|
ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex
Il Garante privacy nel Provvedimento 16 novembre 2023, n. 579 rileva una serie di violazioni di legge in merito al trattamento dei dati in capo ad un Comune che vanno dalla erronea base giuridica (il consenso) alla trasmissione del filmato (comprensivo di audio) senza idonea motivazione, alla mancanza dell’informativa sul trattamento dei dati nonchè della valutazione di impatto e ne fa conseguire una pesante sanzione.
Fatto
La vicenda in commento origina da un reclamo al Garante Privacy, ai sensi dell’art. 77 del Regolamento n. 679/2016 “GDPR”, con cui un Vice Commissario della Polizia locale segnalava l’installazione di una telecamera posta all’interno di un altro Comando di Polizia locale, prospiciente il front-office.
La telecamera era stata installata dal Comando di Polizia Locale di Castel Goffredo, su richiesta degli stessi dipendenti, per motivi di sicurezza personale anche in conseguenza di fatti pregressi come da relazione di servizio agli atti. Tale dispositivo, oltre ad effettuare riprese audio-video, non era debitamente segnalato mediante apposita cartellonistica né il Titolare prima della sua installazione aveva provveduto ad effettuare una valutazione di impatto ai sensi dell’art. 35 GDPR.
La successiva trasmissione del filmato, era avvenuta su istanza del Comandante della Polizia Locale di un vicino Comune, per presunte indagini di Polizia giudiziaria. La richiesta era stata preceduta da contatti informali (WhatsApp) che hanno indotto l’ufficio al salvataggio delle immagini, in deroga al limite di 7 gg imposto per la conservazione delle immagini.
1. La disciplina in materia di trattamento dei dati personali relativa alla videosorveglianza sul posto di lavoro
In base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1 GDPR) dei lavoratori se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 GDPR). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, parr. 1, lett. e), 2 e 3 GDPR; 2-ter del Codice, nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente all’epoca dei fatti oggetto di reclamo).
In base alla disciplina di protezione dei dati, i soggetti pubblici possono trattare dati personali se il trattamento è necessario, in particolare, “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) GDPR).
Nella parte motiva del provvedimento, evidenziava il Garante privacy che l’operazione di comunicazione di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (v. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).
Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli artt. 13 e 14 GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12 del Regolamento).
Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di primo livello, mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13” GDPR ed “essere facilmente accessibili per l’interessato” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; v. anche la FAQ n. 4 del Garante in materia di videosorveglianza, doc. web n. 9496574).
Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., spec. par. 114, che forniscono anche un modello esemplificativo di cartello con l’informativo di primo livello). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi) (ibidem, cit., par. 115). La segnaletica di avvertimento di primo livello deve, inoltre, contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.
2. Esiti dell’istruttoria
Sulla base di quanto è emerso nel corso dell’istruttoria, il Garante privacy accertava che il Comune, per un periodo determinato aveva installato e messo in funzione all’interno dei locali del Comando di Polizia Locale una telecamera di videosorveglianza, senza aver previamente esperito le procedure di garanzia di cui all’art. 4, comma 1, della L. n. 300/1970.
A tal riguardo, evidenziava l’Autorità amministrativa indipendente che le esigenze di sicurezza, pure invocate dal Comune nelle sue controdeduzioni, non possono di per sé sole, in base al quadro normativo sopra delineato, legittimare il trattamento dei dati personali mediante strumenti dai quali può derivare anche la possibilità di controllo a distanza dei lavoratori, come la telecamera di videosorveglianza in questione, in assenza delle garanzie previste dall’art. 4, comma 1, L. n. 300/1970.
Sul punto, anche la giurisprudenza della Corte europea dei diritti dell’uomo, nel caso Antovic e Mirković v. Montenegro (Application n. 70838/13 del 28.11.2017), ha stabilito che il rispetto della “vita privata” deve essere esteso anche ai luoghi di lavoro pubblici (nel caso di specie, le aule universitarie), evidenziando che la videosorveglianza sul posto di lavoro pubblico può essere giustificata solo nel rispetto delle garanzie previste dalla legge nazionale applicabile, in mancanza delle quali costituisce un’interferenza illecita nella vita privata del dipendente, ai sensi dell’art. 8, par. 2, della Convenzione Europea dei Diritti dell’Uomo.
Pertanto, il rispetto del citato art. 4, comma 1, anche per effetto del rinvio ad esso contenuto nell’art. 114 del Codice, costituisce condizione di liceità del trattamento dei dati personali (cfr., da ultimo, con riguardo al ricorso alla videosorveglianza sui luoghi di lavoro, provv.ti 16 settembre 2021, n. 331, doc. web n. 9719768; 11 marzo 2021, n. 90, doc. web n. 9582791; 5 marzo 2020. n. 53, doc. web n. 9433080; 19 settembre 2019, n. 167, doc. web n. 9147290; v., a livello europeo, le indicazioni contenute nelle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati del 29 gennaio 2020, spec. par. 11, nonché le precedenti indicazioni del Gruppo di Lavoro Articolo 29 nel “Parere 2/2017 sul trattamento dei dati sul posto di lavoro”, WP 249; in giurisprudenza, v. Cass. pen., sez. 3, 17 dicembre 2019, n. 50919; Cass. civ., sez. 1, 19 settembre 2016, n. 18302).
3. Il consenso come base giuridica ai sensi dell’art. 6 GDPR
Rileva il Garante privacy come non è idonea a far venir meno l’obbligo di conformarsi alla richiamata disciplina la circostanza, rappresentata dal Comune, che i lavoratori in servizio presso il Comando della Polizia locale avessero prestato il proprio consenso all’installazione della telecamera in questione.
Al riguardo si fa presente che il consenso, stante la asimmetria contrattuale connaturata dal rapporto di lavoro, non costituisce di regola un’idonea base giuridica per i trattamenti di dati personali in ambito lavorativo (v., tra gli altri, provv.ti 28 ottobre 2021, n. 384, doc. web n. 9722661 e 13 dicembre 2018, n. 500, doc. web n. 9068983, punto 3.1.; con specifico riferimento alla videosorveglianza v. provv.ti 4 luglio 2013, n. 336, doc. web n. 2578071 e 18 luglio 2013, n. 361, doc. web n.2605290; v. anche Comitato per la protezione dei dati, “Linee Guida sul consenso ai sensi del Regolamento UE 2016/679”, WP 259, del 4 maggio 2020, par.3.1.1, nonché “Parere 2/2017 sul trattamento dei dati sul posto di lavoro”, adottato dal Gruppo di lavoro art. 29 in data 8 giugno 2017, WP 249).
Tale considerazione è valida anche con riguardo ai trattamenti posti in essere da soggetti pubblici, circostanza che, pure, ricorre nel caso di specie (cfr. cons. 43 GDPR). Peraltro, la giurisprudenza di legittimità ha più volte ritenuto che l’art. 4 della l. n. 300 del 1970 “tutela interessi di carattere collettivo e superindividuale” e, pertanto, anche il consenso, eventualmente prestato dai singoli lavoratori all’installazione di impianti, non è equivalente alla necessaria attivazione della procedura con le rappresentanze dei dipendenti o, in mancanza, all’autorizzazione pubblica non potendo essere sufficiente a scriminare la condotta vietata e penalmente sanzionata (v. Cass., sez. 3 penale, sent. 17 gennaio 2020, n. 1733 e precedenti pronunce ivi richiamate; cfr. provv. 16 settembre 2021, n. 331, cit.).
La telecamera di videosorveglianza in questione, catturando in via generalizzata l’audio e il video di qualsiasi evento occorso all’interno dell’area di ripresa nel Comando della Polizia locale del Comune, ha comportato il trattamento di dati personali relativi ai lavoratori e ad altri interessati (ad esempio, visitatori, utenti, fornitori, cittadini e altre categorie di interessati), in maniera non conforme al “principio di liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, GDPR, nonché 114 del Codice (in relazione all’art. 4, comma 1, della l. n. 300/1970).
4. La raccolta di dati non attinenti all’attività lavorativa: le registrazioni audio
Il Comune ha confermato, nel corso dell’istruttoria, che la telecamera di videosorveglianza installata presso il Comando della Polizia locale registrava anche il segnale audio.
Fin dal 1970, al datore di lavoro, pubblico e privato, è fatto divieto di “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” (v. art. 8 della l. n. 300/1970 e art. 10 del d.lgs. 10 settembre 2003, n. 276, richiamati espressamente dall’art. 113 del Codice).
Sul presupposto che la linea di confine tra ambito lavorativo e professionale e quello strettamente privato non può sempre essere tracciata in modo netto e che, pertanto, non può essere prefigurato il completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, la Corte europea dei diritti dell’uomo ha nel tempo confermato che la protezione della vita privata si estende anche all’ambito lavorativo, ove si svolgono le relazioni della persona che lavora (v. sentenze Niemietz c. Allemagne, 16.12.1992, ric. n. 13710/88, spec. par. 29; Copland v. UK, 03.04.2007, ric. n. 62617/00, spec. par. 41; Bărbulescu v. Romania, cit., spec. parr. 70-73 e 80; Antović and Mirković v. Montenegro, cit., spec. par. 41-42).
Tale tutela va assicurata, più in generale, a tutte le conversazioni private, che sono assistite dalle più elevate garanzie sul piano costituzionale (art. 21 Cost.).
La sproporzione del trattamento che consiste dell’acquisizione dell’audio sussiste, peraltro, di regola, nel più generale contesto dell’impiego di qualsiasi dispositivo video, anche al di fuori del contesto lavorativo (v. le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 129, ove si afferma che “le soluzioni individuate non dovrebbero prevedere funzioni non necessarie (ad esempio, movimento illimitato delle telecamere, capacità di zoom, radiotrasmissione, analisi e registrazioni audio). Le funzioni fornite, ma non necessarie, devono essere disattivate”).
Nel caso di specie, la generalizzata raccolta e la conservazione di registrazioni audio sul luogo di lavoro, attraverso una telecamera di videosorveglianza, in assenza di idonei presupposti giuridici e di chiare indicazioni e informazioni rese ai lavoratori, ha comportato la possibilità per il datore di lavoro di acquisire, nel corso dello svolgimento del rapporto di lavoro, informazioni sulle opinioni, relazioni o vicende afferenti alla vita privata dei lavoratori in servizio presso il Comando di Polizia Locale o su fatti comunque non rilevanti ai fini della valutazione dell’attitudine professionale, oggetto di conversazione tra gli stessi dipendenti e tra questi e soggetti terzi (ad esempio, utenti, visitatori, fornitori, familiari, ecc.).
Per tali ragioni, la condotta del Comune risulta, altresì, in contrasto con le disposizioni nazionali che vietano al datore di lavoro di acquisire (e comunque “trattare”) informazioni che “non [siano] rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” o comunque relative alla sfera privata degli interessati, in violazione degli artt. 5, par. 1, lett. a), 6 e 88 GDPR, nonché 113 del Codice (in relazione agli artt. 8 della l. n. 300/1970 e 10 del d.lgs. n. 276/2003).
5. La mancanza di trasparenza nei confronti degli interessati
Nel corso dell’istruttoria è emerso che l’informativa di primo livello sul trattamento dei dati personali, riportata nella cartellonistica, non era conforme ai requisiti previsti dalla normativa in materia di protezione dei dati, in quanto:
- conteneva riferimenti normativi obsoleti consistenti nel richiamo all’art. 13 del Codice, abrogato dal d.lgs. 10 agosto 2018, n. 101,
- era sprovvista di riferimenti all’identità e ai dati di contatto del titolare del trattamento e del responsabile della protezione dei dati da questi designato (art. 13, par. 1, lett. a) e b), GDPR); al periodo di conservazione dei dati (art. 13, par. 2, lett. a) GDPR); ai diritti degli interessati e alle modalità per esercitare gli stessi (art. 13, par. 2, lett. b) GDPR),
- difettava, altresì, di ogni riferimento alla registrazione dell’audio, non essendo stata, pertanto, fornita agli interessati un’“informazion[e] sugli impatti più consistenti del trattamento” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., spec. par. 114), esponendo gli stessi all’elevato rischio che informazioni di natura privata o di carattere confidenziale venissero acquisite dal Comune, senza che gli interessati ne avessero consapevolezza,
- non conteneva alcuna informazione in merito alle modalità con le quali gli interessati (ovvero tutti i soggetti, compresi i visitatori, ripresi dalla telecamera di videosorveglianza in questione) avrebbero potuto ricevere un’informativa completa, di secondo livello, sul trattamento dei propri dati (v. parr. 117-119 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit.), né è emerso dagli atti che il Comune abbia provveduto a redigere tale informativa di secondo livello e portarla a conoscenza degli interessati, ad esempio mediante pubblicazione della stessa sul sito web istituzionale del Comune.
6. La mancata redazione di una valutazione d’impatto sulla protezione dei dati
In attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 GDPR), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali ai sensi dell’art. 35 GDPR (cfr. cons. 90 GDPR).
Nel caso di specie, il trattamento delle registrazioni audio-video, mediante la predetta telecamera di videosorveglianza, è stato effettuato anche in assenza di una preliminare valutazione d’impatto sulla protezione dei dati.
Tenuto conto delle indicazioni fornite anche a livello europeo sul punto, si rileva, invece, che il trattamento in questione, comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo (art. 35 GDPR).
Tanto in considerazione della particolare “vulnerabilità” degli interessati nel contesto lavorativo (cfr. cons. 75 e art. 88 GDPR e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti”) e del fatto che in tale ambito l’impiego di sistemi che comportano il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (cfr. criterio n. 3 indicato nelle Linee guida, cit., ma vedi anche criteri 4 e 7), può presentare rischi in termini di possibile monitoraggio dell’attività dei dipendenti (cfr. artt. 35 e 88, par. 2, del GDPR; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1, che espressamente menziona i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”; v., tra gli altri, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).
Nel caso di specie, il Comune ha, invece, trattato i dati personali dei lavoratori in servizio presso il Comando di Polizia locale, mediante la telecamera di videosorveglianza in questione in assenza di una preliminare valutazione d’impatto sulla protezione dei dati e, pertanto, in violazione dell’art. 35 GDPR.
7. L’illecita comunicazione dei dati personali del reclamante ad un Ente terzo
Sulla base di quanto emerso nel corso dell’istruttoria, risulta accertato che altro Comando di Polizia locale chiedeva in via informale al Comandante della Polizia locale del Comune di Castel Goffredo la conservazione della registrazione audio/video avente ad oggetto il colloquio intercorso tra il reclamante e una dipendente del Comune di Castel Goffredo.
La richiesta veniva poi formalizzata con riferimento ad “indagini di Polizia giudiziaria” ed a seguito di tale richiesta veniva redatto verbale col quale si dava atto della consegna di pen drive contenente il filmato in questione.
Rilevava sul punto il Garante privacy che le operazioni di polizia giudiziaria da parte della Polizia locale, d’iniziativa dei singoli agenti durante il servizio, sono ammesse esclusivamente in caso di necessità dovuto alla flagranza dell’illecito commesso nel territorio di appartenenza. Diversamente, fuori da tale ipotesi, l’attività di polizia giudiziaria della Polizia locale è consentita esclusivamente “alla dipendenza e sotto la direzione dell’autorità giudiziaria” (art. 56 c.p.p.), limitatamente agli “atti ad essa specificamente delegati a norma dell’articolo 370, esegue[ndo] le direttive del pubblico ministero”, essendo invece preclusa ogni attività di iniziativa propria.
Nel caso in questione non sussisteva il presupposto della necessità dovuta dalla flagranza dell’illecito commesso durante il servizio e fuori dal territorio comunale (e anche provinciale) di propria competenza. Né emerge dalla documentazione in atti che l’acquisizione della registrazione in questione fosse stata disposta dall’autorità giudiziaria e che il predetto Comando Intercomunale avesse agito su delega della stessa.
Il Comune ha, pertanto, effettuato una comunicazione di dati personali in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).
8. La violazione del principio di limitazione della conservazione dei dati
Dai fatti sopra esposti consegue che il Comune di Castel Goffredo, appena ricevuta la richiesta informale ha conservato la registrazione in questione ben oltre il termine di sette giorni (intercorrente tra la richiesta formale e la consegna del dispositivo) che, in base al principio di responsabilizzazione, era stato stabilito dal Comune stesso per il perseguimento di finalità di sicurezza.
Non rileva, a tal riguardo, che il Comandante del predetto Comando Intercomunale avesse informalmente chiesto al Comandante della polizia locale del Comune, attraverso comunicazioni per le vie brevi, di conservare dette immagini in attesa che venisse formalizzata la nota di richiesta delle stesse.
Tale corrispondenza, del tutto priva delle necessarie caratteristiche di formalità e ufficialità – essendo, peraltro, intercorsa utilizzando gli account personali dell’applicazione “WhatsApp” – non poteva, infatti, considerarsi un presupposto idoneo per poter disporre la conservazione delle immagini oltre il termine di cancellazione automatica normalmente previsto, pari a sette giorni.
Il Comune ha, pertanto, agito in maniera non conforme al principio di “limitazione della conservazione”, in violazione dell’art. 5, par. 1, lett. e) GDPR.
9. Conclusioni
La fattispecie in commento, avendo riguardato numerose violazioni di legge, consente di ripercorre la normativa in materia di videosorveglianza nei luoghi di lavoro e i conseguenti adempimenti sul trattamento dei dati personali in capo al datore di lavoro, Titolare del trattamento.
Risulta di particolare interesse anche l’ulteriore sforzo motivazionale compiuto dal Garante privacy sulla scorta dei principi di cui alle “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023 del Comitato europeo per la protezione dei dati, applicando i quali ha considerato “alto” il livello di gravità delle violazioni di cui ai precedenti paragrafi da 2 a 6 (per i quali ha ritenuto applicabile la sanzione di € 20.000,00) e parimenti alto quello delle violazioni di cui ai paragrafi 7 e 8 (per i quali ha ritenuto applicabile la sanzione di € 30.000,00).
La quantificazione della somma ha poi tenuto conto del fatto che il Comune di Castel Goffredo è di modeste dimensioni (circa 12.500 abitanti) e che, ai fini dell’83, par. 2, lett. e) GDPR, non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 GDPR.