Videosorveglianza: forse l'impianto è tuo, ma le immagini no!

Dopo il grande successo delle scarpe multicolor, fortunatamente prodotte in edizione molto limitata, nacque il sospetto che alla Lidl fossero tutti daltonici. Oggi questa teoria non basta più a spiegare gli evidenti problemi dell'azienda con le immagini.
Un cliente, probabilmente esacerbato dai contrasti cromatici, ha dato in escandescenze in un negozio Lidl appena inaugurato. I dettagli sono, probabilmente, molto interessanti e sfiziosi, ma non emergono dagli atti, quindi posso solo immaginare la scena a modo mio: un avventore afferra una treccia d'aglio e inizia a proferire parole incomprensibili, in una fosca lingua antica e dimenticata, con gli occhi ribaltati all'indietro, fluttuando a 20 cm da terra, i commessi terrorizzati provano ad immobilizzarlo saltandogli addosso come in una mischia da superbowl, il fruttivendolo cerca di ammanettarlo con il rotolo dei sacchetti, il cassiere chiama la forza pubblica con voce suadente ed impostata tramite l'altoparlante, il responsabile di negozio che accorre gaio e, passando, riordina sboffonchiando gli scaffali scompigliati dal parapiglia, i clienti divertiti dalla scena che pensano ad nuova trovata promozionale e attendono di poter riempire il carrello con il misterioso prodotto variopinto in offerta speciale... chissà, magari è andata proprio così, non lo sapremo mai, i verbali parlano di "molestie ed aggressioni reiterate, commesse da più dipendenti Lidl in associazione tra loro e continuate per circa un’ora". Quello che sappiamo per certo è che, dopo poche ore dalla surreale baraonda, il cliente esagitato ha chiesto a lidl di poter avere copia delle immagini dell'impianto di videosorveglianza e di conservarle oltre il tempo di cancellazione automatico previsto che, solitamente, non va oltre un paio di giorni.
Ma Lidl non lo ha fatto, ha lasciato che il tempo passasse, negando al cliente le immagini, lasciando che venissero automaticamente cancellate e, di fatto, negando l'esercizio dei diritti previsti dal GDPR.
Eh, ma, abbiamo una procedura
Eh, ma, la domanda doveva essere compilata su apposito modulo disponibile al banco, inviata poi via email all'assistenza clienti
Eh, ma, il modulo ci serve per essere sicuri che la richiesta sia legittima e precisa
Eh, ma, la domanda non poteva avere forma libera e non doveva essere inviata via PEC
Eh, ma, le immagini devono essere estratte e dovremmo cancellare la faccia delle altre persone
Eh, ... ciao !
Per il Garante Privacy, quel cliente aveva fatto bene la sua parte, inviando alcune pec circostanziate, descrivendo "il punto vendita, il giorno e l’intervallo temporale nel quale avevano avuto luogo i fatti oggetto di ripresa, descrivendone le peculiari dinamiche del diverbio, che avevano visto il coinvolgimento di diversi addetti del supermercato, incluso il direttore, e per un apprezzabile intervallo temporale (indicato in via approssimativa in un’ora circa nei vari reparti dell’esercizio commerciale), sino all’intervento delle Forze dell’ordine. "
Al contrario, Lidl è stata meno ligia ai propri doveri, lasciando che le immagini venissero cancellate, subordinando la richiesta alla compilazione di un modulo specifico nonostante tutte le informazioni necessarie fossero già state trasmesse all'azienda.
Peraltro, Lidl stessa ha scritto nell'informativa che "eventuali richieste di scarico immagini di videosorveglianza devono essere trasmesse con la massima tempestività all’Assistenza Clienti di Lidl Italia all’indirizzo PEC dedicato all’assistenza clienti"
Ma allora deciditi! Se dici alla gente che basta una pec, non puoi inventarti un modulo del cxxxo!
Nel provvedimento relativo alla sanzione, il Garante scrive una cosa molto importante, ma lo fa come lo farebbe Bartolo, il leguleio bolognese del milletrecento, quindi tocca tradurla e spiegarla:
Lidl ha cancellato le immagini che appartengono al cliente, sulle quali solo il cliente ha diritto di parola. Lidl le deve custodire e gestire secondo il volere del cliente, non a cxxxo di cane. Se quelle immagini, necessarie per difendersi in tribunale, vengono cancellate, il danno causato è grave ed irreparabile.
Lidl, come ogni altra azienda che tratta dati, è tenuta a rispettare il suo obbligo di correttezza: tratta i dati per conto delle persone alle quali i dati si riferiscono, non sono per niente dati suoi o dei quali possa fare ciò che vuole. Essere corretti significa agevolare, non ostacolare, aiutare la persona ed esaudire le sue legittime richieste relative a quei maledetti dati.
Altro che "il nuovo petrolio". Avere dai in casa è una grossa responsabilità e bisognerebbe fare di tutto per evitarlo!
In questa vicenda, quindi, Lidl ha violato il GDPR negando l'accesso ai dati e permesso la loro cancellazione, si, ma la conseguenza è ben maggiore: una ulteriore grave e permanente lesione dei diritti di quella persona, negandole la possibilità di esercitare qualsiasi altro diritto su dati che non esistono più.
Lidl avrebbe dovuto proteggere quei dati, nell'interesse delle persone riprese dalle telecamere.
Infine, tanto per arrotondare, il fumantino cliente aveva chiesto che gli venisse data risposta via PEC, ma Lidl ha deciso di rispondergli con una pulciosa raccomandata, come fanno quelli che ti vogliono dare fastidio, che vogliono far passare i giorni contando sull'inefficienza delle poste, che ti vogliono far perdere tempo e che godono nel farti passare un ora in coda alla posta. Beh, ragazzi dal visus compromesso, c'è un limite alla stupidità...
Lidl ha fatto tutto da sola, non ha chiesto nulla al DPO e, a mio giudizio, questo ha portato al disastro al quale ora assistiamo.
Lidl ha fatto ciò che ogni altro titolare del trattamento fa: si è organizzata e strutturata con procedure, modelli, schemi operativi per poter gestire la mole di dati che l'azienda tratta e ciò che ne consegue. Purtroppo c'è un elemento prevalente che ridimensiona l'importanza della carta e degli schemi rigidi, approvati e certificati: il risultato effettivo e concreto.
Ciò che si fa, per quanto corretto e benfatto, non può portare ad un risultato deludente per l'unica persona che non doveva restare delusa, l'interessato. Se questo accade, significa che è il lavoro è sbagliato e, anche se apparentemente conforme al GDPR, costituisce una concreta violazione dei più importanti principi della norma.
Per questo, Lidl dovrà pagare €43.000 di sanzione.
Proprio di recente ho avuto modo di scontrarmi con la mastodontica procedura di accessi ai dati di Trenitalia e l'ho percepita come una vera e propria barriera all'esercizio dei diritti degli interessati. Chissà se il Garante Privacy avrà voglia di guardarci dentro, anche alla luce dei recenti data breach e dei milioni di persone coinvolte. Chissà a quanto ammonterebbe la sanzione in questo caso.
Come DPO ricevo richieste di accesso alle immagini della videosorveglianza dei clienti ogni giorno e ciascuna deve essere valutata singolarmente. I clienti si scocciano perchè vorrebbero automatizzare il processo di valutazione e renderlo meno costoso, ma pensare di gestire in modo meccanizzato, schematico e veloce richieste umane, porta al disastro, esattamente come è capitato a Lidl.
Per gli amanti della materia, segnalo questo passaggio di grande interesse:
"Meritano di essere richiamate le menzionate “Linee guida 1/2022 sul diritto di accesso”, secondo le quali “in alcuni casi potrebbe […] non essere possibile dar seguito a una richiesta prima della data in cui è prevista la cancellazione dei dati. Ad esempio se, mentre dà seguito a una richiesta nel tempo più breve possibile, il titolare del trattamento estrae dati personali la cui cancellazione era prevista per il giorno seguente, egli potrebbe aver bisogno di altro tempo per decidere se sia opportuno effettuare espunzioni per proteggere le libertà altrui prima di consegnare una copia dei dati personali al richiedente. Se i dati sono stati estratti entro il periodo di conservazione previsto, il titolare del trattamento può continuare a trattare tali dati al fine di adempiere il proprio obbligo di dar seguito alla richiesta. Il trattamento in questi casi può basarsi sull'articolo 6, paragrafo 1, lettera c), in combinato disposto con l'articolo 15 GDPR, e la sua durata deve rispettare i requisiti di cui all'articolo 12, paragrafo 3, GDPR” (cfr. punto 38 delle citate Linee guida). "

Su questo blog ci sono altri 202 articoli.
Esplora, cerca, curiosa in giro...
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.
Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.
Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è sì... allora una birra virtuale è d'obbligo!
Clicca qui per inviare una donazione
...un caffè, una birra, una pizza, una cena elegante...
