Garante per la protezione
    dei dati personali


Sistema di videosorveglianza all'interno di un bar

PROVVEDIMENTO DEL 18 SETTEMBRE 2014

Registrodei provvedimenti
 n. 412 del 18 settembre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

ESAMINATAla documentazione in atti;

VISTO ild.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali, di seguito "Codice");

VISTO ilprovvedimento generale del Garante dell'8 aprile 2010, in materia ditrattamento di dati personali effettuato tramite sistemi di videosorveglianza(G.U. n. 99 del 29 aprile 2010);

VISTI iverbali di accertamento ispettivo del 14 e 19 maggio 2014  redatti dal"Nucleo Speciale Privacy" della Guardia di finanza, aventi ad oggettoil trattamento effettuato mediante un impianto di videosorveglianza installatopresso il Ristorante Bar Barocco situato in Roma e gestito da Insaf s.r.l. (diseguito, la società), dai quali è emerso che:

-    il menzionato sistema divideosorveglianza, installato "da circa sette o otto mesi"all'interno dell'esercizio commerciale per finalità "di tutela del patrimonioaziendale, ivi compresi i beni, i dipendenti ed i clienti", comprendequattro telecamere, due interne e due esterne al locale, un monitor posizionatonei pressi della cassa ed un registratore digitale, completo di relativomonitor di servizio, posto all'interno di un'apposita stanza (cfr. verbale14.5.2014, p. 2 e 3);

-    le immagini registrate dalpredetto impianto, funzionante nell'arco delle 24 ore, sono conservate persette giorni ed in seguito automaticamente sovrascritte (cfr. verbale cit., p.2);

-    l'accesso alle immagini registrateè consentito solo al legale rappresentante della società, per quantoquest'ultimo abbia dichiarato in sede ispettiva di "non vision[are] mai leimmagini registrate e [di] non intervenire mai sul sistema di videosorveglianza"(cfr. verbale cit., p. 2 e 3);

-    in prossimità dell'areavideosorvegliata, esternamente al locale, sono stati rilevati tre cartelliinformativi risultati sprovvisti dell'indicazione del titolare e delle finalitàdel trattamento, come invece previsto dalla disciplina in materia di protezionedei dati personali e dal provvedimento generale adottato dal Garante l'8 aprile2010  (cfr. verbale cit., p. 3 e All. 4); in particolare tale profilo èstato oggetto di contestazione di violazione amministrativa da parte dellaGuardia di finanza con verbale del 19 maggio 2014;

-    le telecamere riprendono aree ovesi svolge l'attività dei dipendenti, come risultante dalla documentazionefotografica allegata (cfr. All. 1 e 2, verbale cit.);

-    con riferimento alla conformitàdel sistema installato alla disciplina di settore in materia di controllo adistanza dei lavoratori, il legale rappresentante ha prodotto un documentodatato 5.11.2013 e corredato "per accettazione" da 11 sottoscrizioni,con il quale "si comunica a tutti i dipendenti che all'interno del localeper motivi di sicurezza [] e per motivi di tutela del patrimonio aziendale []sono state installate delle telecamere di videosorveglianza. I dati possonoessere comunicati su richiesta dell'autorità giudiziaria, su richiestadell'interessato previa verifica e accoglimento dell'istanza" (cfr. All.1, verbale 19.5.2014);

VISTOche, a seguito degli accertamenti, la società è risultata essere titolare deitrattamenti di dati personali effettuati ai sensi dell'art. 28 del Codice;

CONSIDERATOche l'installazione di sistemi di rilevazione delle immagini deve avvenire nelrispetto, oltre che della disciplina in materia di protezione dei datipersonali, anche delle altre disposizioni dell'ordinamento civile e penale applicabili,comprese le vigenti norme in materia di controllo a distanza dei lavoratori;

RILEVATOche il divieto di controllo a distanza dell'attività lavorativa – e conesso le garanzie previste dall'art. 4, comma 2, l. n. 300/1970 – nonviene meno per il fatto che i lavoratori siano al corrente dell'esistenza delsistema di videosorveglianza e del suo funzionamento (cfr. Cass., 18 febbraio1983, n. 1236; Cass., sez. lav., 16 settembre 1997, n. 9211);

RILEVATOche in atti risulta un'informativa resa ai dipendenti (peraltro non a tutti)riguardante l'esistenza di un impianto di videosorveglianza;

RILEVATOche il sistema risulta idoneo a riprendere e registrare immagini riferite nonsolo alla clientela ma anche all'attività dei lavoratori che, nello svolgimentodei propri compiti, transitano o operano nelle aree interessate;

RILEVATOche non risultano essere state attivate le garanzie previste dalla disciplinain materia di controllo a distanza dei lavoratori, come richiesto dall'art. 4,comma 2, l. n. 300/1970 (richiamato dall'art. 114 del Codice);

RITENUTOpertanto che il descritto trattamento risulta effettuato dalla società inviolazione della disciplina di protezione dei dati personali nonché dellarilevante disciplina di settore (artt. 11, comma 1, lett. a) e 114 del Codicein relazione all'art. 4, comma 2, l. n. 300/1970);

RILEVATOche le immagini registrate risultano essere conservate per un periodo di settegiorni senza che il titolare del trattamento abbia rappresentato esigenzespecifiche che renderebbero necessaria tale ulteriore conservazione dei datirispetto ai termini ritenuti congrui, in applicazione del principio diproporzionalità, nel citato provvedimento generale in materia divideosorveglianza dell'8 aprile 2010 (cfr. in particolare punto 3.4);

CONSIDERATOche, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), delCodice il Garante può prescrivere anche d'ufficio le misure necessarie oopportune al fine di rendere il trattamento conforme alle disposizioni vigenti;

RITENUTOpertanto, impregiudicati gli esiti del procedimento avviato con verbale dicontestazione di violazione amministrativa n. 27 del 19 maggio 2014, di doverprescrivere alla società, quali misure necessarie al fine di rendere ilsuddetto trattamento conforme alla disciplina in materia di protezione dei datipersonali, di:

-   attivare le procedure previste dalrichiamato art. 4, comma 2, l. n. 300/1970, fatti salvi nel frattempo i dirittidei lavoratori;

-   commisurare il tempo di conservazionedelle immagini alle effettive necessità della raccolta nei termini previsti dalprovvedimento generale dell'8 aprile 2010;

-   integrare l'informativa semplificata darendere agli interessati con gli elementi indicati dal provvedimento generaledell'8 aprile 2010 (con particolare riferimento alla finalità e alla titolaritàdel trattamento);

RILEVATOche, in caso di inosservanza del presente provvedimento, si renderà applicabilela sanzione di cui all'art. 162, comma 2-ter del Codice;

VISTE leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

TUTTO CIO' PREMESSO, IL GARANTE

neiconfronti di Insaf s.r.l. con riferimento al trattamento effettuato pressol'esercizio commerciale Ristorante Bar Barocco sito in via Napoli n. 45/48 inRoma:

1.   dichiara illecito, nei termini di cuiin motivazione, il trattamento effettuato a mezzo del sistema divideosorveglianza;

2.  prescrive, ai sensi dell'art. 154, comma 1,lett. c) e 143, comma 1, lett. b) del Codice, di procedere senza ritardo, ecomunque entro e non oltre 30 giorni dal ricevimento del presenteprovvedimento, a:

-    attivare le procedure previstedall'art. 4, comma 2, l. n. 300/1970, fatti salvi nel frattempo i diritti deilavoratori;

-    commisurare il tempo diconservazione delle immagini alle effettive necessità della raccolta neitermini previsti dal provvedimento generale dell'8 aprile 2010;

-    integrare l'informativasemplificata da rendere agli interessati con gli elementi indicati dalprovvedimento generale dell'8 aprile 2010 (con particolare riferimento allafinalità e alla titolarità del trattamento);

3.  ai sensi dell'art. 157 del Codice, invita lasocietà a dare comunicazione al Garante delle misure adottate entro 40 giornidalla data di ricezione del presente provvedimento.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 18 settembre 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia