti, dove sono state posizionate nei corridoi di accesso all’area docce - esterna alle stanze dei residenti - alcune telecamere visibili anche dai monitor della portineria.
Nella risposta alla richiesta di informazioni del Garante, l’Istituto ha confermato la presenza delle telecamere, autorizzate dal locale Ispettorato del Lavoro per quanto concerne i limiti imposti dall’art. 4 della L. 300/1970 (Statuto dei lavoratori); a propria difesa, ha evidenziato di non aver attivato la registrazione del segnale audio, di aver posizionato i monitor della portineria in modo tale da essere visibili al solo personale autorizzato, di aver affisso i cartelli informativi in prossimità dei settori di ripresa e di aver reso disponibile l’informativa completa presso la stessa portineria.
Come ulteriori precauzioni, una fotocellula per l’attivazione automatica di un messaggio vocale, all’ingresso, avvisa della presenza dell’impianto di videosorveglianza e sono presenti allarmi sonori in prossimità delle telecamere.
Ciò nonostante, il Garante ha contestato alla struttura di non aver fornito idonea informativa agli interessati e, a partire dal 2020, di averla fornita in modalità non convenzionale, di aver effettuato il relativo trattamento dei dati in violazione del principio di minimizzazione e di non aver eseguito una valutazione d’impatto preventiva, invitando l’altra parte a produrre scritti difensivi.
Con la successiva nota di riscontro, il Commissario Straordinario dell’Istituto ha evidenziato che la situazione relativa all’area docce era sopravvenuta come soluzione temporanea ai lavori di ristrutturazione in corso, rispetto ai quali la zona era stata considerata “vulnerabile” e quindi potenzialmente critica per l’incolumità degli interessati, in quanto comunicante direttamente con l’esterno.
Poiché le telecamere riprendevano gli ospiti solo parzialmente e saltuariamente, stante l’impossibilità di collocare i dispositivi diversamente e adottare altri meccanismi di tutela, il Commissario aveva ritenuto che l’interesse all’incolumità dei pazienti fosse superiore alla necessità di trattamento dei loro dati personali, non potendo le misure di videosorveglianza adottate nuocere alle libertà o alla dignità dell’individuo. Si specificava, in particolare, che le stanze inquadrate dalle telecamere non venivano utilizzate.
L'audizione
Durante l’audizione dinanzi l’Autorità Garante, il Commissario ha inoltre ulteriormente chiarito la propria interpretazione delle disposizioni, segnalando che alla situazione di pericolo determinata dai lavori di ristrutturazione (possibili atti vandalici, furti, intrusioni ecc.) si era successivamente aggiunta quella dell’emergenza epidemiologica, a conferma della necessità di controllare eventuali accessi o presenze non autorizzati.
Ritenendo infondate le contestazioni, evidenziava che la tutela della riservatezza in tale contesto doveva essere considerata recessiva rispetto all’incolumità degli ospiti, soggetti fragili da preservare e tutelare, che le telecamere, a circuito chiuso, conservavano le immagini per sole 24 ore ed erano visibili solo ai soggetti autorizzati, che nonostante il contesto emergenziale (ristrutturazione prima, pandemia Covid-19 dopo) era stata adottata ogni cautela per ridurre al minimo l’impatto sugli ospiti.
Esito dell'attività istruttoria
All’esito dell’attività istruttoria, il Garante non ha ritenuto sufficienti le giustificazioni rassegnate dal Commissario Straordinario della struttura, sottolineando alcuni passaggi che meritano approfondimento, perché evidenziano la necessità di valutare, caso per caso, la situazione effettivamente rilevabile negli ambienti sottoposti a videosorveglianza, senza lasciarsi andare alla tentazione di curare solo gli aspetti formali e più burocratici della questione (cartelli, informativa, autorizzazione dell’Ispettorato del Lavoro ecc.) e di ignorare quella tutela di interessi e libertà che è invece alla base del Regolamento Europeo.
Innanzitutto, l’Autorità ha richiamato le Linee Guida del Comitato Europeo per la protezione dei dati personali del mese di luglio 2019, nel punto in cui si rappresenta che “prima di installare un sistema di videosorveglianza, il titolare del trattamento deve sempre valutare criticamente se questa misura sia, in primo luogo, idonea a raggiungere l’obiettivo desiderato e, in secondo luogo, adeguata e necessaria per i suoi scopi”, dovendo “optare per misure di videosorveglianza unicamente se la finalità del trattamento non può ragionevolmente essere raggiunta con altri mezzi meno intrusivi per i diritti e le libertà fondamentali dell’interessato […] come la recinzione della proprietà, il pattugliamento regolare di personale di sicurezza, l’impiego di custodi […]”, lasciando intendere che la sicurezza dell’area poteva essere assicurata con altri mezzi (per esempio, una serratura elettronica o un sensore di allarme applicati alla porta di comunicazione con l’esterno).
In seconda battuta, ha considerato il videocontrollo (cioè la possibilità di vedere le immagini in tempo reale da parte degli addetti alla portineria) più invasivo della registrazione, perché, nel caso specifico, è la possibilità di essere visti in un momento di necessaria riservatezza della propria sfera personale a creare legittime remore nell’interessato. Non sono infatti ritenute sufficienti - in assenza di percorsi alternativi, meccanismi di spegnimento dei dispositivi o altre alternative praticabili - le informative rese (pur con adeguate cautele per gli ipovedenti) attraverso l’apposizione di cartelli di segnalazione e avvisi sonori.
Sull’informativa predisposta dalla struttura si è poi concentrato il maggiore sforzo motivazionale del Garante, che ha contestato all’Istituto la mancata predisposizione per tempo e comunque in modo adeguato delle informazioni cui ha diritto l’interessato e le modalità di diffusione delle stesse, trattandosi di soggetti con maggiori difficoltà di percezione e comprensione.
Riassumendo, secondo la valutazione dell’Autorità di controllo, “l’Istituto ha trattato i dati personali dei propri ospiti in maniera non conforme al principio di liceità, correttezza e trasparenza, omettendo di fornire un’informativa estesa sul trattamento dei dati personali tramite dispositivi video fino al mese di giugno 2020 e, successivamente, fornendo un’informativa carente di taluni degli elementi previsti dalla normativa in materia di protezione dei dati (anche con riguardo ai trattamenti relativi, più in generale, al soggiorno degli ospiti presso l’Istituto), senza aver adottato un’informativa trasparente, intelligibile e facilmente accessibile in ragione dello stato di vulnerabilità degli interessati destinatari della stessa, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento”.
L'informativa sul trattamento dei dati personali
È quest’ultimo aspetto il più delicato, anche dal punto di vista delle responsabilità del Commissario Straordinario e del Responsabile della Protezione dei Dati (ove nominato). Infatti, se può non essere condivisibile l’interpretazione delle questioni relative all’utilizzo del sistema di videosorveglianza per dare soluzione a un problema che poteva effettivamente essere risolto diversamente (ma vi sono spazi per discutere della legittimità del provvedimento sanzionatorio dinanzi a un giudice, anche in relazione al concetto di “chiarezza” e “diffusione” delle informazioni), non è in alcun modo scusabile l’inosservanza di precetti non sindacabili del Regolamento Europeo 679/2016, che anche ove si fosse provveduto a un’analisi meramente burocratica e formale della situazione, avrebbero dovuto meritare la giusta attenzione.
Non è comprensibile, infatti, come possa mancare, da un’informativa sviluppata per un sistema di videosorveglianza, l’indicazione del legittimo interesse perseguito in concreto dal titolare del trattamento dei dati (evidente segno di confusione tra base giuridica e finalità) o come possano essere omessi l’indicazione dei dati di contatto del Responsabile della Protezione dei Dati, che è obbligatoria e non sindacabile da parte di un Istituto (soggetto pubblico), e il diritto di rivolgersi all’Autorità Garante, che è espressamente indicato dal Regolamento.
Di diverso avviso, invece, la valutazione del ragionamento portato avanti dal Garante per quanto riguarda la valutazione d’impatto, poiché attraverso l’impianto di videosorveglianza (almeno per quanto risulta dal testo del provvedimento) non sembra potersi ipotizzare un trattamento di dati riconducibile alle fattispecie di cui all’art. 35 del Regolamento UE 679/2016 o a quelle del Provvedimento del Garante n. 467/2018 (che, peraltro, è un atto amministrativo con funzione di mero indirizzo), dove sono delineate situazioni in cui, come chiarito anche dalla Corte Suprema di Cassazione, il danno per l’interessato dev’essere concreto e apprezzabile anche economicamente, non essendo il diritto alla tutela dei dati personali basato su un principio precauzionale, come sembra voler intendere il Garante, ma sulla reale possibilità di danneggiare in concreto un altro diritto fondamentale dell’individuo.
Come giustamente affermato da Andrea Monti in un suo recente articolo, il diritto alla protezione dei dati personali ha come finalità la tutela dei diritti e delle libertà dell’individuo ed è quindi un mezzo per raggiungere un obiettivo. L’eccessiva adozione di cautele non commisurate all’effettiva lesività del trattamento diventa un freno alle attività produttive e sociali, come chiaramente indicato dallo stesso Regolamento UE 679/2016 che, fin dalla rubrica introduttiva, evidenzia anche la necessità di garantire la libera circolazione dei dati personali acquisiti e gestiti in modo legittimo.
Va anche sottolineato che, nel provvedimento in questione, l’Autorità Garante ha irrogato una sanzione quasi “simbolica”, a dimostrazione del fatto che, nonostante le violazioni, non vi fosse una reale emergenza per i diritti e le libertà degli interessati e che è stata tenuta in debita considerazione la buona fede del trasgressore, desumibile dagli altri interventi adottati.