[doc. web n. 10070570]

Provvedimento del 26 settembre 2024

Registro dei provvedimenti
n. 590 del 26 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il verbale di accertamento, redatto dalla Polizia locale del Comune di Genova in data 08/06/2021 presso l’esercizio denominato “Samiur Internet Point” sita in Genova, Via Dondero n. 32, con cui è stata accertata la presenza di un impianto di videosorveglianza, attivo e funzionante, a fronte del quale non risultava presente l’informativa di cui all’art. 13 del Regolamento;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’accertamento svolto dalla Polizia locale del Comune di Genova.

Con nota dell’08/06/2021, la Polizia locale del Comune di Genova trasmetteva a questa Autorità una relazione di servizio con cui veniva segnalata la presenza di un impianto di videosorveglianza, installato presso l’esercizio denominato “Samiur Internet Point”, sito in Genova, via Dondero n. 32, evidenziando al riguardo che lo stesso non era segnalato mediante appositi cartelli informativi.

A fronte del trattamento di dati personali realizzato per mezzo delle suddette telecamere, la cui titolarità è stata individuata in capo alla signora Salma Umme, titolare della impresa individuale, veniva accertata, mediante il verbale n. 211591644 trasmesso a questa Autorità in data 12/11/2021, l’assenza dell’informativa di cui all’art. 13 del Regolamento, in violazione delle disposizioni in materia di trattamento di dati personali.

L’Ufficio, sulla base degli accertamenti eseguiti di cui al predetto verbale, provvedeva a notificare, con nota del 18/11/2021 a Salma Umme, nell’esercizio dell’attività dell’impresa, l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione dell’art. 13 e dell’art. 5, par. 1, lett. a), del Regolamento.

La suddetta Impresa individuale, nonostante sia stata informata dall’Ufficio della possibilità di produrre scritti difensivi o documenti in relazione al procedimento sanzionatorio a suo carico, non ha fatto pervenire alcuna documentazione al riguardo. 

2.Il quadro giuridico del trattamento effettuato.

Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, si rileva come tale trattamento debba essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento e, in particolare del principio di trasparenza che presuppone che “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”.

A tale scopo, quindi, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, occorre che il titolare del trattamento predisponga idonei cartelli informativi secondo le indicazioni contenute al punto 3.1. del provvedimento in materia di videosorveglianza - 8 aprile 2010 [1712680] (in tal senso anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità) affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”.

Analogamente le Linee Guida n. 3/2019 del Comitato europeo per la protezione dei dati sul trattamento dei dati personali attraverso dispositivi video, al punto 7), specifica che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento stesso (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)”. Nelle linee guida si prevede inoltre che “Tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”. Le informazioni dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi) “per consentire all’interessato di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

3. L’esito dell’istruttoria e del procedimento sanzionatorio.

Sulla base del verbale di accertamento redatto dalla Polizia locale del Comune di Genova, nonché della documentazione prodotta, è emerso che l’impianto di videosorveglianza, installato presso il locale “Samiur Internet Point”, gestito dalla impresa individuale Salma Umme, era attivo e funzionante e che era sprovvisto delle informative richieste dall’art. 13 del Regolamento.

Tale condotta si pone in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento, nonché in violazione del principio generale di trasparenza del trattamento, di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità rileva l’illiceità del trattamento  effettuato da Salma Umme, nell’esercizio dell’impresa individuale, in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a), e 13 del Regolamento.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, considerato che la parte non ha fornito nel corso dell’istruttoria alcuna documentazione utile a verificare l’adeguamento della condotta alle disposizioni in materia di protezione dei dati personali, si ritiene necessario prescrivere, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, la seguente misura correttiva: informare adeguatamente gli interessati della presenza di un impianto di videosorveglianza, mediante apposizione di cartelli recanti l’informativa di cui all’art. 13 del Regolamento, da cui risultino in maniera chiara e trasparente, l’indicazione del titolare del trattamento e delle finalità perseguite.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

[OMISSIS]

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato da Salma Umme, nell’esercizio dell’attività di impresa, C.F. XX, attraverso l’utilizzo del sistema di videosorveglianza installato presso “Samiur Internet Point” sito in Genova, Via Dondero n. 32, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento;

prescrive, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, a Salma Umme, nell’esercizio dell’attività di impresa, di conformarsi entro 60 giorni dalla data di notifica del presente provvedimento, alle misure formulate al par. 4 della presente decisione, richiedendo al contempo alla stessa di fornire all’Autorità, entro il predetto termine, riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

[OMISSIS]

DISPONE

[OMISSIS]

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei