L’autorità privacy norvegese ha comminato una sanzione ad una amministrazione per aver illecitamente monitorato l’operato della società appaltatrice tramite il sistema CCTV stradale.La Datatilsynet, l’autorità norvegese per la protezione dei dati personali, ha inflitto una sanzione pecuniaria alla Norwegian Public Roads Administration (la “NPRA”) di ammontare pari a NOK 400.000,00 (circa € 37.290), per aver trattato i dati raccolti mediante il sistema di CCTV stradale per finalità incompatibili con quelle originariamente disposte e per non aver cancellato le immagini e le registrazioni delle telecamere in conformità con il principio di limitazione della conservazione, violando quindi le previsioni del Regolamento UE 2016/679 (GDPR) e del Personal Data Act, i.e. la normativa locale sulla protezione dei dati personali modificata nel 2018 a seguito dell’entrata in vigore del GDPR.
La sanzione costituisce l’epilogo di una vicenda iniziata nel 2018, quando la NPRA risolveva per inadempimento un contratto con una società appaltatrice, avente ad oggetto lo svolgimento di attività di gestione e manutenzione delle strade di un distretto della Norvegia. A riprova di tale inadempimento, la NPRA aveva fornito all’autorità privacy norvegese delle immagini registrate mediante il sistema di CCTV stradale, risalenti a diversi mesi prima rispetto alla loro esibizione.
A seguito delle indagini, l’autorità privacy norvegese ha ritenuto che la condotta così posta in essere dall’amministrazione fosse in contrasto con la normativa sul trattamento dei dati personali sotto diversi profili.
In primo luogo, il sistema di CCTV era stato installato per garantire la sicurezza stradale e il flusso ottimale del traffico, mentre le registrazioni erano state utilizzate dalla NPRA per verificare l’esatto adempimento delle obbligazioni contrattuali della controparte, monitorando l’operato degli appaltatori, dei subappaltatori e dei rispettivi dipendenti. A tal proposito, l’amministrazione norvegese aveva sostenuto che l’ulteriore trattamento dei dati fosse “prevedibile” e quindi legittimo. Tuttavia, ai sensi di quanto disposto dal Gruppo di lavoro Articolo 29 (WP29) nel Parere 03/2013 sul principio di limitazione delle finalità (WP203) – confermato nel Considerando 50 del GDPR –, “un ulteriore trattamento non può essere considerato prevedibile se non è sufficientemente correlato alla finalità originaria e non soddisfa le ragionevoli aspettative degli interessati al momento della raccolta, sulla base del contesto della raccolta” e che, “[i]n altre parole, si tratta di stabilire per cosa una persona ragionevole nella situazione dell’interessato si aspetterebbe che i suoi dati vengano utilizzati in base al contesto della raccolta”. Nel caso di specie, l’ulteriore uso delle immagini e delle registrazioni non poteva in effetti ritenersi compatibile con la finalità di garanzia della sicurezza stradale, ed era al contrario da ritenersi “significativamente aldilà” rispetto alla ragionevole aspettativa degli interessati al trattamento.
In secondo luogo, la condotta dell’amministrazione risultava altresì in contrasto con il Personal Data Act nella parte in cui prevede che, salvo il caso di indagini su atti criminosi o incidenti, le registrazioni debbano essere cancellate entro 7 giorni dalla data in cui sono state effettuate. Infatti, non rinvenendosi nel contesto di riferimento margine di applicazione per tale eccezione, la Datatilsynet ha ravvisato nella conservazione delle immagini e delle registrazioni oltre il termine di 7 giorni una violazione dell’obbligo di cancellazione previsto dalla normativa applicabile.
Alla luce di tutto quanto precede, l’amministrazione norvegese è stata pertanto condannata a versare una somma pari a NOK 400.000,00 a titolo di sanzione pecuniaria. E peraltro necessario evidenziare come l’importo di tale sanzione sia stato commisurato in base ai parametri pre-GDPR, sensibilmente meno onerosi rispetto a quelli introdotti con la nuova normativa in materia di protezione dei dati personali.
Questa decisione mostra ancora una volta come la violazione del termine di conservazione dei dati personali sia uno degli aspetti sui quali i garanti privacy locali sono maggiormente inclini ad emettere delle sanzioni. Sull’argomento è possibile leggere l’articolo “Il Garante privacy danese sanziona una catena alberghiera per conservazione dei dati dei propri clienti oltre il termine”.
Autore: DLA Piper
