L’Autorità Garante ungherese ha ritenuto un salone di bellezza responsabile di gravi violazioni del GDPR, tra cui telecamere che monitorano dipendenti e clienti, la cattiva gestione di dati sensibili e l’uso di dati per scopi di marketing senza il giusto consenso (fonte GDPR HUB).
Indice
Il Caso
Il titolare del trattamento del provvedimento è un salone di bellezza dove venivano eseguiti trattamenti viso e corpo e procedure medico estetiche e venduti prodotti cosmetici. Il Titolare aveva installato un sistema di videosorveglianza che riprendeva: il locale in cui il personale mangia, le sale di formazione e le stanze per i trattamenti dei clienti, ripresi quindi anche privi di vestiti. La finalità di questo trattamento dati non è stata chiarita, ma solo poche persone specifiche avevano accesso alle registrazioni. Tra le poche persone, però, si è accertato che c’era anche il Responsabile delle vendite e che le immagini venivano utilizzate anche per verificare il comportamento del personale con i clienti.
Ai clienti veniva richiesto di compilare e firmare un “modulo” che menzionava il posizionamento di telecamere allo scopo di proteggere i clienti e il personale. Tuttavia non menzionava la registrazione dell’audio e non c’era alcuna indicazione delle telecamere nell’informativa privacy in vigore.
Per il titolare, la sottoscrizione del “modulo” costituiva un consenso al trattamento dei propri dati per finalità di marketing.
Le disposizioni violate
L’Autorità Ungherese ha valutato la violazione dei seguenti articoli del GDPR rispetto alla videosorveglianza e trattamento dati per finalità di marketing.
- ART. 5 par.1 lett. b) e c) GDPR: il titolare non ha individuato chiaramente la finalità e non ne ha ridotto al minimo l’elaborazione.
- ART. 5, 25, 25, 32: IL titolare non ha garantito la riservatezza del trattamento e non ha adottato le misure di sicurezza idonee a proteggere i dati. Inoltre, il titolare non ha fornito le impostazioni predefinite per il funzionamento del sistema di telecamere che riducono al minimo il trattamento dei dati.
- ART. 5 e 13: non sono state fornite le informazioni sulla posizione delle telecamere, sull’area e sull’oggetto monitorato, non è stata prevista la durata della conservazione delle registrazione e anche il “modulo” utilizzato conteneva informazioni poco chiare e fuorvianti.
- ART. 6 GDPR: nella modellista utilizzata per i cliente non era prevista alcuna casella per il controllo o l’acquisizione del consento per il trattamento dei dati per finalità di marketing. Pertanto, non solo i clienti non hanno acconsentito al trattamento per tale finalità, ma il titolare del trattamento non ha dimostrato un legittimo interesse. Il trattamento dati per tale finalità, quindi è avvenuta senza una base legale valida.
Sanzione
Tenendo conto del fatto che il titolare del trattamento non aveva precedentemente commesso violazioni del GDPR e che aveva implementato misure di conformità, la sanzione è stata quantificata in 30.000.000 (circa € 80.000).