|
ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex
Con il provvedimento del 26 ottobre 2023, n. 502 il Garante privacy si occupa nuovamente dei sistemi di videosorveglianza. Questa volta però il trasgressore, un Amministratore di condominio, viene qualificato non già Responsabile del trattamento ai sensi dell’art. 28 GDPR, bensì Titolare del trattamento proprio per le peculiarità del caso concreto.
1. Il reclamo, l’istruttoria preliminare e l’avvio del procedimento
Il Garante privacy, su iniziativa di un condomino, il quale lamentava che il proprio amministratore di condominio aveva provveduto a installare un sistema di videosorveglianza in assenza della delibera assembleare, formulava una richiesta di informazioni nei confronti di quest’ultimo.
Tale richiesta, inviata all’indirizzo e-mail dell’Amministratore, restava inevasa. Pertanto, veniva delegato il Nucleo tutela privacy e frodi tecnologiche della Guardia di finanza al fine di notificare all’amministratore l’atto di avvio del procedimento sanzionatorio, per la violazione dell’art. 157 del Codice privacy nonché ad acquisire le informazioni ulteriori.
All’esito dell’accertamento ispettivo risultava che, presso il Condominio era presente un sistema di videosorveglianza composto da due telecamere, posizionate all’esterno dell’edificio, attive e funzionanti, il cui angolo visuale era esteso all’area destinata al parcheggio e al cancello di accesso, con parziale visione della strada pubblica.
Inoltre, risultava che tale impianto era stato installato nel mese di novembre 2020 in assenza della delibera dell’assemblea condominiale.
I condomini erano stati avvisati dell’installazione delle telecamere con una e-mail.
Le immagini erano visualizzabili sul telefonino dell’amministratore tramite l’immissione di codice e password. Veniva, inoltre, accertata la presenza di cartelli recanti l’informativa di cui all’art. 13 del Regolamento, ancorché privi dell’indicazione del titolare del trattamento.
Il trasgressore evidenziava come tutti i condomini fossero concordi nella necessità di provvedere all’installazione di un impianto di videosorveglianza, per far fronte ai continui danneggiamenti che si verificavano nell’area antistante il Condominio, e che l’impianto in questione era stato installato con urgenza, riservandosi di adottare la delibera condominiale alla prima occasione utile.
2. Il quadro giuridico del trattamento effettuato
Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, rilevava il Garante privacy come tale trattamento debba essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento e, in particolare del principio di liceità e trasparenza (art. 5, par. 1, lett. a) e del principio di limitazione delle finalità (art. 5, par. 2, lett. b).
Sotto questo aspetto, occorre richiamare le Linee guida n. 3/2019 sul trattamento dei dati personali mediante dispositivi video, adottate dal Comitato europeo per la protezione dei dati il 29/01/2020, in base alle quali, prima di procedere a un trattamento di dati personali mediante impianti di videosorveglianza, è necessario che vengano specificate in maniera dettagliata le finalità del trattamento, le quali devono essere documentate per iscritto e specificate per ogni telecamera in uso.
Inoltre, gli interessati devono essere sempre informati che stanno per accedere a un’area videosorvegliata nonché delle finalità del trattamento stesso, ai sensi dell’art. 13 del Regolamento (par. 3, n. 15 Linee guida cit.).
A tale scopo, quindi, occorre che il titolare del trattamento predisponga idonei cartelli informativi affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”.
Analogamente le citate Linee guida chiariscono che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento stesso (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)” (par. 7, n. 111).
Nelle Linee guida si prevede inoltre che “Tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”.
Le informazioni dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi) “per consentire all’interessato di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario” (par. 7.1.1, n. 113).
Con riferimento ai presupposti di liceità del trattamento, le Linee guida in materia di videosorveglianza prevedono che “In linea di principio, ogni fondamento di diritto ai sensi dell’articolo 6, paragrafo 1, può fornire una base giuridica per il trattamento dei dati di videosorveglianza (…). Tuttavia, nella pratica, le disposizioni più suscettibili di essere utilizzate sono: articolo 6, paragrafo 1, lettera f) (legittimo interesse); articolo 6, paragrafo 1, lettera e) (necessità al fine di eseguire un compito di interesse pubblico)”(par. 3). In particolare, “la videosorveglianza è lecita se è necessaria per conseguire la finalità di un legittimo interesse perseguito da un titolare del trattamento o da un terzo, a meno che su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato (articolo 6, paragrafo 1, lettera f)”.
In ultimo, si fa presente che l’installazione di impianti di videosorveglianza in ambito condominiale è stato regolamentato dall’art. 1122-ter c.c. (introdotto dalla legge di riforma del condominio con la legge 11 dicembre 2012 n. 220) il quale prevede che “Le deliberazioni concernenti l’installazione sulle parti comuni dell’edificio volti a consentire la videosorveglianza su di esse sono approvate dall’assemblea con la maggioranza di cui al secondo comma dell’art. 1136” (ovvero un numero di voti che rappresenti la maggioranza degli intervenuti e almeno la metà del valore dell’edificio).
La delibera condominiale rappresenta lo strumento che consente all’amministratore di dare esecuzione alle decisioni assunte dai condomini durante l’assemblea (art. 1130, 1 co, punto 1, c.c.), in virtù del mandato ricevuto.
L’amministratore, in qualità di mandatario, soggiace infatti alle regole generali dettate dal Codice civile per questa fattispecie contrattuale, a cui espressamente fa rinvio l’art. 1129, co. 15, c.c. (norma recante “Nomina, revoca e obblighi dell’amministratore”).
Sotto altro profilo, osservava il Garante privacy che la delibera condominiale rappresenta, in questo ambito il presupposto necessario per la liceità del trattamento realizzato, mediante la videosorveglianza, in ambito condominiale. Infatti, mediante tale atto, i condomini concorrono a definire le caratteristiche principali del trattamento, andando a individuare le modalità e le finalità del trattamento stesso, i tempi di conservazione delle immagini riprese, l’individuazione dei soggetti autorizzati a visionare le immagini.
Il Condominio nel suo complesso, pertanto, assume in tal modo la qualifica di titolare del trattamento, come risulta dalla definizione resa dall’art. 4, n. 7, del Regolamento.
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori
Per quanto concerne la mancata risposta alla richiesta di informazioni formulata in sede istruttoria dall’Autorità, ai sensi dell’art. 157 del Codice, il Garante privacy, preso atto della circostanza che la nota dell’Ufficio inviata all’indirizzo e-mail personale dell’amministratore, non risulta essere stata ricevuta dal destinatario, in assenza di prova contraria, essendo la comunicazione stata inviata a un indirizzo di posta elettronica ordinario (non certificato), disponeva l’archiviazione del procedimento.
Con riferimento invece al trattamento effettuato a mezzo del sistema di videosorveglianza, osservava l’Autorità indipendente che, dall’esame complessivo della documentazione acquisita nel corso del procedimento, era emerso che l’installazione delle telecamere presso il Condominio è stata disposta direttamente dall’amministratore, in assenza della delibera condominiale prevista dall’art. 1122-ter c.c, essendosi lo stesso limitato, in occasione dell’assemblea del 12 dicembre 2019, “a invitare i condomini a produrre preventivi per la messa in opera di telecamere idonee alla tutela dello spazio esterno condominiale.
L’assenza di una delibera condominiale, in relazione alla specifica questione, ha fatto sì che l’amministratore abbia operato al di fuori dei compiti a lui attribuiti dalla normativa (l’art. 1130 c.c., infatti, nell’elencare i compiti propri dell’amministratore, individua, al primo punto, proprio l’esecuzione delle delibere assembleari, riconoscendogli una certa autonomia, solo per ciò che concerne la gestione ordinaria, la disciplina dell’uso delle cose comuni e la prestazione dei servizi nell’interesse comune).
A ciò si aggiunga come dagli atti risulti che l’amministratore del condominio si sia occupato di fare installare le telecamere, definendone anche l’angolo visuale, e si sia dotato di un’applicazione per visionare le immagini attiva sul proprio smartphone, previo inserimento di credenziali di autenticazione a lui solo conosciute.
Tali circostanze, osserva il Garante privacy, esaminate nel loro complesso, assumono particolare rilievo ai fini della corretta individuazione del titolare del trattamento e della connessa imputabilità delle responsabilità derivanti dall’inosservanza della disciplina in materia di protezione dei dati personali, contribuendo a qualificare, in questo caso, l’amministratore (e non il Condominio) come titolare del trattamento.
Ciò posto, ne deriva che il trattamento dei dati personali in questione sia stato effettuato dall’amministratore in assenza di un idoneo presupposto di liceità, ai sensi dell’art. 6 del Regolamento.
Se, infatti, il perseguimento di un legittimo interesse del titolare a tutelare la proprietà da furti o atti vandalici, poteva essere perseguita dal Condominio mediante l’installazione dell’impianto di videosorveglianza a fronte della necessità della misura, rapportata a una situazione di rischio reale e sulla base di adeguato bilanciamento con i diritti e le libertà fondamentali degli interessati, si osserva invece come il trattamento realizzato dall’amministratore, al contrario, non sia sorretto da nessuna di tali circostanze.
Infatti, non risulta in capo all’amministratore un legittimo interesse, effettivo e attuale, nonché collegato a una situazione di reale difficoltà, che gli consenta di effettuare lecitamente il trattamento per mezzo delle videocamere.
Ciò posto, rilevava che il trattamento in questione è illecito perché effettuato in violazione dei principi generali di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) del Regolamento) nei confronti di tutti gli interessati (condomini e non) nonché in assenza di un idoneo presupposto di legittimità ai sensi dell’art. 6 del Regolamento.
4. Conclusioni: dichiarazione di illiceità del trattamento e adozione dell’ordinanza ingiunzione
Il trattamento dei dati personali effettuato dall’amministratore attraverso il sistema di videosorveglianza risultava quindi illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e 6 del Regolamento anche sulla base delle seguenti circostanze: con riguardo alla natura, gravità e durata della violazione, veniva presa in considerazione la condotta dell’amministratore di condominio che, in assenza della richiesta delibera assembleare, aveva avviato il trattamento dei dati per mezzo di un sistema di videosorveglianza.
Rilevava, quale aggravante della condotta, la circostanza che tale adempimento è espressamente previso dal codice civile all’art. 1122-ter, nella parte dedicata alle regole per la gestione dei condomini.
In ragione dei suddetti elementi, valutati nel loro complesso, il Garante privacy riteneva di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000,00 (mille) per la violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento e di ordinare la pubblicazione del presente provvedimento sul sito internet del Garante.