Fototrappole e regole privacy: i Comuni rischiano pesanti sanzioni
Fototrappole e regole privacy: i Comuni rischiano pesanti sanzioni
Sanzioni pecuniarie di euro 350.000 complessivi a un Comune e a una sua società partecipata che si occupa della gestione del ciclo dei rifiuti.
Sono state pubblicate due recenti ordinanze del Garante per la protezione di dati personali, la n.162 e la n. 163 del 28 aprile 2022 con le quali sono state comminate sanzioni pecuniarie davvero molto elevate, per un importo complessivo di ben euro 350.000, a un Comune e a una sua società partecipata che si occupa della gestione del ciclo dei rifiuti.
La violazione ravvisata consiste nell’avere posizionato e utilizzato per anni fototrappole ai danni di trasgressori alle norme comunali riguardanti lo smaltimento dei rifiuti e di aver diffuso le immagini sui social senza un’adeguata ottemperanza alle norme del Gdpr (Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, in breve “il Regolamento”) .
La sanzione, peraltro impugnabile davanti all’autorità giudiziaria, è stata comminata al Comune di Taranto e a una sua società in house, Amiu s.p.a., i quali avevano installato alcune videocamere per sanzionare comportamenti illegali (evidentemente diffusi in loco) di cittadini per quanto attiene lo smaltimento dei rifiuti, pensando bene di metterli per così dire “alla gogna” mediante la diffusione delle immagini dei trasgressori sul profilo Facebook della società.
La cosa è stata segnalata al Garante, il quale ha aperto un’istruttoria.
Al Comune e alla società sono state contestate alcune violazioni alla normativa sulla privacy, sulle quali vale la pena soffermarsi.
Al Comune in particolare il Garante ha contestato di aver posto in essere, per il tramite della società, un trattamento dei dati personali dei cittadini attraverso un sistema di videosorveglianza in assenza di idonea informativa, che deve essere conferita nel momento in cui i dati personali sono ottenuti, con conseguente violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5 par. 1, lett. A) del Regolamento e degli articoli 12, 13 e 14 del Regolamento, in mancanza di idonea disciplina del rapporto con la società quale “responsabile del trattamento” prima dell’inizio del trattamento stesso, in violazione dell’articolo 28 del Regolamento, nonché in assenza della valutazione di impatto, in violazione dell’art. 35 del Regolamento.
Ci soffermiamo in particolare su quanto osserva il Garante della Privacy circa la necessità di nominare il responsabile del trattamento.
Afferma il Garante che “ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi.
In particolare, il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una responsabilità generale sui trattamenti posti in essere anche quando questi siano effettuati da altri soggetti per suo conto.
Il rapporto tra titolare e responsabile deve essere regolato (ed è qui che la condotta del Comune sanzionato risulta aver fatto difetto, ndr) da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.
Il responsabile del trattamento è pertanto legittimato a trattare i dati degli interessati soltanto su istruzione documentata del titolare.”.
Alla società in house viene invece contestato di avere ecceduto dalle finalità limitate per le quali il trattamento dei dati era stato consentito e di aver proceduto a diffondere dati su Facebook in assenza di adeguata copertura normativa, al di là di quelle che possono essere state le “buone intenzioni” di moral suasion che l’hanno animata.
“Giova rammentare” – afferma il Garante – “che considerata la capacità diffusiva – e dunque potenzialmente altamente lesiva per gli interessati – dei c.d. social network, in generale è opportuno adottare un atteggiamento prudenziale nell’ utilizzare gli stessi, attraverso la pubblicazione di immagini o video di cittadini chiaramente identificati o identificabili, per fini dimostrativi ed educativi, rivolti alla collettività, ricorrendo, se del caso, esclusivamente agli strumenti di comunicazione istituzionali a ciò preposti.”.
La medesima società in house, inoltre, non aveva provveduto a nominare formalmente un responsabile della protezione dei dati, come richiesto dal Gdpr.
Il Comune è stato alla fine condannato a pagare 150.000 euro, la società in house ben 200.000 euro.
La pronuncia del Garante è, come detto, passibile di revisione da parte del Giudice ma frattanto è utile a mettere sull’avviso i soggetti pubblici rispetto a condotte disinvolte nell’utilizzo di impianti di videosorveglianza, oggi sempre più diffusi.