Sono tantissime le aziende che utilizzano impianti di videosorveglianza al fine di proteggere i beni aziendali e garantire la sicurezza delle persone.

Nella nostra attività di consulenza riscontriamo spesso però che tali impianti vengono installati senza tener conto dell’impatto sulla privacy dei soggetti che accedono alla sede aziendale, siano essi dipendenti, clienti o fornitori.

Questa attività comporta infatti la raccolta e la conservazione di informazioni grafiche o audiovisive relative alle persone fisiche che entrano in uno specifico spazio monitorato. In base ai dati raccolti le persone fisiche diventano suscettibili di identificazione, consentendo di rilevarne la presenza e il comportamento nelle aree monitorate. Il Titolare del trattamento, ogni qualvolta faccia uso di impianti di videosorveglianza, è quindi tenuto al rispetto dei principi imposti dal GDPR ed ha il dovere di effettuare opportune verifiche al fine di scongiurare il rischio di un uso improprio dei dati personali raccolti.

Gli ultimi provvedimenti del Garante Privacy evidenziano l’attenzione dell’autorità relativamente all’osservanza di tali principi. Nella recente ordinanza n. 90/21 dell’11 marzo 2021, il Garante Privacy ha ingiunto all’Università degli studi di Napoli il pagamento della somma di 10.000 euro per la violazione della normativa privacy in tema di videosorveglianza.

Tra le violazioni contestate al Titolare del trattamento vi è il mancato rispetto delle condizioni di liceità ex art. 5 GDPR, per l’inosservanza delle disposizioni derivanti dal c.d. “Statuto dei Lavoratori”. L’art. n. 4 della l20 maggio 1970, n.300, impone al Titolare un previo accordo con le rappresentanze sindacali, o, in mancanza, una previa autorizzazione dell’Ispettorato nazionale del lavoro, nel caso in cui dall’installazione degli impianti audiovisivi ne possa derivare un controllo a distanza dei lavoratori. Gli impianti possono essere predisposti solo per esigenze organizzative e produttive, per la sicurezza sul lavoro e per la tutela del patrimonio aziendale. Il rispetto di tale normativa costituisce condizione di liceità del trattamento.

Il Garante ha ravvisato anche la violazione del principio di trasparenza per la mancata indicazione, nella segnaletica di avvertimento esposta in prossimità della zona sottoposta a monitoraggio (c.d. informativa di primo livello), del Titolare del trattamento e la finalità perseguita dallo stesso. L’informativa di primo livello, inoltre, deve necessariamente contenere un rinvio ad un’informativa completa, (c.d. informativa di secondo livello), contenente tutti gli elementi indicati all’art. 13 del GDPR. Nel caso di specie l’Ateneo non aveva provveduto all’esposizione tempestiva dell’informativa completa, che dev’essere collocata in luoghi facilmente accessibili per l’interessato. L’informativa era stata resa disponibile soltanto in un secondo momento, rispetto alla predisposizione dell’impianto, sul sito web dell’Ateneo.

Ricordiamo, infine, che il Garante richiede l’esecuzione di una DPIA (Valutazione di d’impatto) prima di installare un sistema di videosorveglianza (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).

Nella tua azienda hai svolto tutti gli adempimenti previsti per l’installazione di un sistema di videosorveglianza? Hai svolto la valutazione di impatto ai sensi del GDPR?

Per maggiori informazioni contattaci senza impegno scrivendo a info@iconsulentiprivacy.it oppure chiamando lo 0541/1798723‬

Sono tantissime le aziende che utilizzano impianti di videosorveglianza al fine di proteggere i beni aziendali e garantire la sicurezza delle persone.

Nella nostra attività di consulenza riscontriamo spesso però che tali impianti vengono installati senza tener conto dell’impatto sulla privacy dei soggetti che accedono alla sede aziendale, siano essi dipendenti, clienti o fornitori.

Questa attività comporta infatti la raccolta e la conservazione di informazioni grafiche o audiovisive relative alle persone fisiche che entrano in uno specifico spazio monitorato. In base ai dati raccolti le persone fisiche diventano suscettibili di identificazione, consentendo di rilevarne la presenza e il comportamento nelle aree monitorate. Il Titolare del trattamento, ogni qualvolta faccia uso di impianti di videosorveglianza, è quindi tenuto al rispetto dei principi imposti dal GDPR ed ha il dovere di effettuare opportune verifiche al fine di scongiurare il rischio di un uso improprio dei dati personali raccolti.

Gli ultimi provvedimenti del Garante Privacy evidenziano l’attenzione dell’autorità relativamente all’osservanza di tali principi. Nella recente ordinanza n. 90/21 dell’11 marzo 2021, il Garante Privacy ha ingiunto all’Università degli studi di Napoli il pagamento della somma di 10.000 euro per la violazione della normativa privacy in tema di videosorveglianza.

Tra le violazioni contestate al Titolare del trattamento vi è il mancato rispetto delle condizioni di liceità ex art. 5 GDPR, per l’inosservanza delle disposizioni derivanti dal c.d. “Statuto dei Lavoratori”. L’art. n. 4 della l20 maggio 1970, n.300, impone al Titolare un previo accordo con le rappresentanze sindacali, o, in mancanza, una previa autorizzazione dell’Ispettorato nazionale del lavoro, nel caso in cui dall’installazione degli impianti audiovisivi ne possa derivare un controllo a distanza dei lavoratori. Gli impianti possono essere predisposti solo per esigenze organizzative e produttive, per la sicurezza sul lavoro e per la tutela del patrimonio aziendale. Il rispetto di tale normativa costituisce condizione di liceità del trattamento.

Il Garante ha ravvisato anche la violazione del principio di trasparenza per la mancata indicazione, nella segnaletica di avvertimento esposta in prossimità della zona sottoposta a monitoraggio (c.d. informativa di primo livello), del Titolare del trattamento e la finalità perseguita dallo stesso. L’informativa di primo livello, inoltre, deve necessariamente contenere un rinvio ad un’informativa completa, (c.d. informativa di secondo livello), contenente tutti gli elementi indicati all’art. 13 del GDPR. Nel caso di specie l’Ateneo non aveva provveduto all’esposizione tempestiva dell’informativa completa, che dev’essere collocata in luoghi facilmente accessibili per l’interessato. L’informativa era stata resa disponibile soltanto in un secondo momento, rispetto alla predisposizione dell’impianto, sul sito web dell’Ateneo.

Ricordiamo, infine, che il Garante richiede l’esecuzione di una DPIA (Valutazione di d’impatto) prima di installare un sistema di videosorveglianza (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).

Nella tua azienda hai svolto tutti gli adempimenti previsti per l’installazione di un sistema di videosorveglianza? Hai svolto la valutazione di impatto ai sensi del GDPR?

Per maggiori informazioni contattaci senza impegno scrivendo a info@iconsulentiprivacy.it oppure chiamando lo 0541/1798723‬