Il Garante per la protezione dei dati personali ha chiarito che viola la privacy l’installazione di telecamere da parte del Comune per accertare violazioni della normativa sull’abbandono dei rifiuti senza regolare i rapporti con la società che visiona i filmati.
Volume consigliato: Formulario commentato della privacy
Indice
1. I fatti
Un cittadino di un comune siciliano aveva segnalato al Garante per la protezione dei dati personali che il Comune aveva installato un sistema di videosorveglianza nei pressi dei cassonetti adibiti alla raccolta dei rifiuti e che tale installazione era avvenuta in violazione della normativa in materia di privacy.
All’esito di una prima verifica, il Garante aveva accertato che il Comune aveva incaricato una società esterna di fornire, gestire e manutenere le telecamere in questione e pertanto aveva chiesto al Comune informazioni in merito.
Il comune aveva dichiarato che l’installazione delle telecamere era finalizzata a contrastare l’abbandono dei rifiuti e il non corretto conferimento dei medesimi. Pertanto, l’Ente pubblico locale aveva affidato incarico alla società esterna di acquistare e installare le telecamere nonché di prelevare ed analizzare i filmati relativi alle violazioni delle normative ambientali (sia di carattere amministrativo, che di carattere penale), nominando appositamente la società in questione quale ausiliaria di polizia giudiziaria.
Il Garante aveva quindi richiesto informazioni anche alla società in questione, la quale aveva dichiarato che, per il primo periodo successivo all’installazione delle telecamere, la società aveva ricevuto soltanto l’incarico di spostare le telecamere nei posti indicati dal Comune nonché di prelevare e sostituire le memorie contenute all’interno delle telecamere dove venivano registrate le immagini. Mentre, in un secondo momento, la società aveva ricevuto la nomina a ausiliaria di polizia giudiziaria da parte del Comune ed aveva iniziato a visionare ed estrapolare le immagini contenute nelle memorie inserite all’interno delle videocamere.
Da quanto emerso dalle dichiarazioni dei soggetti coinvolti, dunque, il Garante ha ritenuto che la società che aveva preso in carico la gestione delle videocamere, aveva effettuato il trattamento dei dati personali raccolti dalle stesse senza che il Comune (titolare del trattamento) e la società medesima (responsabile del trattamento) avessero definito il ruolo della seconda quale responsabile del trattamento dei dati personali.
In considerazione di tale mancata definizione del ruolo della società e non essendo altri presupposti giuridici che potessero giustificare il trattamento dei dati personali in questione da parte della società, il Garante ha notificato alla società medesima la comunicazione di avvio del procedimento nei suoi confronti per possibile violazione della normativa in materia di protezione dei dati personali.
Potrebbero interessarti:
Ripresa su un volo pubblicata sui social: violazione della privacy
Garante privacy, oscurare i dati non basta. Principi per l’anonimizzazione
2. Telecamere e privacy: la valutazione del Garante
Preliminarmente, il Garante ha evidenziato come sia ammesso il trattamento di dati personali da parte di soggetti pubblici per poter adempiere ad un obbligo legale cui detto Ente è tenuto oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui l’Ente è investito (all’interno dei quali poteri rientra certamente la gestione dei rifiuti urbani). Tuttavia, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati personali, fra cui l’obbligo di regolamentare i rapporti con l’eventuale responsabile del trattamento.
In particolare, il Regolamento europeo per la protezione dei dati personali (GDPR), stabilisce che il titolare può affidare un trattamento anche a terzi soggetti, che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali. Ma, in questo caso, il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.
Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati soltanto su istruzione documentata del titolare.
Nel caso di specie, la società aveva ricevuto dal Comune l’incarico di svolgere un trattamento di dati personali (appunto l’esame dei filmati) senza però aver concordato, per iscritto, dette parti il ruolo della società quale responsabile e senza aver regolamentato detto rapporto e le istruzioni al responsabile sulle modalità del trattamento. Infatti, secondo il Garante, l’atto di nomina della società quale ausiliario di polizia giudiziaria non può ritenersi sufficiente a integrare l’accordo previsto dal GDPR volto a regolamentare il rapporto tra il titolare e il responsabile del trattamento in quanto non contiene i profili relativi al trattamento dei dati.
3. La decisione del Garante
In base alle suddette valutazioni, il Garante per la protezione dei dati personali ha quindi ritenuto il trattamento dati è stato effettuato dalla società in violazione della normativa, in quanto svolto in assenza delle condizioni di liceità per non aver il Comune individuato la società quale responsabile del trattamento.
Per quanto riguarda l’applicazione del GDPR al caso di specie, il Garante ha ritenuto che – seppure il trattamento dati è iniziato prima della entrata in vigore del Regolamento e in base al principio di legalità le leggi che prevedono sanzioni amministrative si applicano soltanto alle violazioni commesse quando sono vigenti dette disposizioni – l’illecito in questione (cioè la mancata nomina e regolamentazione del ruolo di responsabile del trattamento) ha carattere permanente. Pertanto, il momento in cui si verifica la violazione coincide con la cessazione della condotta illecita. nel caso di specie, la condotta illecita è cessata durante la vigenza del GDPR. Conseguentemente, detta normativa è pienamente applicabile al caso di specie.
In conclusione, il Garante, valutando tutte le circostanze aggravanti (fra cui il fatto che i soggetti coinvolti sono stati potenzialmente tutti gli abitanti del Comune e anche soggetti non residenti) e quelle attenuanti (fra cui il comportamento non doloso della società e l’assenza di precedenti a suo carico) che ricorrevano nel caso di specie, ha sanzionato la società (responsabile del trattamento), per le violazioni sopra accertate, comminando nei suoi confronti una sanzione pecuniaria amministrativa di €. 10.000 (diecimila).
Volume consigliato
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento