Istituto ipovedenti e sanzione del Garante
Un interessante provvedimento del Garante per la protezione dei dati personali, del mese di settembre 2021, ha rimarcato la necessità di approfondita analisi delle soluzioni, anche ormai di uso comune, applicate alle specifiche situazioni in cui gli strumenti devono essere utilizzati, soprattutto quando la misura applicata riguarda soggetti fragili, che non hanno piena consapevolezza o percezione del trattamento operato dal titolare.
La vicenda, sottoposta con reclamo all’attenzione dell’Autorità di controllo, riguarda la presenza di un impianto di videosorveglianza installato in un Istituto per non vedenti ed ipovedenti, con alcune telecamere posizionate nei corridoi di accesso all’area docce, esterna alle stanze dei residenti, visibili anche dai monitor della portineria.
Nella risposta alla richiesta di informazioni, l’Istituto confermava la presenza delle telecamere, autorizzate dal locale Ispettorato del Lavoro per quanto concerne i limiti imposti dall’art. 4 della L. 300/1970 (Statuto dei lavoratori) e, a propria difesa, evidenziava di non aver attivato la registrazione del segnale audio, di aver posizionato i monitor della portineria in modo tale da essere visibili al solo personale autorizzato, di aver affisso i cartelli informativi in prossimità dei settori di ripresa e di aver reso disponibile l’informativa completa presso la stessa portineria.
Tra le ulteriori precauzioni, una fotocellula per l’attivazione automatica di un messaggio vocale, all’ingresso, che avvisa della presenza dell’impianto di videosorveglianza, e allarmi sonori in prossimità delle telecamere.
Ciò nonostante, il Garante ha contestato alla struttura di non aver fornito idonea informativa agli interessati e, a partire dal 2020, di averla fornita in modalità non convenzionale, di aver effettuato il relativo trattamento in violazione del principio di minimizzazione e di non aver eseguito una valutazione d’impatto preventiva, invitando la parte a produrre scritti difensivi.
Con la successiva nota di riscontro, il Commissario Straordinario dell’Istituto ha meglio evidenziato che la situazione relativa all’area docce era sopravvenuta come soluzione temporanea ai lavori di ristrutturazione in corso, rispetto ai quali la zona era stata considerata “vulnerabile” e quindi potenzialmente critica per l’incolumità degli interessati, in quanto comunicante direttamente con l’esterno. Poiché le telecamere riprendevano gli ospiti solo parzialmente e saltuariamente, stante l’impossibilità di collocarle diversamente e adottare altri meccanismi di tutela, il Commissario aveva ritenuto che l’interesse all’incolumità dei pazienti fosse superiore al trattamento dei loro dati personali, non potendo nuocere alle libertà o alla dignità dell’individuo, specificando, in particolare, che le stanze inquadrate dalle telecamere non venivano utilizzate.
Durante l’audizione dinanzi l’Autorità Garante, il Commissario aveva inoltre ulteriormente chiarito la propria interpretazione delle disposizioni, segnalando che alla situazione di pericolo determinata dai lavori di ristrutturazione (possibili atti vandalici, furti, intrusioni, ecc.) si era successivamente aggiunta quella dell’emergenza epidemiologica, a conferma della necessità di controllare eventuali accessi o presenze non autorizzati.
Ritenendo infondate le contestazioni, evidenziava che la tutela della riservatezza in tale contesto doveva essere considerata recessiva rispetto all’incolumità degli ospiti, soggetti fragili da preservare e tutelare, che le telecamere, a circuito chiuso, conservavano le immagini per sole 24 ore ed erano visibili solo ai soggetti autorizzati, che nonostante il contesto emergenziale (ristrutturazione prima, pandemia Covid-19) dopo, era stata adottata ogni cautela per ridurre al minimo l’impatto sugli ospiti.
All’esito dell’attività istruttoria il Garante non ha ritenuto sufficienti le giustificazioni rassegnate dal Commissario Straordinario della struttura, sottolineando alcuni passaggi che meritano approfondimento, perché evidenziano la necessità di valutare, caso per caso, la situazione effettivamente rilevabile negli ambienti sottoposti a videosorveglianza, senza lasciarsi andare alla tentazione di curare solo gli aspetti formali e più burocratici della questione (cartelli, informativa, autorizzazione dell’Ispettorato del Lavoro, ecc.) senza realizzare quella tutela di interessi e libertà che è invece alla base del Regolamento Europeo.
Innanzitutto, l’Autorità ha richiamato le Linee Guida del Comitato Europeo per la protezione dei dati personali del mese di luglio 2019, nel punto in cui si rappresenta che “prima di installare un sistema di videosorveglianza, il titolare del trattamento deve sempre valutare criticamente se questa misura sia in primo luogo idonea a raggiungere l’obiettivo desiderato e, in secondo luogo, adeguata e necessaria per i suoi scopi”, dovendo “optare per misure di videosorveglianza unicamente se la finalità del trattamento non può ragionevolmente essere raggiunta con altri mezzi meno intrusivi per i diritti e le libertà fondamentali dell’interessato […] come la recinzione della proprietà, il pattugliamento regolare di personale di sicurezza, l’impiego di custodi […]” lasciando intendere che la sicurezza di quell’area poteva essere assicurata con altri mezzi (ad esempio una serratura elettronica o un sensore di allarme applicati alla porta di comunicazione con l’esterno)
In seconda battuta, ha considerato il videocontrollo (cioè la possibilità di vedere le immagini in tempo reale da parte degli addetti alla portineria) più invasivo della registrazione, perché, nel caso specifico, è la possibilità di essere visti in un momento di necessaria riservatezza della propria sfera personale a poter creare legittime remore nell’interessato, non essendo sufficienti, a tal fine ed in assenza di percorsi alternativi o meccanismi di spegnimento dei dispositivi, le informative rese, pur con adeguate cautele per gli ipovedenti, con l’apposizione di cartelli di segnalazione ed avvisi sonori, non avendo l’interessato alcuna alternativa praticabile.
Sull’informativa si è poi concentrato il maggiore sforzo motivazionale del Garante, che ha contestato all’Istituto di non aver predisposto per tempo e comunque in modo adeguato le informazioni cui ha diritto l’interessato e le modalità di diffusione delle stesse, trattandosi di soggetti con maggiori difficoltà di percezione e comprensione.
Riassumendo, secondo la valutazione dell’Autorità di controllo, “…l’Istituto ha trattato i dati personali dei propri ospiti in maniera non conforme al principio di liceità, correttezza e trasparenza, omettendo di fornire un’informativa estesa sul trattamento dei dati personali tramite dispositivi video fino al mese di giugno 2020 e, successivamente, fornendo un’informativa carente di taluni degli elementi previsti dalla normativa in materia di protezione dei dati (anche con riguardo ai trattamenti relativi, più in generale, al soggiorno degli ospiti presso l’Istituto), senza aver adottato un’informativa trasparente, intelligibile e facilmente accessibile in ragione dello stato di vulnerabilità degli interessati destinatari della stessa, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento”.
E’ quest’ultimo aspetto il più delicato, anche dal punto di vista delle responsabilità del Commissario Straordinario e del Responsabile della Protezione dei Dati, ove nominato, poiché se può non essere condivisibile l’interpretazione delle questioni relative all’utilizzo del sistema di videosorveglianza per dare soluzione ad un problema che poteva effettivamente essere risolto diversamente (ma vi sono spazi per discutere della legittimità del provvedimento sanzionatorio dinanzi ad un Giudice, anche in relazione al concetto di “chiarezza” e “diffusione” delle informazioni), non è in alcun modo scusabile l’inosservanza di precetti non sindacabili del Regolamento Europeo 679/2016, che anche ove si fosse provveduto ad un’analisi meramente burocratica e formale della situazione, avrebbero dovuto meritare la giusta attenzione.
Non è comprensibile, infatti, come possa mancare da un’informativa sviluppata per un sistema di videosorveglianza l’indicazione del legittimo interesse perseguito in concreto dal titolare del trattamento (evidente segno di confusione tra base giuridica e finalità) o come possano omettersi l’indicazione dei dati di contatto del Responsabile della Protezione dei Dati, che è obbligatoria e non sindacabile da parte di un Istituto (soggetto pubblico) o il diritto di rivolgersi all’Autorità Garante che è espressamente indicato dal Regolamento.
Di diverso avviso, invece, la valutazione del ragionamento portato avanti dal Garante per la valutazione d’impatto, poiché attraverso l’impianto di videosorveglianza (almeno per quanto risulta dal testo del provvedimento) non sembra potersi ipotizzare un trattamento di dati riconducibile alle fattispecie di cui all’art. 35 del Regolamento UE 679/2016 o a quelle del Provvedimento del Garante n. 467/2018 (che, peraltro, è un atto amministrativo con funzione di mero indirizzo), che delineano situazioni in cui, come chiarito anche dalla Corte Suprema di Cassazione, il danno per l’interessato dev’essere concreto e apprezzabile anche economicamente, non essendo il diritto alla tutela dei dati personali basato su un principio precauzionale, come sembra voler intendere il Garante ma sulla reale possibilità di danneggiare in concreto un altro diritto fondamentale dell’individuo. Come giustamente affermato da Andrea Monti in un suo recente articolo, il diritto alla protezione dei dati personali ha come finalità la tutela dei diritti e delle libertà dell’individuo ed è quindi un mezzo per raggiungere un obiettivo. L’eccessiva adozione di cautele non commisurate alla effettiva lesività del trattamento diventa un freno alle attività produttive e sociali, come chiaramente indicato dallo stesso Regolamento UE 679/2016 che, fin dalla rubrica introduttiva, evidenzia anche la necessità di garantire la libera circolazione dei dati personali acquisiti e gestiti in modo legittimo.
Va anche sottolineato che, nel provvedimento in questione, l’Autorità Garante ha irrogato una sanzione quasi “simbolica”, a dimostrazione del fatto che, nonostante le violazioni, non vi fosse una reale emergenza per i diritti e le libertà degli interessati e che è stata tenuta in debita considerazione la buona fede del trasgressore, desumibile dagli altri interventi adottati.
Gianluca Pomante – Fonte: Sicurezza magazine