Il tribunale estone conferma l'autorità della data commission di rilasciare analisi scritte su questioni di gestione dei dati
Il Tribunale del circuito di Tallinn ha confermato un ordine dell'autorità per la protezione dei dati che obbliga un proprietario immobiliare a presentare una valutazione scritta dell'interesse legittimo per la sorveglianza CCTV. La sentenza, emessa il 19 giugno 2025, segue un caso iniziato con una lamentela del vicino il 16 dicembre 2022 e un'azione di enforcement il 2 febbraio 2023.
Il caso ha avuto origine in Estonia, riguardando la sorveglianza di proprietà private e strade pubbliche a Pärnu. Le società di marketing che dispiegano tecnologie di sorveglianza o analitiche devono allineare le implementazioni tecniche con le giustificazioni legali, poiché i sistemi in grado di identificare individui richiedono basi legali appropriate e documentazione di conformità.
La sentenza stabilisce che, sebbene il GDPR non contenga un obbligo generale di preparare analisi scritte di interesse legittimo, le autorità di sorveglianza possono ordinare tale documentazione durante i procedimenti di enforcement. Le organizzazioni dovrebbero preparare una documentazione completa che supporti le loro attività di elaborazione dei dati prima del contatto regolamentare.
Il tribunale ha caratterizzato la richiesta di valutazioni scritte di interesse legittimo come "appropriata" e "non sproporzionata" per garantire il rispetto del GDPR. Il tribunale ha notato che il precedente Ryněs rimane applicabile nonostante preceda il GDPR, e l'esenzione per la casa non si applica quando i sistemi di sorveglianza monitorano spazi pubblici o aree al di fuori dei confini della proprietà del controller.
Il Tribunale del circuito di Tallinn ha validato i poteri di enforcement delle autorità per la protezione dei dati ai sensi dell'articolo 58(2)(d) GDPR. Le società non possono fare affidamento esclusivamente sulle affermazioni dei fornitori o sulle valutazioni interne quando dimostrano il rispetto del GDPR alle autorità di sorveglianza. Invece, devono fornire prove robuste, come specifiche tecniche e analisi di esperti.
In questo caso, il tribunale ha determinato che gli individui rimanevano identificabili a distanze che coprivano sia la proprietà vicina che le aree della strada pubblica. Il tribunale si è basato sulla norma estone EVS-EN 62676-4:2015 per i sistemi di sorveglianza video, che stabilisce le specifiche tecniche per i requisiti di risoluzione dei pixel per diversi livelli di identificazione.
L'esperto dei sistemi di sorveglianza video che ha argomentato per il proprietario nella disputa e ha prodotto il rapporto di esperto sull'identificabilità delle persone registrate dalle telecamere non è esplicitamente nominato nei risultati della ricerca disponibili.
La sentenza ha stabilito che il principio di responsabilità del GDPR richiede ai controller di dimostrare il rispetto dei principi sulla protezione dei dati, non solo di affermarlo internamente. Le autorità di sorveglianza hanno una vasta discrezionalità nella scelta delle misure di conformità durante i procedimenti di enforcement.
Il tribunale ha concluso che le autorità di sorveglianza hanno il potere di ordinare ai controller di dimostrare la conformità attraverso la documentazione scritta quando affer
Leggi anche:
- Comprendere la multi-farmacia.
- La vaccinazione contro il virus respiratorio sincitiale (RSV) offre anche benefici per la salute del cuore.
- Progettazione di un paesaggio alimentare biologico attraverso principi di permacoltura
- Tracciamento delle infezioni da COVID-19 nei campus universitari attraverso la visualizzazione dei dati
