Alcuni recenti provvedimenti del garante per la protezione dei dati personali hanno riportato l’attenzione sul tema della corretta gestione delle informazioni acquisite attraverso le telecamere TVCC, ricordando come sia imprescindibile trovare un equilibrio tra la videosorveglianza e il diritto alla riservatezza dei cittadini.
Nella società moderna, l’uso della videosorveglianza è ormai consolidato ed è stata da tempo superata la diffidenza dei cittadini nei confronti delle telecamere, a favore di una maggiore consapevolezza, invece, dei diritti personali da tutelare.
Le telecamere di sicurezza vengono installate ovunque: negli spazi pubblici, negli ambienti di lavoro, nei condomini e nei negozi, con le principali finalità di garantire la tutela del patrimonio e la sicurezza delle persone e svolgere una funzione deterrente per furti, atti vandalici, rapine, aggressioni e altre situazioni di pericolo in cui si possono trovare i cittadini.
Occorre inoltre considerare che le immagini riprese dalle telecamere hanno anche valenza per le finalità probatorie dei giudizi di natura civilistica, nel corso dei quali viene spesso depositata la videoripresa del fatto costituente illecito risarcibile o dell’evento che ha dato luogo alla tutela del diritto azionato.
L’attenzione crescente al tema del trattamento dei dati
La crescente cultura della videosorveglianza, compatibilmente con le perplessità sollevate dalle associazioni che tutelano i diritti civili dei cittadini e si battono affinché non si pervenga a una sorveglianza di massa, è stata favorita anche dalla costante attività di informazione dell’autorità Garante per la protezione dei dati personali, che proprio al fine di tutelare i cittadini periodicamente emette provvedimenti e linee guida, sia a livello nazionale sia a livello europeo, per orientare la corretta gestione dei dati acquisiti tramite gli impianti di videosorveglianza pubblici e privati.
Il principale obiettivo dell’autorità è quello di sensibilizzare i cittadini sulla possibilità di tenere sotto controllo i loro dati personali, ma, soprattutto, di indurre i titolari del trattamento dati al rispetto delle norme che disciplinano la materia, posto che la raccolta e il trattamento delle immagini registrate dalle telecamere implicano soprattutto una gestione trasparente e responsabile dei dati personali acquisiti.
In Europa, il GDPR (Regolamento Generale sulla Protezione dei Dati) stabilisce che il trattamento dei dati personali deve avvenire nel rispetto di principi fondamentali come liceità, correttezza, trasparenza e minimizzazione. In Italia, il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, modificato dal D.Lgs. 101/2018) integra il GDPR con specifiche disposizioni nazionali.
Un aspetto particolarmente rilevante riguarda l’uso della videosorveglianza nei luoghi di lavoro, disciplinato dall’art. 4 della Legge n. 300/1970 (Statuto dei lavoratori) che impone vincoli stringenti per evitare il controllo illecito sui dipendenti.
Gli aspetti più controversi
Negli ultimi anni, il Garante per la protezione dei dati personali ha riscontrato numerose violazioni delle normative sulla videosorveglianza, comminando sanzioni a enti pubblici, imprese e perfino privati cittadini responsabili di installazioni quantomeno discutibili. Un fenomeno incentivato dalla crescente diminuzione dei prezzi al dettaglio delle telecamere, che peraltro ha posto un problema non irrilevante di sicurezza a partire da quando è apparso chiaro che per prodotti di scarso valore i produttori non prevedono assistenza dopo la vendita e che proprio questi dispositivi risultano nel tempo particolarmente vulnerabili agli accessi non autorizzati, con ogni prevedibile conseguenza.
Per quanto riguarda gli illeciti rilevati dall’autorità Garante, le irregolarità più comuni riguardano l’installazione di telecamere senza adeguata informazione agli interessati sulla raccolta e sul successivo utilizzo dei dati. Un altro argomento scottante è quello della videosorveglianza sui luoghi di lavoro, la cui disciplina, anche dopo le modifiche all’art. 4 della L. 300/1970 a opera del Jobs Act del 2015, ha avuto interpretazioni altalenanti e spesso contrastanti tra pareri del Garante e pronunce della giurisprudenza.
Uno degli argomenti più dibattuti riguarda anche la riservatezza nei luoghi pubblici, che il Garante ritiene doversi comunque accordare ai cittadini, mentre per la Corte di Cassazione la tutela dev’essere attenuata in ragione del fatto che in qualsiasi luogo pubblico non si può avere una ragionevole aspettativa di riservatezza, perché tutto ciò che può essere percepito dall’occhio umano è parimenti rilevabile da uno strumento elettronico.
Quello di cui si deve invece tener conto sono gli utilizzi (leciti o illeciti) che vengono fatti del materiale acquisito. Ecco un’analisi dei provvedimenti più recenti per comprendere quali errori sono stati commessi e come si sarebbe potuto evitarli.
Una questione giuridica, ma anche morale
La videosorveglianza dev’essere utilizzata in modo responsabile, nel rispetto dei diritti fondamentali delle persone. Non è ammissibile l’improvvisazione: occorre dotarsi di dipendenti e professionisti esperti del settore. Sottovalutare il problema e ritrovarsi censurabili per l’assenza di trasparenza, il mancato rispetto delle autorizzazioni necessarie, la raccolta eccessiva di dati personali, la mancanza di misure adeguate di sicurezza comporta sanzioni, anche importanti, a carico di istituzioni e imprese.
Garantire il rispetto della complessa disciplina delle tecnologie digitali e delle informazioni (anche personali) non è solo un obbligo legale, ma un dovere morale e, soprattutto, un problema di responsabilità del management nei confronti degli investitori (o dei dirigenti nei confronti della Corte dei Conti, quando a trovarsi coinvolto è un ente pubblico).
Il rispetto dei diritti fondamentali dell’individuo, inoltre, è indispensabile per costruire un rapporto di fiducia con le persone coinvolte, che siano cittadini, dipendenti, clienti o fornitori. I clienti ormai valutano il fornitore anche dalla cura con cui vengono trattati i loro dati personali: un tema complementare a quello del controllo richiesto dalla Direttiva NI S2 sulla supply chain delle imprese e delle istituzioni strategiche per il Paese, quando sono in ballo la sicurezza delle informazioni e la capacità di reagire a un incidente informatico.
È necessario quindi fare un uso consapevole delle tecnologie digitali, per evitare errori che potrebbero avere conseguenze gravi sul piano giuridico ed economico.
Il caso dell’hotel - Videosorveglianza invasiva su clienti e dipendenti
Tra gli episodi recenti più eclatanti, c'è il caso di una struttura ricettiva in cui il sistema di videosorveglianza è stato utilizzato in modo invasivo, arrivando a riprendere non solo gli ingressi e i parcheggi, ma anche le piscine, gli spogliatoi e persino il lettore di badge per i dipendenti.
Le ispezioni del Garante hanno rivelato una situazione quantomeno discutibile anche sotto il profilo morale: le telecamere erano infatti posizionate negli spogliatoi dei dipendenti e, pur non registrando direttamente le persone mentre si cambiavano, riprendevano comunque aree sensibili senza comunicare l’esecuzione delle riprese.
Inoltre, un dispositivo era stato occultato sopra il lettore di badge, facendo emergere un chiaro intento di controllo a distanza del personale. Inevitabile la contestazione della violazione dell’art. 4 dello Statuto dei lavoratori, che vieta qualsiasi forma di sorveglianza occulta in assenza di accordo sindacale o autorizzazione della locale Direzione Territoriale del Lavoro.
Un’altra grave mancanza mancanza riscontrata è stata l’assenza di cartelli informativi adeguati, che avrebbero dovuto avvisare clienti e lavoratori della presenza delle telecamere. Solo a seguito dell’intervento del Garante, la struttura ha rimosso le telecamere dagli spogliatoi e aggiornato le proprie procedure, ma le sanzioni sono state inevitabili.
Questo caso dimostra quanto sia essenziale garantire la trasparenza nell’uso della videosorveglianza, specialmente in ambienti privati nei quali, anche senza una specifica finalità, potrebbero essere acquisiti dati di natura particolare.
In Comune - Videosorveglianza stradale senza informativa ai cittadini
Un Comune è stato scoperto a utilizzare la videosorveglianza senza le necessarie autorizzazioni e informazioni agli utenti. Le pubbliche amministrazioni, in particolare, confondono spesso la facoltà di esercitare il controllo senza bisogno di acquisire il consenso degli interessati con la necessità di informare gli utenti dell’esistenza delle telecamere, delle loro finalità, dei tempi di conservazione delle immagini e delle modalità di esercizio dei diritti da parte degli interessati.
Questo significa che anche i sistemi di telecamere per il controllo del traffico e la sicurezza urbana, grazie agli accordi che possono essere stipulati con le prefetture, possono essere fonte di sanzioni da parte dell’autorità Garante perché installati in assenza delle procedure propedeutiche o di adeguata cartellonistica e informazione ai cittadini.
Durante le ispezioni, è emerso, per l’appunto, che non erano stati collocati i cartelli necessari ad avvisare gli automobilisti della presenza delle telecamere, con la conseguenza che il mancato rispetto del principio di trasparenza e correttezza ha portato alla contestazione di molteplici violazioni del GDPR, anche in relazione alle linee guida dell’European Board of Data Protection (2019), nelle quali è stata esplicitata a più riprese la corretta modalità di rispetto del regolamento.
Per evitare sanzioni, sarebbe stato sufficiente predisporre la segnaletica adeguata, con informazioni chiare sulle finalità della videosorveglianza e sui tempi di conservazione delle immagini, anche mediante l’apposizione di QR code tramite cui rinviare i cittadini a informative più complete pubblicate, eventualmente, sul sito dell’amministrazione.
Quello della pubblicazione tramite il sito istituzionale di tutte le informative sui trattamenti di dati personali operati è un altro punto critico per enti e istituzioni, che continuano a preoccuparsi di rendere raggiungibili le sole informazioni sul trattamento dei dati di navigazione e tramite cookies - senza rendersi conto che il miglior strumento di trasparenza nei confronti dei cittadini, anche per le telecamere di sorveglianza urbana, è proprio il sito istituzionale.
In Comune (parte II) - Uso illecito della lettura targhe
In un altro Comune italiano, il sistema di videosorveglianza utilizzato per monitorare il traffico e la regolarità delle revisioni assicurative raccoglieva dati eccessivi, come il modello, il colore e la dimensione dei veicoli, andando oltre la finalità dichiarata per l’installazione dell’impianto.
Il Garante ha contestato l’assenza di una base giuridica chiara per il trattamento di questi dati e il mancato rispetto del principio di minimizzazione, che impone di raccogliere solo le informazioni strettamente necessarie a svolgere i compiti istituzionali e a raggiungere lo scopo cui è finalizzato il trattamento.
L’ente ha avuto difficoltà anche a giustificare la conservazione delle immagini per ben 180 giorni dalla raccolta, termine giudicato dal Garante decisamente sproporzionato e come tale censurato. Dopo l’ispezione, il Comune ha dovuto limitare il trattamento dei dati, ridurre i tempi di conservazione delle riprese e rivedere le proprie procedure per conformarsi alle norme vigenti.
Il caso del centro medico - Videosorveglianza senza autorizzazione
L’informazione a dipendenti e visitatori/clienti è uno degli argomenti sui quali più spesso le pubbliche amministrazioni e le imprese vengono sanzionate, come conferma un’altra vicenda significativa pervenuta all’attenzione dell’autorità Garante per la protezione dei dati personali italiana: ne è scaturito un provvedimento sanzionatorio, nel mese di dicembre 2024, a carico di un poliambulatorio in cui le telecamere di sorveglianza erano state installate senza richiedere l’autorizzazione dell’Ispettorato del lavoro, nonostante inquadrassero aree frequentate anche dai dipendenti.
Il sistema era attivo da diverse settimane senza che i lavoratori fossero stati informati del trattamento dei dati personali; in aggiunta a tale illecito, potevano venire coinvolti nel trattamento anche ignari pazienti.
Le ispezioni hanno infatti accertato che la struttura non aveva affisso alcun cartello informativo, rendendo impossibile per dipendenti e pazienti comprendere di essere ripresi e poter esercitare i loro diritti.
La società ha tentato di giustificarsi, sostenendo che il sistema era stato attivato solo per test tecnici e che le telecamere non erano effettivamente operative; tuttavia, se solo si considera che l’accordo sindacale ovvero l’autorizzazione della Direzione Territoriale del Lavoro devono essere necessariamente acquisiti prima di installare l’impianto, appare evidente come la maldestra giustificazione abbia solo confermato l’inadeguatezza del titolare a gestire il sistema per l’assoluta mancanza di conoscenza della normativa vigente e delle prassi di riferimento.
Dopo l’irrogazione della sanzione, il centro medico ha disattivato il sistema, predisposto la documentazione necessaria, posto in essere le azioni correttive indicate dal Garante e richiesto le autorizzazioni necessarie ad assicurare una corretta installazione e gestione dell’impianto e dei dati che saranno acquisiti.
Videosorveglianza, come garantire la conformità alla normativa
Per l’uso legittimo della videosorveglianza, è necessario rispettare alcune regole fondamentali. È essenziale informare gli interessati, con cartelli chiari e ben visibili anche nelle ore notturne (aspetto spesso sottovalutato), che spieghino - almeno sommariamente, rinviando a un’informativa più dettagliata - chi è il titolare del trattamento, quali sono le finalità della sorveglianza, a chi rivolgersi per esercitare i vari diritti spettanti all’interessato e i tempi di conservazione delle immagini.
In ambito lavorativo, la situazione è più complessa, perché l’impianto dev’essere progettato anche per rispettare il diritto dei dipendenti a non essere oggetto di controllo a distanza durante l’attività lavorativa. È inoltre obbligatorio ottenere il consenso delle organizzazioni sindacali oppure, in mancanza di questo, una specifica autorizzazione della locale Direzione territoriale del lavoro. È altrettanto importante limitare la raccolta dei dati dal punto di vista qualitativo e quantitativo.
Enti e imprese devono abituarsi a progettare gli impianti in funzione delle finalità cui sono destinati, senza demandare tale attività all’installatore, che potrebbe non conoscere approfonditamente l’organizzazione del titolare, né lo scopo che in concreto intende perseguire. L’installatore, inoltre, non può sapere quali aree è consentito inquadrare e quali devono essere mascherate o evitate: ecco perché è importante che il titolare, nell’affidamento dell’incarico, consegni all’installatore un progetto dettagliato, dal quale desumere (senza creatività) le soluzioni tecniche più opportune da adottare.
Infine, solo il titolare può portare a termine la riflessione sui tempi di conservazione delle immagini, rispetto ai quali sarebbe opportuna anche una valutazione d’impatto con il responsabile della protezione dei dati (ove nominato), per comprendere le possibili conseguenze che il trattamento e un eventuale data breach potrebbero avere sui diritti e sulle libertà degli interessati.
A partire da queste considerazioni, si possono far derivare le eventuali azioni correttive necessarie a riportare il rischio all’interno di alvei accettabili e, soprattutto, prendere la decisione di una consultazione preventiva con il Garante per la protezione dei dati personali (di cui all’art. 36 del GDPR).
