Garante per la protezione
    dei dati personali


Impiego di sistemi divideosorveglianza presso un'azienda

PROVVEDIMENTO DEL 17NOVEMBRE 2011

Registro dei provvedimenti
n. 434 del 17novembre 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

ESAMINATA la documentazione in atti;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezionedei dati personali);

VISTO il provvedimentogenerale del Garante dell'8 aprile 2010, inmateria di trattamento di dati personali effettuati tramite sistemi divideosorveglianza (G.U. n. 99 del 29 aprile 2010);

VISTA la segnalazione con cui si lamentava il trattamento di datipersonali effettuato mediante un impianto di videosorveglianza installatopresso Huawei Technologies Italia s.r.l. (di seguito, la società), con sedeoperativa in Roma e sede legale in Milano, ritenendolo in violazione dellanormativa di settore in materia di controllo a distanza dell'attività deilavoratori (art. 4, l. 20 maggio 1970, n. 300), nonché della disciplina diprotezione dei dati personali;

VISTE le informazioni acquisite in loco il 21 luglio 2011, su delegadi questa Autorità, dal "Nucleo speciale privacy" della Guardia diFinanza – che ha altresì provveduto a contestare la violazione dell'art.162, comma 2-ter del Codice in relazione ai tempi di conservazione delleimmagine registrate (notificata alla sede legale della società in data 8settembre 2011) – dalle quali è emerso che:

- il sistema di videosorveglianza – sempre attivo e dotatodi telecamere non brandeggiabili – è composto complessivamente di 26telecamere installate sui quattro piani dell'immobile occupato dalla società,delle quali (cfr. verbale 21 luglio 2011, p. 3):

o sei, installate esternamente sulle scale di emergenza, perriprendere gli ingressi ai piani;

o le restanti, installate ai diversi piani, nei corridoi degliimmobili, al fine di riprendere gli ingressi principali ai piani, alle scale diemergenza, nonché le aree di accesso a talune zone degli uffici (segnatamente,quelle antistanti agli uffici del manager, all'ufficio "financial"nonché dei sei uffici ad accesso regolamentato da badge nei quali vengonocustodite apparecchiature di telecomunicazione);

- il sistema è stato installato "per soli fini di sicurezzae salvaguardia del patrimonio societario";

- le immagini – conservate per 18 giorni – possonoessere visionate dal solo responsabile della sede romana della società,incaricato del trattamento (con lettera di designazione del 28 aprile 2011);

CONSIDERATO che in prossimità delle telecamere sono stati affissiappositi avvisi che avvertono del trattamento effettuato mediante il sistema divideosorveglianza;

RILEVATO che alcune telecamere risultano riprendere aree – qualigli accessi (di emergenza e principali) all'edificio nonché a taluni uffici e aporzioni di corridoio situati negli immobili occupati dalla società –suscettibili di transito da parte dei lavoratori, con conseguente possibilitàdi riprenderne l'attività;

RILEVATO che, in base agli elementi complessivamente acquisiti, nonrisulta che l'installazione delle videocamere sia avvenuta nel rispetto delladisciplina prevista dall'art. 4, comma 2, l. n. 300/1970;

RITENUTO, pertanto, che il trattamento di dati personali effettuato amezzo del sistema di videosorveglianza in esame, allo stato degli atti, nonrisulta lecito ai sensi degli artt. 11, comma 1, lett. a) e 144 del Codice(cfr. Provv.ti 14 aprile 2011, 24 giugno 2010, 26 febbraio 2009;v. altresì Cass., sez. lav., 17 luglio 2007, n. 15892), anche considerato cheil divieto di controllo a distanza dell'attività lavorativa non è escluso dallacircostanza che lo stesso possa essere discontinuo (cfr. Cass. 6 marzo 1986, n.1490), né dal fatto che i lavoratori siano al corrente dell'esistenza delsistema di videosorveglianza e del suo funzionamento (cfr. Cass., 18 febbraio1983, n. 1236; Cass., sez. lav., 16 settembre 1997, n. 9211);

CONSIDERATO che, ai sensi degli artt. 143, comma 1, lett. c) e 154,comma 1, lett. d) del Codice, il Garante ha il compito di disporre il divietoin caso di trattamento di dati illecito o non corretto;

RITENUTO, nelle more dell'eventuale espletamento degli adempimenti previstidal menzionato art. 4, l. n. 300/1970, di dover disporre nei confronti dellasocietà il divieto del trattamento dei dati personali effettuato a mezzo delsistema di videosorveglianza in grado di riprendere l'attività dei lavoratoriin talune aree interne agli uffici della società nonché in corrispondenza deidiversi accessi al luogo di lavoro;

RILEVATO inoltre che, in base alle dichiarazioni rese, le immaginiriprese vengono memorizzate su apposito disco rigido e conservate per 18giorni, decorsi i quali le stesse sono cancellate mediante sovrascrittura;

RITENUTO che il suddetto trattamento è illecito anche alla lucedell'art. 11, comma 1, lett. e), del Codice, non essendo state addotte dallasocietà esigenze particolari atte a giustificare la conservazione delleimmagini raccolte per tale arco temporale, anche nella forma della richiesta diuna verifica preliminare del Garante (cfr. Provv.8 aprile 2010, cit., punti 3.2.1 e 3.4);

RITENUTO che, una volta espletate le procedure all'uopo previste dall'art.4 della legge n. 300/1970, il tempo di conservazione delle immagini debbaessere commisurato alle effettive necessità della raccolta, nei terminiprevisti dal provvedimento generale dell'8 aprile 2010;

RILEVATO che, in caso di inosservanza del presente provvedimento, sirenderanno applicabili le sanzioni di cui agli artt. 162, comma 2-ter e 170 delCodice;

RITENUTO di dover disporre la trasmissione degli atti e di copia delpresente provvedimento all'autorità giudiziaria per le valutazioni di competenzain ordine agli illeciti penali che riterrà eventualmente configurabili (cfr.Cass. pen., sez. III, 18 ottobre 2010, n. 37171; Cass. pen., sez. III, 24settembre 2009, n. 40199);

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

TUTTO CIO` PREMESSO, ILGARANTE

nei confronti di Huawei Technologies Italia s.r.l.:

1. dichiara illecito il trattamento effettuato a mezzo delsistema di videosorveglianza, con la conseguente inutilizzabilità dei datitrattati in violazione di legge ai sensi dell'art. 11, comma del Codice;

2. nelle more dell'espletamento delle procedure all'uopo previstedall'art. 4 della legge n. 300/1970, ai sensi degli artt. 143, comma 1, lett.c), 144 e 154, comma 1, lett. d) del Codice, vieta con effetto immediato dalladata di ricezione del presente provvedimento il trattamento dei dati personalieffettuato a mezzo videosorveglianza presso la propria sede operativa in Roma;

3. espletate le procedure all'uopo previste dall'art. 4 dellalegge n. 300/1970, dispone ai sensi degli artt. 143, comma 1, lett. b), 144 e154, comma 1, lett. c), del Codice che il tempo di conservazione delle immaginivenga commisurato alle effettive necessità della raccolta, nei termini previstidal provvedimento generale dell'8 aprile 2010 menzionato in narrativa;

4. dispone la trasmissione degli atti e di copia del presenteprovvedimento all'autorità giudiziaria per le valutazioni di competenza inordine agli illeciti penali che riterrà eventualmente configurabili.

Ai sensi dell'art. 152 del Codice, può essere proposta opposizioneavverso il presente provvedimento, entro trenta giorni dalla sua notificazione,avanti al tribunale ordinario del luogo in ui ha sede il titolare deltrattamento.

Roma, 17 novembre 2011

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale reggente
De Paoli