Sanzionata società finlandese di servizio taxi per violazioni privacy nella videosorveglianza sui propri veicoli

Il sistema di videosorveglianza adottato per monitorare i veicoli da una società di taxi è stato considerato dal garante privacy finlandese in violazione della normativa sul trattamento dei dati personali.

Il 26 maggio 2020 l’autorità per la protezione dei dati finlandese (“OPD”) ha imposto una sanzione amministrativa ad una nota compagnia di servizio taxi finlandese per aver implementato sui propri veicoli dei sistemi di videosorveglianza in violazione delle previsioni sulla privacy di cui al Regolamento UE 2016/679 (“GDPR”).

La sanzione in oggetto si pone a valle di un’indagine avviata nel novembre 2019 da parte del garante privacy finlandese, a seguito della quale l’OPD aveva riscontrato delle carenze nel trattamento dei dati personali da parte della società di taxi in merito all’identificazione dei rischi, ai principi di protezione dei dati personali e all’attuazione dei diritti degli interessati. In particolare, tra le altre, l’autorità ha rilevato che la società aveva di recente implementato nei propri veicoli un nuovo sistema di videosorveglianza video e audio. Tale trattamento non era stato preceduto né dall’effettuazione di un data protection impact assessment (“DPIA”), né da un balancing test relativo alla possibilità di fare affidamento sul legittimo interesse alla base della prevalenza degli interessi della società ad effettuare il trattamento rispetto a quelli contrapposti degli interessati coinvolti (i.e., gli autisti e i clienti). La mancanza di tali attività prodromiche al trattamento aveva comportato l’assenza di un’adeguata ponderazione relativa alle modalità con cui era stato configurato il sistema di videosorveglianza e, difatti, l’autorità aveva riscontrato che i dati audio non fossero effettivamente necessari ai fini del perseguimento delle finalità della società; tanto più che la funzione di registrazione audio risultava attiva soltanto in alcuni dei veicoli, confermando che il trattamento condotto dalla società non fosse in linea con il principio di minimizzazione.

A tal riguardo, è altresì emerso che la società non aveva provveduto ad informare adeguatamente gli interessati rispetto ai trattamenti eseguiti. Infatti, le notifiche “brevi” presenti all’interno dei veicoli non fornivano alcuna informazione in merito alle registrazioni audio, né d’altronde veniva espressamente indicato agli interessati dove poter reperire maggiori informazioni in merito al trattamento, in violazione delle previsioni GDPR ai sensi delle quali il titolare è tenuto a fornire, in modo facilmente accessibile, informazioni chiare, complete ed esaustive circa il trattamento dei dati personali effettuato.

Pertanto, alla luce di tutto quanto precede, l’autorità ha comminato alla società una sanzione amministrativa di € 72.000, importo ritenuto proporzionato, efficace e cautelativo in relazione alla totalità delle violazioni riscontrate.