l Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pecuniaria di 2.000,00 euro, per la violazione dell’art. 13 GDPR, ad un’azienda del ferrarese.
La società non aveva provveduto ad esporre un’idonea informativa, nonostante la predisposizione di un impianto di videosorveglianza presso la propria sede legale ed operativa.
Le informative di primo e secondo livello
L’art. 13 del GDPR prescrive che il Titolare del trattamento è tenuto a fornire all’interessato, in caso di raccolta di dati personali che lo riguardano, tutte le informazioni relative alle caratteristiche essenziali del trattamento.
In particolare, in caso di predisposizione di un impianto di videosorveglianza idoneo a riprendere gli interessati, è necessario esporre una c.d. informativa di primo livello, alla quale deve corrispondere un’informativa più dettagliata, di secondo livello.
L’informativa di primo livello, come si evince dalle linee giuda dell’EDPB 3/2019, si sostanzia nell’esposizione di un cartello segnaletico, posizionato prima di entrare nella zona sorvegliata, contenente una serie di informazioni essenziali, tra le quali, a titolo esemplificativo, le indicazioni sul Titolare del trattamento e sulla finalità perseguita. L’interessato deve capire agevolmente quale zona sia la coperta da una telecamera, in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario.
Tale informativa deve fare necessariamente riferimento all’informativa di secondo livello. Questo documento deve contenere tutti gli elementi obbligatori a norma dell’art. 13 del GDPR e dev’essere di facile fruizione, dando la possibilità di accedervi senza entrare nell’area videosorvegliata.
La violazione
La società del ferrarese si avvaleva di un impianto dotato di sei telecamere, posizionate nelle aree vendita, perciò idonee a riprendere e identificare gli interessati.
Il Garante, come si evince dalla motivazione dell’ordinanza ingiunzione, non ha reputato sufficiente la circostanza che l’impianto di videosorveglianza fosse stato installato dai precedenti gestori del locale, né che lo stesso fosse stato messo in funzione sporadicamente. La società in questione, infatti, riveste il ruolo di Titolare del trattamento, nonostante abbia preso in gestione l’attività a seguito di affitto di ramo di azienda. A tal proposito è bene ricordare che il Titolare del trattamento è tenuto ad assolvere gli adempimenti richiesti dalla normativa di settore. In virtù del principio di accountability, il Titolare deve porre in essere comportamenti proattivi, volti a dimostrare la concreta adozione di misure finalizzate a assicurare l’applicazione del Regolamento europeo.
La sanzione amministrativa pecuniaria
L’Autorità garante, ai fini della quantificazione della sanzione amministrativa, deve tenere conto degli elementi di cui all’ art. 83 GDPR. Tale articolo, al primo comma, prescrive all’Autorità di controllo che le sanzioni amministrative pecuniarie inflitte siano in ogni caso effettive, proporzionate e dissuasive.
La sanzione applicata al caso di specie è stata modesta entità, in quanto il Garante ha dato rilievo ad alcuni elementi dell’art. 83, tra i quali l’assenza di precedenti specifici a carico della società relativi a violazioni della disciplina in materia di dati personali, e la circostanza che la società abbia dichiarato di essersi prontamente conformata al rispetto delle disposizioni in materia di trattamento dei dati personali.
Desideri ricevere maggiori informazioni?
l Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pecuniaria di 2.000,00 euro, per la violazione dell’art. 13 GDPR, ad un’azienda del ferrarese.
La società non aveva provveduto ad esporre un’idonea informativa, nonostante la predisposizione di un impianto di videosorveglianza presso la propria sede legale ed operativa.
Le informative di primo e secondo livello
L’art. 13 del GDPR prescrive che il Titolare del trattamento è tenuto a fornire all’interessato, in caso di raccolta di dati personali che lo riguardano, tutte le informazioni relative alle caratteristiche essenziali del trattamento.
In particolare, in caso di predisposizione di un impianto di videosorveglianza idoneo a riprendere gli interessati, è necessario esporre una c.d. informativa di primo livello, alla quale deve corrispondere un’informativa più dettagliata, di secondo livello.
L’informativa di primo livello, come si evince dalle linee giuda dell’EDPB 3/2019, si sostanzia nell’esposizione di un cartello segnaletico, posizionato prima di entrare nella zona sorvegliata, contenente una serie di informazioni essenziali, tra le quali, a titolo esemplificativo, le indicazioni sul Titolare del trattamento e sulla finalità perseguita. L’interessato deve capire agevolmente quale zona sia la coperta da una telecamera, in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario.
Tale informativa deve fare necessariamente riferimento all’informativa di secondo livello. Questo documento deve contenere tutti gli elementi obbligatori a norma dell’art. 13 del GDPR e dev’essere di facile fruizione, dando la possibilità di accedervi senza entrare nell’area videosorvegliata.
La violazione
La società del ferrarese si avvaleva di un impianto dotato di sei telecamere, posizionate nelle aree vendita, perciò idonee a riprendere e identificare gli interessati.
Il Garante, come si evince dalla motivazione dell’ordinanza ingiunzione, non ha reputato sufficiente la circostanza che l’impianto di videosorveglianza fosse stato installato dai precedenti gestori del locale, né che lo stesso fosse stato messo in funzione sporadicamente. La società in questione, infatti, riveste il ruolo di Titolare del trattamento, nonostante abbia preso in gestione l’attività a seguito di affitto di ramo di azienda. A tal proposito è bene ricordare che il Titolare del trattamento è tenuto ad assolvere gli adempimenti richiesti dalla normativa di settore. In virtù del principio di accountability, il Titolare deve porre in essere comportamenti proattivi, volti a dimostrare la concreta adozione di misure finalizzate a assicurare l’applicazione del Regolamento europeo.
La sanzione amministrativa pecuniaria
L’Autorità garante, ai fini della quantificazione della sanzione amministrativa, deve tenere conto degli elementi di cui all’ art. 83 GDPR. Tale articolo, al primo comma, prescrive all’Autorità di controllo che le sanzioni amministrative pecuniarie inflitte siano in ogni caso effettive, proporzionate e dissuasive.
La sanzione applicata al caso di specie è stata modesta entità, in quanto il Garante ha dato rilievo ad alcuni elementi dell’art. 83, tra i quali l’assenza di precedenti specifici a carico della società relativi a violazioni della disciplina in materia di dati personali, e la circostanza che la società abbia dichiarato di essersi prontamente conformata al rispetto delle disposizioni in materia di trattamento dei dati personali.