Le informazioni non sono uguali per tutti

gdpr

Un interessante provvedimento del Garante per la protezione dei dati personali ha rimarcato la necessità di un’analisi approfondita delle soluzioni (ormai di uso anche comune) applicate nelle specifiche situazioni in cui devono essere utilizzati strumenti di videosorveglianza, soprattutto quando la misura riguarda soggetti fragili, che non hanno piena consapevolezza o percezione del trattamento operato dal titolare.

Nel mese di settembre, il Ga­rante per la protezione dei da­ti personali si è espresso sulla vicenda, sottoposta all’atten­zione dell’Autorità di controllo con un reclamo, relativa alla presenza di un impianto di videosorveglianza installato in un istituto per non vedenti e ipove­denti, dove sono state posizionate nei corridoi di accesso all’area docce - esterna alle stanze dei residenti - alcune telecamere visibili anche dai monitor della portineria.

Nella risposta alla richiesta di informazioni del Garante, l’Istituto ha confermato la presenza delle telecamere, autorizzate dal locale Ispet­torato del Lavoro per quanto concerne i limiti imposti dall’art. 4 della L. 300/1970 (Statuto dei lavoratori); a propria difesa, ha evidenziato di non aver attivato la registrazione del segnale au­dio, di aver posizionato i monitor della portineria in modo tale da essere visibili al solo personale autorizzato, di aver affisso i cartelli informativi in prossimità dei settori di ripresa e di aver re­so disponibile l’informativa completa presso la stessa portineria.

Come ulteriori precauzioni, una fotocellula per l’attivazione automatica di un messaggio vocale, all’ingresso, avvisa della presenza dell’impianto di videosorveglianza e sono presenti allarmi so­nori in prossimità delle telecamere.

Ciò nonostante, il Garante ha contestato alla struttura di non aver fornito idonea informativa agli interessati e, a partire dal 2020, di averla fornita in modalità non convenzionale, di aver effettuato il relativo trattamento dei dati in violazione del principio di minimizzazione e di non aver eseguito una valutazione d’impatto preventiva, invitando l’altra parte a produrre scritti difensivi.

Con la successiva nota di riscontro, il Commis­sario Straordinario dell’Istituto ha evidenziato che la situazione relativa all’area docce era sopravvenuta come soluzione temporanea ai lavori di ristrutturazione in corso, rispetto ai quali la zona era stata considerata “vulnerabile” e quin­di potenzialmente critica per l’incolumità degli interessati, in quanto comunicante direttamente con l’esterno.

Poiché le telecamere riprendevano gli ospiti solo parzialmente e saltuariamente, stante l’impossibilità di collocare i dispositivi diversamente e adottare altri meccanismi di tutela, il Commissario aveva ritenuto che l’inte­resse all’incolumità dei pazienti fosse superiore alla necessità di trattamento dei loro dati perso­nali, non potendo le misure di videosorveglian­za adottate nuocere alle libertà o alla dignità dell’individuo. Si specificava, in particolare, che le stanze inquadrate dalle telecamere non veni­vano utilizzate.

L'audizione

Durante l’audizione dinanzi l’Autorità Garante, il Commissario ha inoltre ulteriormente chiari­to la propria interpretazione delle disposizioni, segnalando che alla situazione di pericolo de­terminata dai lavori di ristrutturazione (pos­sibili atti vandalici, furti, intrusioni ecc.) si era successivamente aggiunta quella dell’emergenza epidemiologica, a conferma della necessità di controllare eventuali accessi o presenze non autorizzati.

Ritenendo infondate le contestazioni, evidenzia­va che la tutela della riservatezza in tale conte­sto doveva essere considerata recessiva rispetto all’incolumità degli ospiti, soggetti fragili da pre­servare e tutelare, che le telecamere, a circuito chiuso, conservavano le immagini per sole 24 ore ed erano visibili solo ai soggetti autorizzati, che nonostante il contesto emergenziale (ristrut­turazione prima, pandemia Covid-19 dopo) era stata adottata ogni cautela per ridurre al mini­mo l’impatto sugli ospiti.

Esito dell'attività istruttoria

videosorveglianza privacyAll’esito dell’attività istruttoria, il Garante non ha ritenuto sufficienti le giustificazioni rassegna­te dal Commissario Straordinario della struttu­ra, sottolineando alcuni passaggi che meritano approfondimento, perché evidenziano la neces­sità di valutare, caso per caso, la situazione ef­fettivamente rilevabile negli ambienti sottoposti a videosorveglianza, senza lasciarsi andare alla tentazione di curare solo gli aspetti formali e più burocratici della questione (cartelli, informativa, autorizzazione dell’Ispettorato del Lavoro ecc.) e di ignorare quella tutela di interessi e libertà che è invece alla base del Regolamento Europeo.

Innanzitutto, l’Autorità ha richiamato le Linee Guida del Comitato Europeo per la protezione dei dati personali del mese di luglio 2019, nel pun­to in cui si rappresenta che “prima di installare un sistema di videosorveglianza, il titolare del trattamento deve sempre valutare criticamente se questa misura sia, in primo luogo, idonea a raggiungere l’obiettivo desiderato e, in secondo luogo, adeguata e necessaria per i suoi scopi”, dovendo “optare per misure di videosorveglianza unicamente se la finalità del trattamento non può ragionevolmente essere raggiunta con al­tri mezzi meno intrusivi per i diritti e le libertà fondamentali dell’interessato […] come la recin­zione della proprietà, il pattugliamento regolare di personale di sicurezza, l’impiego di custodi […]”, lasciando intendere che la sicurezza dell’a­rea poteva essere assicurata con altri mezzi (per esempio, una serratura elettronica o un sensore di allarme applicati alla porta di comunicazione con l’esterno).

In seconda battuta, ha considerato il videocon­trollo (cioè la possibilità di vedere le immagini in tempo reale da parte degli addetti alla porti­neria) più invasivo della registrazione, perché, nel caso specifico, è la possibilità di essere visti in un momento di necessaria riservatezza della propria sfera personale a creare legittime remore nell’interessato. Non sono infatti ritenute suffi­cienti - in assenza di percorsi alternativi, mec­canismi di spegnimento dei dispositivi o altre alternative praticabili - le informative rese (pur con adeguate cautele per gli ipovedenti) attra­verso l’apposizione di cartelli di segnalazione e avvisi sonori.

Sull’informativa predisposta dalla struttura si è poi concentrato il maggiore sforzo motivazio­nale del Garante, che ha contestato all’Istituto la mancata predisposizione per tempo e comun­que in modo adeguato delle informazioni cui ha diritto l’interessato e le modalità di diffusione delle stesse, trattandosi di soggetti con maggiori difficoltà di percezione e comprensione.

Riassumendo, secondo la valutazione dell’Auto­rità di controllo, “l’Istituto ha trattato i dati per­sonali dei propri ospiti in maniera non conforme al principio di liceità, correttezza e trasparenza, omettendo di fornire un’informativa estesa sul trattamento dei dati personali tramite disposi­tivi video fino al mese di giugno 2020 e, succes­sivamente, fornendo un’informativa carente di taluni degli elementi previsti dalla normativa in materia di protezione dei dati (anche con riguar­do ai trattamenti relativi, più in generale, al sog­giorno degli ospiti presso l’Istituto), senza aver adottato un’informativa trasparente, intelligibile e facilmente accessibile in ragione dello stato di vulnerabilità degli interessati destinatari della stessa, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento”.

L'informativa sul trattamento dei dati personali

È quest’ultimo aspetto il più delicato, anche dal punto di vista delle responsabilità del Commis­sario Straordinario e del Responsabile della Pro­tezione dei Dati (ove nominato). Infatti, se può non essere condivisibile l’interpretazione delle questioni relative all’utilizzo del sistema di vide­osorveglianza per dare soluzione a un problema che poteva effettivamente essere risolto diversa­mente (ma vi sono spazi per discutere della legit­timità del provvedimento sanzionatorio dinanzi a un giudice, anche in relazione al concetto di “chiarezza” e “diffusione” delle informazioni), non è in alcun modo scusabile l’inosservanza di precetti non sindacabili del Regolamento Euro­peo 679/2016, che anche ove si fosse provveduto a un’analisi meramente burocratica e formale della situazione, avrebbero dovuto meritare la giusta attenzione.

Non è comprensibile, infatti, come possa manca­re, da un’informativa sviluppata per un sistema di videosorveglianza, l’indicazione del legittimo interesse perseguito in concreto dal titolare del trattamento dei dati (evidente segno di confusio­ne tra base giuridica e finalità) o come possano essere omessi l’indicazione dei dati di contatto del Responsabile della Protezione dei Dati, che è obbligatoria e non sindacabile da parte di un Istituto (soggetto pubblico), e il diritto di rivol­gersi all’Autorità Garante, che è espressamente indicato dal Regolamento.

Di diverso avviso, invece, la valutazione del ragionamento portato avanti dal Garante per quanto riguarda la valutazione d’impatto, poiché attraverso l’impianto di videosorveglianza (al­meno per quanto risulta dal testo del provvedi­mento) non sembra potersi ipotizzare un tratta­mento di dati riconducibile alle fattispecie di cui all’art. 35 del Regolamento UE 679/2016 o a quelle del Provvedimento del Garante n. 467/2018 (che, peraltro, è un atto amministrativo con funzione di mero indirizzo), dove sono delineate situazioni in cui, come chiarito anche dalla Corte Suprema di Cassazione, il danno per l’interessato dev’es­sere concreto e apprezzabile anche economica­mente, non essendo il diritto alla tutela dei dati personali basato su un principio precauzionale, come sembra voler intendere il Garante, ma sulla reale possibilità di danneggiare in concreto un altro diritto fondamentale dell’individuo.

Come giustamente affermato da Andrea Monti in un suo recente articolo, il diritto alla protezione dei dati personali ha come finalità la tutela dei di­ritti e delle libertà dell’individuo ed è quindi un mezzo per raggiungere un obiettivo. L’eccessiva adozione di cautele non commisurate all’effetti­va lesività del trattamento diventa un freno alle attività produttive e sociali, come chiaramente indicato dallo stesso Regolamento UE 679/2016 che, fin dalla rubrica introduttiva, evidenzia anche la necessità di garantire la libera circo­lazione dei dati personali acquisiti e gestiti in modo legittimo.

Va anche sottolineato che, nel provvedimento in questione, l’Autorità Garante ha irrogato una sanzione quasi “simbolica”, a dimostrazione del fatto che, nonostante le violazioni, non vi fos­se una reale emergenza per i diritti e le libertà degli interessati e che è stata tenuta in debita considerazione la buona fede del trasgressore, desumibile dagli altri interventi adottati.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome