10.000 euro: a tanto ammonta la sanzione che il Garante per la Protezione dei Dati ha comminato all'Università Federico II di Napoli. Il Garante si è attivato a seguito di una contestazione da parte di un dipendente dell'Istituto nazionale di Fisica Nucleare che reclamava riguardo la presenza di 35 telecamere collegate a 3 schermi e posizionate in maniera tale da riprendere sia le aree esterne, sia gli spazi interni dell'edificio universitario, spazi dove sono svolte attività lavorative, con accesso ai servizi igienici ecc... Il reclamante evidenziava anche l'assenza di alcuna forma di accordo sindacale o di provvedimento autorizzativo alla videosorveglianza dei dipendenti da parte dell'Ispettorato del lavoro.

Il Garante avviava la necessaria istruttoria dalla quale emergeva che l'impianto di videosorveglianza fosse stato attivato nel Marzo 2016 come deterrente a seguito di numerosi furti verificatisi nella struttura. L'accordo sindacale per la videosorveglianza dei lavoratori è arrivato soltanto nel Novembre 2019, in data successiva alla presentazione del reclamo. Il Garante ricostruiva inoltre che l'informativa completa sul trattamento dei dati personali era stata resa disponibile agli interessati solo a partire dal 1 Agosto 2019 e che la cartellonistica obbligatoria in luoghi oggetto di videosorveglianza non rispettava le prescrizioni dell'art 13 del GDPR.

Le conclusioni del Garante
Il Garante ha evidenziato che le esigenze di sicurezza e di tutela del patrimonio, con le quali l'Ateneo giustifica la necessità di videosorveglianza degli edifici, sono valide ma non possono di per sé legittimare il trattamento di dati personali tramite strumenti di videosorveglianza dai quali può derivare anche un secondo aspetto, ovvero il controllo a distanza dei lavoratori.

Quindi è da confermarsi "l’illiceità del trattamento di dati personali effettuato dall’Ateneo, per aver trattato i dati personali dei lavoratori in assenza di idonei presupposti normativi e per non aver reso agli interessati le necessarie informazioni sul trattamento dei dati personali mediante il sistema di videosorveglianza, in violazione degli artt. 5, par. 1, lett. a), 6, 13 e 88 del Regolamento, nonché dell’art. 114 del Codice, in relazione all’art. 4, comma 1, della l. 20 maggio 1970, n. 300».

La quantificazione della sanzione in 10.000 euro è da motivarsi con il prolungato arco temporale durante il quale i dati sono stati trattati pur in assenza di presupposti di liceità sufficienti, ma anche perchè le riprese avvenivano in tempo reale e visualizzate da addetti dell'azienda aggiudicatrice del servizio di sorveglianza di Ateneo: una modalità, questa, estremamente più intrusiva rispetto alla cancellazione automatica delle immagini dopo un certo lasso di tempo. A favore dell'Ateneo e quindi in termini di riduzione della sanzione, fa sapere il Garante, è stata la cooperazione con l'authority in corso di istruttoria e la solerzia con la quale Università Federico II ha concertato un accordo con i sindacati.

Qui il provvedimento completo del Garante