PRIVACY – Le telecamere di videosorveglianza su spazi pubblici – Garante Protezione Dati Personali 12.10.23 n. 477

Il progresso tecnologico ha reso le telecamere di videosorveglianza un prodotto facilmente acquistabile (anche al centro commerciale, nei negozi di elettrodomestici e di bricolage) e facilmente installabile, pure da soli, senza avvalersi di ditte professionali specializzate.
Occorre però prestare attenzione, per non incorrere in responsabilità rispetto alla normativa che tutela la privacy.

LA NORMATIVA CHE TUTELA LA PRIVACY

L’Italia si era dotata di una normativa organica in materia di privacy ancora del 2003, con il Codice in materia di protezione dei dati personali (Decreto Legislativo 30 giugno 2003, n. 196 della Repubblica Italiana, in S.O n. 123 alla G.U. 29 luglio 2003, n. 174); nel 2011 e 2012 intervennero importanti modifiche di semplificazione; nel 2016, poi, è intervenuta una normativa europea, direttamente applicabile, il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016).
Il Regolamento europeo (in sigla acronimo RGPD o, più frequentemente, dal testo inglese General Data Protection Regulation, GDPR) ha in gran parte superato il Codice italiano (diversi suoi articoli sono stati modificati, a partire dall’art 1 che, ora, richiama espressamente il regolamento¹, mentre i successivi articoli si propongono di adeguare ad esso l’ordinamento; altri sono stati abrogati; resta, essenzialmente, l’apparato sanzionatorio).
Il GDPR è un testo legislativo complesso, composto da 99 “articoli” (ossia le norme propriamente dette), preceduti peraltro da addirittura 173 “considerando” (ossia premesse di varia natura, tra la motivazione, l’esplicazione e la direttiva, e che hanno una importante valenza interpretativa).

LA PRIVACY E LE TELECAMERE DI VIDEOSORVEGLIANZA

Installare sistemi di ripresa video, quali le telecamere dei sistemi di videosorveglianza, implica trattamento di dati personali ai sensi e per gli effetti, di principio, della normativa che tutela la privacy.
Un tanto è indubitabile, stanti le amplissime definizioni di:
– “dato personale”: per l’art. 4 GDPR par. 1, n. 1 è qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; e
– “trattamento”: per l’art. 4 GDPR par. 1, n. 2 è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

MA NELLA MIA PROPRIETA’ ?

E’ diffusa l’opinione che in spazi privati si possano installare telecamere di videosorveglianza senza problemi.
E, anche, che non si possano mai installare telecamere di videosorveglianza che riprendano anche spazi pubblici.
Non è proprio così.
La pronuncia Garante Protezione Dati Personali 12.10.23 n. 477 offre l’occasione di inquadrare meglio la questione e le problematiche.

LA PRONUNCIA DEL GARANTE

Il caso oggetto del provvedimento in esame (Garante Protezione Dati Personali 12.10.23 n. 477) era quello di una signora che, sul muro esterno di proprietà della sua abitazione, aveva installato una telecamera idonea a riprendere l’area pubblica antistante (dove si trovano un parco giochi e una piazza).
Il Garante reputa illecita l’installazione, perché in generale ammissibile soltanto in presenza di situazioni di rischio effettivo, e nel caso di specie effettuata in maniera non conforme ai principi di “liceità” e di “minimizzazione”.
Poiché nel frattempo l’installazione era stata modificata, sostituendo la telecamera precedentemente installata con una fissa puntata verso l’ingresso, il Garante qualifica il fatto “violazione minore” e ritiene sufficiente, quale sanzione, un “ammonimento” all’autore.
E’ utile ripercorrere le ragioni della ravvisata illiceità.

IN QUALI CASI NON SI APPLICA LA NORMATIVA ?

Il provvedimento si pone anzitutto la questione della applicabilità o meno della normativa alla fattispecie: richiamando l’art. 2 e il considerando 18 del GDPR, conclude che si applica, in quanto l’angolo di visuale delle telecamere non era limitato a sole zone di propria pertinenza.

Precisamente, l’art. 2 GDPR, rubricato Ambito di applicazione materiale, stabilisce:

1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi

2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico; (C18)
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici dell’Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all’articolo 98.

4. Il presente regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva.

E il considerando 18 GDPR spiega:

Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.

Dunque il testo del GDPR nell’esonerare dalla sua applicazione i trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico precisa quest’ultimo concetto con senza una connessione con un’attività commerciale o professionale.

Il provvedimento in commento approfondisce quindi le condizioni dell’esonero, affermando il principio che, tenuto conto delle cause di esclusione dell’applicazione della normativa in materia di protezione dati di cui all’art. 2 par. 2 del Regolamento UE 2016/679, alla luce anche del considerando n. 18 del Regolamento, è possibile installare sistemi di ripresa video, senza dover adempiere agli obblighi previsti dalle norme in materia di protezione dei dati personali, purché l’angolo di visuale delle telecamere sia limitato alle sole zone di propria pertinenza, anche eventualmente attraverso l’attivazione di una funzione di oscuramento delle parti eccedenti.

In altre parole: se l’angolo di visuale delle telecamere esorbita dalle zone di propria pertinenza, per ciò solo non si può parlare di trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.

E NEI CASI INVECE IN CUI SI APPLICA LA NORMATIVA ?

In tali casi, ricorda il provvedimento, il titolare del trattamento è tenuto al rispetto delle disposizioni in materia di protezione dati personali, rinvenibili nelle Linee guida n. 3/2019, sul trattamento dei dati personali attraverso dispositivi video, adottate dal Comitato europeo per la protezione dei dati e nel Provvedimento generale in materia di videosorveglianza dell’8 aprile 2010 (reperibile sul sito dell’Autorità www.gpdp.it, doc. web 1712680).

In buona sostanza, osserva il provvedimento:

– soltanto in presenza di situazioni di rischio effettivo, il titolare del trattamento può, sulla base di un legittimo interesse, estendere la ripresa delle videocamere anche ad aree che esulano dalla propria esclusiva pertinenza, purché ciò sia adeguatamente motivato e suffragato da idonea documentazione (es. denunce, minacce, furti);

– inoltre, il trattamento di dati personali è illecito se effettuato in maniera non conforme ai principi di “liceità” e di “minimizzazione” dei dati, ossia in violazione dell’art. 5, par. 1, lett. a) e c) e dell’art. 6, par. 1 del Regolamento.

Infatti, l’art. 5 GDPR, rubricato Principi applicabili al trattamento di dati personali, stabilisce:

I dati personali sono: (C39)
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è,
conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di
archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo
(«responsabilizzazione»). (C74)

Mentre l’art. 6 GDPR, rubricato Liceità del trattamento, stabilisce:

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40)
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43)
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (C46)
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se
l’interessato è un minore. (C47-C50)
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il
trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX. (C8, C10, C41, C45, C51)

La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: (C8, C10, C41, C45, C51)
a) dal diritto dell’Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del
trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del
trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: (C50)
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

La sintesi più abbordabile di come si devono rispettare le disposizioni in materia di protezione dei dati personali con riguardo alle telecamere dei sistemi di videosorveglianza è nelle faq che si trovano nel sito istituzionale del Garante Protezione Dati Personali, e di cui riportiamo alcuni stralci:

Quali sono le regole da rispettare per installare sistemi di videosorveglianza? (FAQ N. 1)
L’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili: ad esempio, le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, o in materia di controllo a distanza dei lavoratori. Va sottolineato, in particolare, che l’attività di videosorveglianza va effettuata nel rispetto del cosiddetto principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento. I dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite. E’ bene ricordare inoltre che il Comitato europeo per la protezione dei dati (EDPB) ha adottato le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” allo scopo di fornire indicazioni sull’applicazione del Regolamento in relazione al trattamento di dati personali attraverso dispositivi video, inclusa la videosorveglianza.

Occorre avere una autorizzazione da parte del Garante per installare le telecamere? (FAQ N. 2)
No. Non è prevista alcuna autorizzazione da parte del Garante per installare tali sistemi. In base al principio di responsabilizzazione (art. 5, par. 2, del Regolamento), spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, altresì, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

Le persone che transitano nelle aree videosorvegliate devono essere informate della presenza delle telecamere? (FAQ N. 3)
Sì. Gli interessati devono sempre essere informati (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato.

In che modo si fornisce l’informativa agli interessati? (FAQ N. 4)
L’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB <si tratta del Comitato europeo per la protezione dei dati, n.d.r>), che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese). L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso). Vedi l’immagine del modello semplificato del cartello videosorveglianza.

Quali sistemi di videosorveglianza necessitano di valutazione d’impatto preventiva? (FAQ N. 7)
La valutazione d’impatto preventiva è prevista se il trattamento, quando preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per le persone fisiche (artt. 35 e 36 del Regolamento) (per approfondimenti si vedano le “Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679” – WP248rev.01 del 4 ottobre 2017). Può essere il caso, ad esempio, dei sistemi integrati – sia pubblici che privati – che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c) del Regolamento) e negli altri casi indicati dal Garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).

Quali sono i tempi dell’eventuale conservazione delle immagini registrate? (FAQ 5)
Le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (art. 5, paragrafo 1, lett. c) ed e), del Regolamento). In base al principio di responsabilizzazione (art. 5, paragrafo 2, del Regolamento), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Ciò salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati (si veda, ad esempio, l’art. 6, co. 8, del D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”). In via generale, gli scopi legittimi della videosorveglianza sono spesso la sicurezza e la protezione del patrimonio. Solitamente è possibile individuare eventuali danni entro uno o due giorni. Tenendo conto dei principi di minimizzazione dei dati e limitazione della conservazione, i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione. Ad esempio, normalmente il titolare di un piccolo esercizio commerciale si accorgerebbe di eventuali atti vandalici il giorno stesso in cui si verificassero. Un periodo di conservazione di 24 ore è quindi sufficiente. La chiusura nei fine settimana o in periodi festivi più lunghi potrebbe tuttavia giustificare un periodo di conservazione più prolungato.

È possibile prolungare i tempi di conservazione delle immagini? (FAQ 6)
In alcuni casi può essere necessario prolungare i tempi di conservazione delle immagini inizialmente fissati dal titolare o previsti dalla legge: ad esempio, nel caso in cui tale prolungamento si renda necessario a dare seguito ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad un’attività investigativa in corso.

Per approfondimenti si rimanda, più che al Provvedimento generale in materia di videosorveglianza dell’8 aprile 2010, del nostro Garante, contenente riferimenti ad articoli del Codice attualmente abrogati, alle Linee guida n. 3/2019 del Comitato europeo per la protezione dei dati, aggiornate al Regolamento.

* * *

* * *

Provvedimento del 12 ottobre 2023

Registro dei provvedimenti
n. 477 del 12 ottobre 2023

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTA la segnalazione del 6 luglio 2021 della Stazione dei Carabinieri di XX;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’attività istruttoria.

Con la nota del 6 luglio 2021, la Stazione dei Carabinieri di XX segnalava a questa Autorità l’installazione, sul muro esterno di proprietà della sig.ra XX, di una telecamera che, dagli accertamenti compiuti e dai rilievi fotografici, risultava idonea a riprendere l’area pubblica antistante dove si trovano un parco giochi e una piazza.

Con la richiesta di informazioni del 4 novembre 2022, formulata ai sensi dell’art. 157 del d.lgs. n. 196 del 2003, recante il Codice in materia di protezione dei dati personali, l’Ufficio avviava l’istruttoria preliminare, invitando a riferire in ordine a quanto segnalato e contestualmente delegava il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza a effettuare le opportune verifiche.

Nel corso dell’accertamento, eseguito il 2 marzo 2023, gli agenti rilevavano che l’impianto di videosorveglianza risulta composto da una prima telecamera brandeggiabile, con possibilità di movimento a 360°, posizionata sulla porta di accesso dell’abitazione, orientabile mediante l’applicazione installata sullo smartphone; tale dispositivo, oltre a riprendere le immagini, consente anche di “registrare audio nelle immediatezze e di intervenire parlando attraverso il microfono” e da una seconda telecamera, non attiva, posizionata immediatamente dopo un vialetto di accesso che collega l’entrata con uno spazio interno all’edificio.

In relazione all’angolo di visuale di ripresa delle telecamere la parte dichiarava che “l’impianto che riprende le immagini esterne… è composto da due telecamere…Una, posizionata proprio sopra la porta di accesso dell’abitazione, riprende la porzione di spazio antistante l’ingresso e le zone immediatamente attigue. La mia proprietà, o meglio le mura perimetrali, confinano con un piccolo parco giochi antistante che non è mia intenzione riprendere. L’altra, ripeto collegata ma non attiva, direzionata, potenzialmente atta a riprendere lo spazio del vialetto che collega il cancello di accesso alla mia abitazione allo spazio interno dell’edificio”.

La parte rappresentava inoltre che “la telecamera che è posizionata immediatamente sopra la porta di accesso , per le sue caratteristiche, potrebbe inquadrare anche parte del parco giochi. Ma non è mio interesse farlo. Non ho nessuna intenzione di direzionare la mia telecamere oltre gli spazi di mia proprietà/disponibilità. Fatti salvi tutti quegli accadimenti di danneggiamento o minacce esplicite nei miei confronti, che ho dichiarato prima nelle finalità perseguite, per i quali mi riservo attraverso le immagini di sporgere denuncia”.

La parte, infine, dichiarava che “a riprova di ciò fornisco video/audio (all.n.10) salvato sul mio telefono e non più presente sull’applicazione, dove si evince come queste persone mi minaccino. Mi son tenuta questi video/audio perché è mia intenzione confrontarmi con il mio avvocato e sporgere una denuncia…”

2. L’avvio del procedimento.

Con la comunicazione del 17 aprile 2023, l’Ufficio notificava alla parte l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice.

Ciò in quanto, sulla base delle verifiche compiute e delle dichiarazioni rese, risultava infatti accertato che l’impianto di videosorveglianza, per le sue caratteristiche tecniche, è idoneo alla ripresa di aree che non sono di diretta pertinenza, trattandosi di spazi pubblici (parco), e, pertanto, il correlato trattamento di dati personali risultava effettuato in assenza di un valido presupposto di liceità – anche in relazione alle registrazioni di “audio” riconducibili a conversazioni avvenute su area pubblica – in violazione degli art. 5, par.1, lett. a), c) e 6, par. 1, del Regolamento e in assenza dell’informativa prevista dall’art. 13 del Regolamento

La parte, informata dall’Ufficio della possibilità di produrre scritti difensivi o documenti in relazione al procedimento a suo carico, ha fatto pervenire una nota indicante le misure adottate per rendere conforme il suddetto trattamento al Regolamento.

Nello specifico, in data 15 giugno 2023 è stata trasmessa all’Ufficio una comunicazione dalla quale risultava che “la Sig.ra … ha provveduto a sostituire la telecamera relativa all’impianto di videosorveglianza collocato nell’abitazione a XX, XX, con il modello a telecamera fissa puntato verso l’ingresso…”.

3. L’esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, risulta accertato che la sig.ra XX ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD.

Il trattamento dei dati posto in essere mediante un impianto di videosorveglianza se effettuato da persone fisiche per finalità personali e domestiche è da ricondurre nelle cause di esclusione dell’applicazione della normativa in materia di protezione dati di cui all’art. 2 par. 2 del Regolamento UE 2016/679. A tal proposito, il considerando n. 18 del Regolamento specifica che si considera “attività a carattere esclusivamente personale o domestico” quella effettuata senza che si realizzi una connessione con un’attività commerciale o professionale.

L’utilizzo di sistemi di videosorveglianza da parte di persone fisiche nelle aree di diretto interesse (quali quelle inerenti al proprio domicilio e le sue pertinenze) è quindi da ritenersi, in linea di massima, escluso dall’ambito di applicazione materiale delle disposizioni in materia di protezione dati, perché rientrante tra i trattamenti effettuati per l’esercizio di attività a carattere esclusivamente personale e domestico.

Ciò a condizione che l’ambito di comunicazione dei dati non ecceda la sfera familiare del titolare e le immagini non siano oggetto di comunicazioni a terzi o di diffusione e il trattamento non si estenda oltre gli ambiti di stretta pertinenza del titolare riprendendo immagini in aree comuni (anche di tipo condominiale quali scale, androni, parcheggi), luoghi aperti al pubblico (vie o piazze), o aree di pertinenza di terzi (giardini, terrazzi, porte o finestre di pertinenza di terzi).

Ne discende quindi che è possibile installare sistemi di ripresa video, senza dover adempiere agli obblighi previsti dalle norme in materia di protezione dei dati personali, purché l’angolo di visuale delle telecamere sia limitato alle sole zone di propria pertinenza, anche eventualmente attraverso l’attivazione di una funzione di oscuramento delle parti eccedenti.

Soltanto in presenza di situazioni di rischio effettivo, il titolare del trattamento può, sulla base di un legittimo interesse, estendere la ripresa delle videocamere anche ad aree che esulano dalla propria esclusiva pertinenza, purché ciò sia adeguatamente motivato e suffragato da idonea documentazione (es. denunce, minacce, furti).

In tali casi, il titolare del trattamento è tenuto tuttavia al rispetto delle disposizioni in materia di protezione dati personali, rinvenibili nelle Linee guida n. 3/2019, sul trattamento dei dati personali attraverso dispositivi video, adottate dal Comitato europeo per la protezione dei dati e nel Provvedimento generale in materia di videosorveglianza dell’8 aprile 2010 (reperibile sul sito dell’Autorità www.gpdp.it, doc. web 1712680).

Nel caso in esame, l’istruttoria ha rilevato che la ripresa delle aree ultronee, rispetto a quelle di pertinenza, è avvenuta in assenza di idonei presupposti di liceità, considerato che il titolare del trattamento non ha dimostrato la sussistenza di un legittimo interesse riferito a una situazione di rischio effettivo che avrebbe giustificato tale trattamento.

Quanto sopra vale anche per la captazione di conversazioni avvenute in spazi pubblici attraverso dispositivi audio.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

Alla luce delle considerazioni sopra riportate, si rileva quindi che, almeno fino agli interventi correttivi di cui alla comunicazione del 15 giugno 2023, il trattamento di dati personali posto in essere risulta illecito poiché effettuato in maniera non conforme ai principi di “liceità” e di “minimizzazione” dei dati, in violazione dell’art. 5, par. 1, lett. a) e c) e dell’art. 6, par. 1 del Regolamento, in considerazione del fatto che la telecamera per le sue caratteristiche, risultava idonea a inquadrare anche parte del parco giochi antistante l’abitazione della sig.ra XX (cfr. Verbale accertamenti ispettivi).

Si tiene conto del fatto che le dichiarazioni contenute negli scritti difensivi sono da ritenersi meritevoli di considerazione ai fini della valutazione della condotta e che la stessa ha esaurito i suoi effetti, avendo il titolare del trattamento provveduto a sostituire la telecamera precedentemente installata con una fissa puntata verso l’ingresso; in relazione a quanto precede, il caso può essere qualificato come “violazione minore”, ai sensi dell’art. 83, par. 2 e del Considerando 148 del Regolamento.

Si ritiene, pertanto, sufficiente ammonire il titolare del trattamento ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) dichiara, ai sensi degli artt. 57, par. 1, lett. a) e 83 del Regolamento, l’illiceità del trattamento effettuato dalla sig.ra XX (c.f. XX), residente in XX, nei termini di cui in motivazione, per la violazione dell’art.5, par. 1, lett. a) e c) e dell’art. 6, par. 1 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento ammonisce il medesimo titolare del trattamento per la violazione dell’art. 5, par. 1, lett. a) e c) e dell’art. 6, par. 1 del Regolamento;

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

* * *

l’Art. 1 del Codice originariamente era rubricato Diritto alla protezione dei dati personali e recitava Chiunque ha diritto alla protezione dei dati personali che lo riguardano; ora è rubricato Oggetto, e recita che Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona. ↩︎

About The Author

Alvise Cecchinato e Maria Adelaide Cecchinato

See author's posts

PRIVACY – Le telecamere di videosorveglianza su spazi pubblici – Garante Protezione Dati Personali 12.10.23 n. 477

About The Author

Alvise Cecchinato e Maria Adelaide Cecchinato

CONDOMINIO – Cassazione Civile sez. II, 17.06.25 n. 16290 – Lavori straordinari in Condominio, compenso dell’Amministratore e possibili responsabilità.

CONDOMINIO – Cassazione Civile sez. II, 22.04.25 n. 10473 – La modificazione della cosa comune che non assume rilievo di innovazione e risponde allo scopo di un uso del bene più intenso e proficuo.

CONDOMINIO – Cassazione Civile sez. II, 18.06.25 n. 16399 – Da escludere la validità della convocazione dell’Assemblea con modalità di trasmissione dell’avviso inidonee a documentarne la consegna all’indirizzo del destinatario, quale il messaggio di posta elettronica semplice.

Comunione e Condominio

COMUNIONE E CONDOMINIO – artt. 1117-1139 codice civile (capo sul condominio negli edifici)

COMUNIONE E CONDOMINIO – artt. 1100-1116 codice civile (capo sulla comunione in generale)

COMUNIONE E CONDOMINIO – artt. 61-72; 155-155-bis disposizioni di attuazione del codice civile (norme su comunione e condominio)

COMUNIONE E CONDOMINIO – art. 30 l. 220/2012 (privilegio delle spese condominiali maturate in corso di fallimento)

COMUNIONE E CONDOMINIO – art. 10 l. 392/1978 (partecipazione del conduttore all’assemblea dei condòmini)

Diritto penale degli enti

DIRITTO PENALE DEGLI ENTI – LA LEGGE (Decreto Legislativo 8 giugno 2001, n. 231)

Decreto Legislativo sulla sicurezza dell’acqua

SICUREZZA DELL’ACQUA – LA LEGGE (Decreto Legislativo 23 febbraio 2023, n. 18)

SICUREZZA DELL’ACQUA – LE LINEE GUIDA DELL’ISTISAN (Rapporto 22/23)

Codice Crisi Impresa Insolvenza

CODICE DELLA CRISI D’IMPRESA E DELL’INSOLVENZA – DEFINIZIONI, AMBITO DI APPLICAZIONE DELLE PROCEDURE

SOVRAINDEBITAMENTO – LE NUOVE PROCEDURE DEL C.C.I.I. – LA LIQUIDAZIONE CONTROLLATA DEL SOVRAINDEBITATO (Artt. 268-277 e Artt. 282-283)

SOVRAINDEBITAMENTO – LE NUOVE PROCEDURE DEL C.C.I.I. – LA RISTRUTTURAZIONE DEI DEBITI DEL CONSUMATORE (Artt. 65-66 e Artt. 67-73)

SOVRAINDEBITAMENTO – LE NUOVE PROCEDURE DEL C.C.I.I. – IL CONCORDATO MINORE (Artt. 65-66 e Artt. 74-83)

SOVRAINDEBITAMENTO – LE NUOVE PROCEDURE DEL C.C.I.I. – L’ESDEBITAZIONE DEL SOVRAINDEBITATO INCAPIENTE (Art. 283)

SOVRAINDEBITAMENTO – LA L. 27.01.2012 N. 3 COME MODIFICATA DAL D.L. 28.10.2020 N. 137 CONVERTITO DALLA L. 18.12.2020 N. 176 E IL D.M. 24.09.2014 N. 202

Alternative Dispute Resolution

MEDIAZIONE – LA LEGGE (Decreto Legislativo 4 marzo 2010, n. 28) E IL REGOLAMENTO (Decreto Ministeriale 24 ottobre 2023, n. 150)

NEGOZIAZIONE ASSISTITA – LA LEGGE (Decreto Legge 12 settembre 2014, n. 132, convertito con modificazioni dalla Legge 10 novembre 2014, n. 162)

PROCEDURE DI MEDIAZIONE E DI NEGOZIAZIONE ASSISTITA – obbligatorietà – procedimenti giudiziari esclusi – procedure conciliative alternative

Dichiarazioni sostitutive

DICHIARAZIONI SOSTITUTIVE – NORMA E FORMULE (Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, artt. 46-47)

Processo Civile

PROCESSO CIVILE – I criteri di redazione e i limiti dimensionali di cui al D.M. 7 agosto 2023, n. 110

About The Author

Altre storie

Comunione e Condominio

Diritto penale degli enti

Decreto Legislativo sulla sicurezza dell’acqua

Codice Crisi Impresa Insolvenza

Alternative Dispute Resolution

Dichiarazioni sostitutive

Processo Civile