10.000 euro: a tanto ammonta la sanzione che il Garante per la Protezione dei Dati ha comminato all’Università Federico II di Napoli. Il Garante si è attivato a seguito di una contestazione da parte di un dipendente dell’Istituto nazionale di Fisica Nucleare. Questo reclamava riguardo la presenza di 35 telecamere collegate a 3 schermi e posizionate in maniera tale da riprendere sia le aree esterne, sia gli spazi interni dell’edificio universitario. Gli spazi interni erano tutte zone dove sono svolte attività lavorative, con accesso ai servizi igienici ecc… Il reclamante evidenziava anche l’assenza di un accordo sindacale o di provvedimento autorizzativo alla videosorveglianza da parte dell’Ispettorato del lavoro.
L’istruttoria del Garante
Il Garante avviava la necessaria istruttoria. Emergeva come l’impianto di videosorveglianza fosse stato attivato nel Marzo 2016 come deterrente a seguito di furti verificatisi nella struttura. L’accordo sindacale per la videosorveglianza dei lavoratori è arrivato soltanto nel Novembre 2019, successivamente alla presentazione del reclamo. Il Garante ricostruiva che l’informativa completa sul trattamento dei dati era stata resa disponibile solo a partire dal 1 Agosto 2019. Inoltre la cartellonistica obbligatoria in luoghi oggetto di videosorveglianza non rispettava le prescrizioni dell’art 13 del GDPR. Insomma, il sistema di video sorveglianza non era conforme al GDPR.
Le conclusioni del Garante
Il Garante ha evidenziato che le esigenze di sicurezza e di tutela del patrimonio, con le quali l’Ateneo giustifica la necessità di videosorveglianza degli edifici, sono valide. Queste però non possono di per sé legittimare il trattamento di dati personali tramite strumenti di videosorveglianza. Non solo, da questi può derivare anche un secondo aspetto, ovvero il controllo a distanza dei lavoratori.
Quindi il Garante ha confermato:
“l’illiceità del trattamento di dati personali effettuato dall’Ateneo, per aver trattato i dati personali dei lavoratori in assenza di idonei presupposti normativi e per non aver reso agli interessati le necessarie informazioni sul trattamento dei dati personali mediante il sistema di videosorveglianza, in violazione degli artt. 5, par. 1, lett. a), 6, 13 e 88 del Regolamento, nonché dell’art. 114 del Codice, in relazione all’art. 4, comma 1, della l. 20 maggio 1970, n. 300».
Impianto di video sorveglianza non conforme al GDPR: la sanzione
La quantificazione della sanzione in 10.000 euro discende dal prolungato arco temporale durante il quale i dati sono stati trattati pur in assenza di presupposti di liceità. Non solo: le riprese avvenivano in tempo reale e visualizzate da addetti dell’azienda aggiudicatrice del servizio di sorveglianza di Ateneo. Una modalità, questa, estremamente più intrusiva rispetto alla cancellazione automatica delle immagini dopo un certo lasso di tempo. A favore dell’Ateneo e quindi in termini di riduzione della sanzione, fa sapere il Garante, è stata la cooperazione con l’authority in corso di istruttoria e la solerzia con la quale Università Federico II ha concertato un accordo con i sindacati.
Qui il provvedimento completo del Garante
Per approfondire > Garante e videosorveglianza: prima sanzione in Italia per mancata esposizione dei cartelli europei
Cerchi una piattaforma per la conformità del tuo sistema di videosorveglianza che ti metta al riparo da sanzioni?
