Le informazioni da rendere all’interessato ai sensi degli artt. 13 e 14 GDPR, ossia per brevità l’informativa, rivestono un ruolo essenziale nell’impianto normativo e sono una delle cause più frequenti di sanzione da parte del Garante per la protezione dei dati personali.
Errore di metodo: uso di modelli prestampati
La ragione più comune delle violazioni è spesso un’incomprensione sul metodo: l’informativa non è mai un adempimento da affrontare con modelli prestampati, ma una sintesi giuridica dell’intero impianto di trattamento, da rivedere ciclicamente.
Se vengono usati dei modelli, vanno riempiti di contenuti ragionati e vanno perfino corretti nei passaggi errati o divenuti obsoleti.
Una recente ordinanza-ingiunzione per € 26.000 del Garante al comune di Policoro permette di passare in rassegna alcune mancanze tipiche. Vediamole insieme.
La vicenda
Il Comune decide di contrastare il fenomeno dell’abbandono di rifiuti urbani avvalendosi di un sistema di videosorveglianza che permetta di individuare i contravventori. Finalità corretta, ma la realizzazione presenta svariate carenze. Cominciamo dalla prima.
1. Eliminare i riferimenti all’art. 13 Cod. privacy
È l’errore più banale e diffuso: l’uso di cartelli informativi con riferimenti all’art. 13 d.lgs. 196/03 (Codice privacy), norma abrogata da ben quattro anni, anziché all’art. 13 GDPR vigente. Il periodo di implicita tolleranza è evidentemente finito, perché il Garante rimarca la criticità.
Attenzione, non è questione di forma: a parte un’area di sovrapposizione contenutistica tra le due disposizioni, l’art. 13 GDPR è più ricco e strutturato e l’interessato deve poter consultare il testo giusto.
Inoltre, l’errore sottende un difetto più clamoroso, l’ignoranza sullo stato della normativa. Tanto è vero che le difese del Comune risultano inizialmente ancora basate sul vecchio provvedimento dell’8 aprile 2010 del Garante, ampiamente superato, e in passaggi chiave, alla luce del GDPR.
2. Mancanza dell’informativa “estesa”
Quante informative sulla videosorveglianza riportano la versione cd. “estesa”, o “di secondo livello”? Pochissime, ancora oggi.
Chiariamo il passaggio: il cartello informativo posto in prossimità (ma prima) del raggio d’azione delle telecamere soddisfa la cosiddetta informativa “sintetica”, o “di primo livello”.
La ragione per avere due informative “layered”, una sintetica (il cartello) e una estesa è semplice: non si può riportare il testo integrale dell’art. 13 GDPR su un cartello di pronta consultazione, perciò si inserisce un riferimento per acquisire l’informativa estesa, auspicabilmente anche in formato link (testo e QR).
L’errore più comune consiste nel predisporre i soli cartelli informativi “sintetici”, dimenticando l’adempimento principale, ossia l’informativa “estesa”, che assicura il rispetto pieno dell’art. 13 GDPR.
Anche qui, non è questione di forma ma di sostanza: l’ampiezza degli elementi da fornire all’interessato può trovare spazio solo nell’informativa estesa.
3. Mancanza dei termini di conservazione
Altra mancanza tipica: non avere previsto tempi di conservazione, che sono invece essenziali. Non sono, salvo eccezioni, termini stabiliti per legge: è onere e responsabilità del titolare del trattamento decidere la durata ed essere in grado di giustificarne la coerenza con l’art. 5 GDPR.
Intervengono molti fattori nella valutazione. Ma se si vuole quella che gli inglesi chiamerebbero una rule of thumb, ossia una regola di massima orientativa, si può tenere il limite delle 72 ore.
“Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione”, così il Garante.
Superate le 72 ore, occorrerebbe procedere quantomeno a un’analisi del rischio strutturata, conforme all’art. 32 GDPR.
Beninteso, il limite orientativo delle 72 ore può ben essere superato, e non di stretta misura, ma occorre un impianto giuridico che ne sostenga adeguatamente le ragioni.
Conclusioni
Il provvedimento GPDP 9 giugno 2022 [9794895] qui commentato permette di estrarre tre semplici regole base da osservare in materia di informativa sulla videosorveglianza:
- eliminare dai cartelli i riferimenti non più attuali all’art. 13 Codice privacy
- formulare un’informativa “estesa”, collegandola logicamente al cartello informativo “sintetico”
- definire i tempi di conservazione dei dati personali, evitando durate eccessive