La comunicazione ai dipendenti dell’installazione di telecamere nel luogo di lavoro ai sensi della normativa giuslavoristica, non supplisce all’informativa privacy.
>>>Leggi l’Ordinanza ingiunzione n. 321 del 6 ottobre 2022<<<
1. I fatti
Un dipendente di un locale svolgente attività di bar segnalava al Garante per la protezione dei dati personali che all’interno del suddetto locale era stato installato un sistema di videosorveglianza per il controllo dei lavoratori e dei clienti, il quale non era conforme alla normativa privacy in quanto non munito di apposita informativa.
In considerazione della suddetta segnalazione, il Garante inviava la Guardia di Finanza a effettuare gli opportuni accertamenti, dai quali emergeva che nel locale erano state installate 11 telecamere (che riprendevano sia l’esterno del locale e le aree di ingresso che l’area in cui avviene la somministrazione, nonché l’ingresso del magazzino del bar e il suo interno), le quali riprendevano i luoghi in cui si svolge l’attività del bar riservata ai clienti e i luoghi in cui transitano i dipendenti mentre svolgono la loro attività lavorativa e che non sono collegati monitor alle suddette telecamere.
La Guardia di Finanza accertava, inoltre, che in alcun punto del locale era presente il cartello contenente l’informativa breve agli interessati ai sensi dell’art. 13 del Regolamento europeo per la protezione dei dati personali (GDPR).
Pertanto, a tal proposito, la società titolare del trattamento ammetteva la mancanza della suddetta informativa, ma precisava che nel gennaio 2021 – a seguito di un periodo di chiusura per la pandemia da Covid-19 – erano state effettuate delle pulizie straordinarie al locale, durante le quali gli operai della impresa di pulizie avevano involontariamente tolto i cartelli informativi e non li avevano più riaffissi.
Il Garante, ritenuto che la mancanza della apposita cartellonistica potesse configurare una violazione della normativa privacy, apriva il procedimento sanzionatorio nei confronti della società e la invitava a fornire scritti difensivi in merito.
Il titolare del trattamento si limitava – per quanto qui di interesse – a ribadire che già in fase di accertamento della Guardia di Finanza lo stesso aveva ammesso la mancanza del cartello informativo, ma si era impegnato a provvedere prima possibile e che effettivamente aveva regolarizzato la mancanza subito dopo, come risultava da una relazione redatta dalla Confartigianato.
In secondo luogo, il titolare del trattamento evidenziava che nel 2019 aveva sottoscritto un accordo sindacale relativo all’impiego delle telecamere e tale accordo era stato notificato a tutti i dipendenti insieme alla planimetria del locale con l’indicazione della esatta dislocazione delle telecamere e la relativa area di pertinenza. Pertanto, riteneva il titolare, detto accordo di fatto assolveva alle finalità dell’informativa quanto meno per i dipendenti, che erano così stati informati della presenza, ubicazione e raggio di azione delle telecamere.
Infine, il titolare rilevava che il trattamento era da ritenersi comunque lecito alla luce della disciplina in materia di controlli a distanza dei dipendenti e che le sue condotte dimostravano comunque la totale buona fede e la mancanza di dolo circa l’eventuale violazione.
Potrebbero interessarti anche
2. Le valutazioni del Garante
Il Garante ha ritenuto che dall’istruttoria effettuata sia emerso che la società abbia utilizzato un sistema di videosorveglianza fin dal luglio 2019, senza che fosse stata effettuata l’informativa privacy ai sensi dell’art. 13 del GDPR da parte del titolare.
A tal proposito, il Garante ha ricordato che la suddetta norma stabilisce, in applicazione del principio di trasparenza nel trattamento dei dati, che il titolare ha l’obbligo di fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento. Inoltre, l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza nell’ambito del rapporto di lavoro.
Ebbene, dagli accertamenti è emerso soltanto che la società avesse stipulato un accordo con le rappresentanze sindacali aziendali in ordine al sistema di videosorveglianza con cui veniva ripresa anche l’attività lavorativa dei dipendenti, ma che la stessa non ha fornito l’informativa privacy né ai dipendenti né ai clienti del bar, i quali sono tutti soggetti interessati rispetto al trattamento effettuato mediante il sistema di videosorveglianza.
Le difese rese dalla società sono state ritenute infondate dal Garante.
Per quanto riguarda il primo motivo (secondo cui il cartello era presente prima del gennaio 2021 e che è stato rimosso dalla impresa di pulizie), il Garante ha evidenziato che, dalla foto depositata dalla società, non risulta che il cartello contenesse le informazioni necessarie in base alla normativa privacy e che comunque non era chiara la sua collocazione all’interno del locale. Inoltre, il titolare ha l’obbligo di rendere l’informativa agli interessati e pertanto deve occuparsi, anche al termine delle attività di pulizia, di ripristinare i cartelli informativi e dare esecuzione all’art. 13 del GDPR.
Per quanto riguarda il secondo motivo, il Garante ha ritenuto che la presa visione da parte dei lavoratori dell’accordo stipulato dal datore ai sensi della normativa giuslavoristica non può sostituire l’informativa privacy ex art. 13 GDPR, in ragione della diversità di natura, contenuto e finalità dei due documenti. Inoltre, l’accordo di cui sopra non è conosciuto ai clienti della società e pertanto non può sostituire l’informativa privacy e lo stesso non contiene comunque alcune informazioni che devono essere invece presenti nell’informativa privacy (come la possibilità di esercitare i diritti per l’interessato o il diritto di presentare reclamo al Garante ecc.).
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che la condotta posta in essere dalla società costituisce una violazione della del richiamato art. 13 del GDPR e che la stessa, in considerazione della sua natura, gravità e durata nonché del grado di responsabilità del titolare, non può essere considerata una violazione minore.
Conseguentemente, il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria nei confronti del titolare. Per quanto concerne, invece, la quantificazione di detta sanzione, il Garante ha valutato, da un lato, la natura rilevante della violazione in quanto inerente i principi generali di protezione dei dati personali; dall’altro lato, ha considerato che il titolare ha cooperato con l’Autorità di controllo.
In considerazione di tutto quanto sopra, il Garante ha ritenuto di poter applicare una sanzione di carattere pecuniario nei confronti del titolare del trattamento nella misura di €. 1.000,00 (mille).
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | Maggioli Editore 2019
Scrivi un commento
Accedi per poter inserire un commento