Il tribunale estone conferma la facoltà dell'autorità di protezione dei dati di imporre valutazioni scritte
In una sentenza significativa, il tribunale distrettuale di Tallinn ha confermato un ordine dell'Autorità per la protezione dei dati estone (Andmekaitse Inspektsioon) che impone a un proprietario di immobili di presentare una valutazione scritta dell'interesse legittimo per la sorveglianza CCTV.
Il caso è nato dopo una lamentela di un vicino riguardo a telecamere CCTV che catturavano sia proprietà private che aree pubbliche. La sentenza ha sottolineato che l'installazione di telecamere da parte del responsabile del trattamento, che monitora parzialmente le proprietà vicine e le strade pubbliche, richiede il rispetto di tutti gli obblighi del GDPR, compresi i giudizi di interesse legittimo quando si tratta di dati personali.
La parte più significativa della sentenza riguarda se le autorità per la protezione dei dati possono ordinare la documentazione scritta delle valutazioni di interesse legittimo. La sentenza stabilisce che, sebbene il Regolamento generale sulla protezione dei dati (GDPR) non contenga un obbligo generale di preparare analisi scritte di interesse legittimo, le autorità di vigilanza possono ordinare tale documentazione durante i procedimenti di enforcement.
La disputa si è concentrata sul determinare se gli individui potevano essere identificati dalle riprese delle telecamere. Il tribunale ha respinto l'opinione dell'esperto del responsabile del trattamento e ha utilizzato la norma estone EVS-EN 62676-4:2015 per i sistemi di sorveglianza video per prendere la sua decisione. Il tribunale ha stabilito che gli individui rimanevano identificabili a distanze che coprivano sia la proprietà vicina che le aree pubbliche.
Le autorità di vigilanza hanno una vasta discrezionalità nella scelta delle misure di conformità durante i procedimenti di enforcement. Gli ordini di enforcement non devono identificare specifiche disposizioni legali che impongono la documentazione scritta; le autorità possono richiedere tali misure come mezzi appropriati per raggiungere la conformità al GDPR in determinate circostanze.
La sentenza ha inoltre evidenziato che i sistemi in grado di identificare gli individui richiedono basi legali appropriate e documentazione di conformità, anche quando utilizzati per analisi aggregate. Le società non possono fare affidamento esclusivamente sulle affermazioni dei fornitori o sulle valutazioni interne per dimostrare la conformità al GDPR alle autorità di vigilanza.
Le società di marketing che utilizzano tecnologie di sorveglianza o analitiche devono allineare le implementazioni tecniche con le giustificazioni legali. La decisione del tribunale distrettuale di Tallinn fornisce un importante sostegno giudiziario all'approccio delle autorità di vigilanza nell'applicazione dell'articolo 58(2)(d) GDPR.
L'Ispettorato estone per la protezione dei dati ha emesso un ordine di enforcement il 2 febbraio 2023, che impone al responsabile del trattamento di interrompere tutte le riprese al di fuori dei confini della loro proprietà o di presentare una valutazione scritta dell'interesse legittimo per la continuazione della sorveglianza delle aree pubbliche.
Leggi anche:
- Potenziali ritardi inutili nella cura degli ictus
- Ricerca COVID per esplorare l'impatto intensificato dell'epidemia di oppiacei
- Espansione di Anderson Diagnostics a Bangalore, introduzione di servizi genetici e diagnostici sofisticati
- Un'operazione difficile all'anca su un anziano di 101 anni, eseguita con successo dagli ospedali Be Well
