Applicata una sanzione di 10 milioni di euro per una installazione abusiva di un impianto di videosorveglianza.
I lettori ormai sanno che le sanzioni previste dal regolamento generale europeo in materia di protezione dei dati personali possono raggiungere livelli assai elevati. Esaminiamo in particolare questa specifica sanzione.
Cominciamo ad illustrare lo scenario:
-mentre in Italia esiste un solo garante per la protezione dei dati personali, in Germania esistono tante autorità garanti, quanti sono gli Stati che compongono la Repubblica federale di Germania.
Nella fattispecie, l’autorità Garante per la Bassa Sassonia ha imposto una sanzione di 10, 4 milioni di euro ad un rivenditore di materiale elettronico. Questo rivenditore utilizzava di un sistema di videosorveglianza, all’interno dei propri locali, per prevenire ed indagare possibili attività criminose da parte dei dipendenti. L’impianto inoltre permetteva di tracciare il movimento delle merci tra le varie parti del magazzino.
L’ autorità Garante della Bassa Sassonia ha ritenuto che queste motivazioni non fossero sufficienti per abilitare l’installazione dell’impianto di videosorveglianza: in effetti, l’autorità Garante ha affermato che installare un impianto di questo tipo, per mettere sotto controllo possibili situazioni di rischio criminoso, rappresentava una attività eccessivamente invasiva, rispetto a soluzioni più morbide, come ad esempio una ispezione casuale delle borse di dipendenti, quando abbandonavano i locali.
Un altro aspetto che ha destato l’attenzione dell’autorità Garante è la durata di conservazione dei dati, che era fissata a 60 giorni. L’autorità garante ha confermato che le indagini su attività criminose potevano essere consentite soltanto se vi erano episodi pregressi e sospetti su specifiche persone. Solo in questo caso sarebbe stato possibile, per un breve periodo di tempo tenere sotto controllo i movimenti dei dipendenti.
Colgo l’occasione per sottolineare ai lettori come questo atteggiamento dell’autorità Garante della Bassa Sassonia sia indubbiamente molto molto meno restrittivo, rispetto a quanto consentito in Italia.
Il titolare ha preso buona nota della sanzione, ma ha ritenuto che la metodologia secondo la quale essa è stata calcolata sia troppo penalizzante.
Al proposito, ricordo ai lettori che la Germania, così come l’Olanda, ha messo a punto un applicativo che permette di determinare in modo oggettivo una sanzione, valutando ognuno degli 11 criteri, con sotto criteri, in base alla quale deve essere calcolata la sanzione, secondo il regolamento europeo.
Tanto per dare un’idea realistica della situazione, esaminando il rapporto fra il fatturato dell’azienda in questione, pari a 750 milioni di euro nel 2019, e la sanzione applicata, si può anche capire che il titolare in questione abbia deciso di appellarsi al tribunale, per un esame approfondito delle modalità di applicazione della sanzione.
Al proposito, può anche essere interessante per i lettori sapere che l’algoritmo, utilizzato dalle autorità Garanti tedesche per applicare sanzioni, è stato già messo sotto attenta osservazione da parte del tribunale regionale di Bonn. Questo tribunale, chiamato in causa qualche tempo fa, ha ridotto addirittura del 90% la sanzione applicata dal Garante coinvolto.
In effetti, l’algoritmo utilizzato in Germania tiene in gran conto il fatturato annuo del titolare coinvolto, forse ancor più che la gravità della violazione. Ciò può far sì che un titolare, con un significativo fatturato annuo, possa essere sanzionato pesantemente, anche se la violazione non è particolarmente grave.
Tutti gli esperti di protezione dati in Germania stanno aspettando i pronunciamenti giurisprudenziali, che evidentemente sono dominanti, rispetto ai pronunciamenti amministrativi dell’autorità Garanti.
Fonti: Puntosicuro.it