Impianto di videosorveglianza esterno all'hotel non conforme alle normative sulla privacy.
Il Garante per la Protezione dei Dati Personali ha emesso un provvedimento del 13 marzo 2025 con cui dichiara illecito il trattamento di dati personali effettuato dalla società , che gestisce anche l'Hotel dei Galli a Senigallia. La decisione è stata presa a seguito di un reclamo pervenuto il 24 ottobre 2023 che segnalava un impianto di videosorveglianza esterno non conforme alle normative sulla privacy.
Secondo il reclamo, le telecamere erano posizionate in modo da riprendere aree che non erano di esclusiva pertinenza della società, incluse aree comuni e zone di proprietà di terzi, specificamente dei reclamanti. Inoltre, si contestava che i cartelli informativi sulla presenza delle telecamere non riportassero i dati identificativi del titolare del trattamento né le finalità dello stesso.
A seguito di un'indagine della Guardia di Finanza di Roma - Nucleo speciale tutela privacy e frodi tecnologiche, avvenuta il 23 aprile 2024, è stata confermata la presenza di due telecamere funzionanti all'esterno dell'hotel. Una riprendeva l'accesso antistante la sbarra d'ingresso del parcheggio e l'altra il parcheggio stesso. Gli accertamenti hanno rivelato che le immagini riprese "coinvolgono parzialmente la porta d'ingresso dei reclamanti" e che era possibile una "sommaria definizione dei soggetti ripresi anche attraverso l'eventuale utilizzo della funzione di zoom". I cartelli informativi esterni, tuttavia, riportavano correttamente le indicazioni richieste (titolare, referente, email, finalità di tutela del patrimonio aziendale, tempi di conservazione di 24 ore e diritti dell'interessato).
La società in questione, in risposta all'avvio del procedimento sanzionatorio, ha presentato memorie difensive il 26 settembre 2024. Ha dichiarato che il tratto di strada ripreso era soggetto a una servitù perpetua di passaggio e che la telecamera registrava solo per 8 secondi in caso di movimento, senza riprendere completamente l'accesso alla casa dei reclamanti. Ha anche sottolineato che le immagini non avevano una definizione tale da permettere il riconoscimento di singole persone fisiche. In un'ottica di conformità, l'azienda ha affermato di aver rimosso le vecchie telecamere e installato un nuovo sistema di videosorveglianza con due telecamere che monitorano punti "totalmente interni alla proprietà", e che la nuova tecnologia permette il "crop delle immagini" per oscurare aree non rilevanti, anche se non "critiche".
Il Garante, basandosi sul Regolamento (UE) 2016/679 (GDPR) e sul Codice in materia di protezione dei dati personali, ha ribadito che l'uso di sistemi di videosorveglianza deve rispettare i principi generali del GDPR, in particolare l'articolo 5, paragrafo 1, lettera a) (principi di liceità, correttezza e trasparenza). Ha citato il proprio provvedimento generale in materia di videosorveglianza dell'8 aprile 2010 e le Linee Guida n. 3/2019, che impongono di limitare l'angolo visuale all'area effettivamente da proteggere, evitando di riprendere luoghi circostanti irrilevanti, e di utilizzare mezzi fisici e tecnici come il blocco o la pixelatura di aree non pertinenti.
In conclusione, l'Autorità ha rilevato che la condotta della sociertà., nel riprendere anche aree di pertinenza di soggetti terzi, si pone in violazione dei principi di cui all'art. 5, par. 1, lett. a) del Regolamento e che il trattamento risultava effettuato in violazione dell'art. 6 del Regolamento in quanto privo di base giuridica. Il Garante ha quindi dichiarato l'illiceità del trattamento e ha disposto l'annotazione delle violazioni nel registro interno dell'Autorità. La società ha la possibilità di proporre ricorso all'autorità giudiziaria ordinaria entro trenta giorni (sessanta se residente all'estero).
Commento
Questo provvedimento del Garante è un'ulteriore conferma della serietà con cui viene trattato il tema della videosorveglianza in relazione alla protezione dei dati personali in Italia, e più in generale nell'Unione Europea sotto l'ombrello del GDPR. Il caso della Morganti s.n.c. evidenzia un punto cruciale: la necessità che i sistemi di videosorveglianza siano progettati e utilizzati in modo da minimizzare la raccolta di dati non necessari, rispettando il principio di "privacy by design" e "privacy by default".
Anche se l'azienda ha dichiarato di aver adottato misure correttive, come la sostituzione delle telecamere e l'implementazione della tecnologia di "crop" per oscurare le aree non di pertinenza, il Garante ha sanzionato la condotta pregressa. Questo sottolinea che la responsabilità del titolare del trattamento non si esaurisce con l'adozione successiva di misure di sicurezza, ma si estende alla conformità sin dall'installazione del sistema.
Il fatto che il Garante abbia specificato la violazione sia dell'articolo 5 (principi generali) che dell'articolo 6 (liceità del trattamento) del GDPR è significativo. La ripresa di aree di terzi senza una base giuridica adeguata (ad esempio, consenso, interesse legittimo bilanciato, obbligo legale) costituisce una violazione fondamentale dei diritti degli interessati. La giustificazione della "servitù di passaggio" avanzata dalla società non è stata sufficiente a validare la ripresa di aree private non di sua competenza.
Questo caso serve da monito per tutte le attività commerciali e i privati che utilizzano sistemi di videosorveglianza: è indispensabile una valutazione attenta dell'angolo di ripresa, delle finalità del trattamento e delle basi giuridiche su cui si fonda, assicurandosi che le telecamere inquadrino solo ciò che è strettamente necessario per l'obiettivo prefissato, senza invadere la sfera privata altrui. La tecnologia, come il "crop" menzionato dall'azienda, può essere d'aiuto, ma la conformità deve essere una priorità fin dall'inizio della progettazione del sistema.
