Il Garante per la Protezione dei Dati Personali ha sanzionato la Regione Lazio per illecito controllo dei metadati relativi alle e-mail dei dipendenti. Nel caso in esame, la Regione aveva avviato un’indagine interna per una sospetta divulgazione a terzi di informazioni riservate. Per effettuare le verifiche sono stati utilizzati metadati (in particolare orari, destinatari, oggetto delle comunicazioni, peso degli allegati) utilizzando dati conservati per 180 giorni per generiche finalità di “sicurezza informatica”. Secondo l’autorità Garante, in questo modo sono stati violati i principi che legittimano il trattamento dei dati e le norme sul controllo a distanza dei lavoratori, poiché la raccolta di dati non strumentali allo “svolgimento della prestazione” del lavoratore (in questo caso i metadati) deve essere legittimata da specifiche garanzie previste dalla legge (accordo sindacale o autorizzazione pubblica).
sanzioni
Sanzione per nomina DPO in conflitto di interesse
L’autorità di controllo di Berlino ha comminato una sanzione di 525.000 euro alla filiale di una società di e-commerce con base nella stessa città.
La società ha nominato un Data Protection Officer (Responsabile della Protezione dei Dati) che ricopre anche l’incarico di managing director in due aziende di servizi che trattano dati personali per conto della stessa società per la quale il professionista agisce in qualità di RDP (o DPO). Le aziende di servizi fanno parte dello stesso gruppo al quale appartiene la società di e-commerce.
Considerata la situazione, l’autorità di controllo ha contestato la nomina di un RPD in conflitto di interesse in violazione dell’articolo 38(6) del GDPR. Nel caso specifico, nel corso del 2021 era già stato inviato un avvertimento alla società e, quando la nuova ispezione ha rilevato come non ci fossero state modifiche alla nomina, l’autorità ha deciso per la sanzione.
(fonte: GDPR Enforcement Tracker)
Videosorveglianza e sanzioni: alcuni recenti provvedimenti
Gli impianti di videosorveglianza, sia domestici che aziendali, sono sempre più diffusi anche per la diminuzione del costo dei dispositivi. Si tratta tuttavia di sistemi che, se non utilizzati correttamente, espongono a rischi sia chi li attiva e li gestisce che chi entra nel raggio di azione.
Una recente indagine di Federprivacy e Ethos Academy evidenzia come solo nell’8% dei casi le persone che entrano in un esercizio dotato di videosorveglianza vedono anche l’obbligatorio cartello con le informazioni di base previste dalla normativa.
Le persone che stanno per entrare nel raggio d’azione di una videocamera devono sempre essere informate (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato.
Nel corso dell’ultimo anno nella UE sono aumentate le sanzioni, sia a esercizi pubblici che a soggetti privati, per le installazioni non conformi. Per i privati, è importante considerare che gli apparecchi di videosorveglianza devono coprire zone di limitate agli spazi di pertinenza esclusiva, non possono coprire aree comuni.
Alcune recenti sanzioni
- In Germania (gennaio 2022) un negozio di elettronica è stato sanzionato per 16.000 euro per avere installato un impianto che riprendeva sistematicamente le zone di lavoro del personale, i clienti, gli apparecchi esposti e le aree di pertinenza dell’esercizio con finalità di protezione del patrimonio aziendale e di perseguimento di atti vandalici. L’autorità di controllo tedesca ha rilevato le seguenti irregolarità:
- l’impianto era stato installato senza la preventiva valutazione di impatto da parte del titolare (art. 35 del GDPR);
- le immagini venivano archiviate per un periodo di tempo superiore rispetto al necessario, in violazione dei principi di minimizzazione (art. 5(1) del GDPR);
- la registrazione delle aree di lavoro del personale non era necessaria per perseguire le finalità stabilite dal titolare, anche in questo caso in violazione del principio di minimizzazione (art. 5(1) del GDPR).
- In Spagna (luglio 2022) l’autorità di controllo ha sanzionato un istituto scolastico per avere installato un impianto senza esposizione dei dati identificativi e di contatto del titolare del trattamento, in violazione delle norme sull’esercizio dei diritti degli interessati che, in questo caso, non saprebbero a chi avanzare le richieste al titolare. La sanzione ammontava a 3.000 euro.
- Ancora in Spagna (agosto 2022) l’autorità ha sanzionato un esercizio commerciale per 1.700 euro per avere attivato delle videocamere di sorveglianza senza avere esposto alcuna informazione sul trattamento dei dati personali.
- L’autorità spagnola (settembre 2022) ha sanzionato anche diverse persone fisiche per avere installato videocamere in modo non conforme. Le ultime sanzioni (300 euro e 2000 euro) sono state comminate ad due persone che avevano attivato videocamere di sorveglianza che, nel primo caso, visualizzavano anche la strada di accesso ad una proprietà confinante e nel secondo aree di pubblico passaggio.
Anche nelle abitazioni private l’installazione di videocamere di sorveglianza deve seguire delle regole precise, nella pagina tematica del sito del Garante si possono trovare le istruzioni da seguire per non rischiare sanzioni.
Anche nelle abitazioni private è obbligatorio seguire delle regole precise, nella pagina