|
ASCOLTA ARTICOLO
|
Articolo pubblicato su diritto.it.
Il Garante privacy ha inteso sanzionare per un importo complessivo pari ad € 350.000,00 con distinti provvedimenti del 28 aprile 2002 il Comune di Taranto e Amiu S.p.a. per la mancata o carente informativa resa agli interessati e la tardiva nomina di quest’ultima quale Responsabile del trattamento, ma anche per la divulgazione delle immagini in violazione del principio della limitazione della finalità, seppur effettuata per asseriti scopi cd. di moral suasion.
L’attività ispettiva.
Amiu S.p.a., società partecipata del Comune di Taranto, gestore del servizio di raccolta dei rifiuti urbani per l’Ente comunale, ha installato alcune videocamere allo scopo di individuare e sanzionare comportamenti illegali. L’ampiezza del territorio, infatti, rapportato con le dotazioni organiche ha indotto il Sindaco, con apposita ordinanza, a conferire al personale della partecipata le funzioni di accertamento e contestazione immediata degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali sullo smaltimento dei rifiuti.
Dato il dilagante fenomeno dell’abbandono dei rifiuti, al fine di contenere questi atti di inciviltà, l’Amministrazione del Comune di Taranto e AMIU Taranto S.p.A., hanno condiviso la volontà di installare nei siti più sensibili, dove gli abbandoni si ripetono, dei sistemi di videosorveglianza/fototrappole attraverso apposito Decreto sindacale.
Sono stati acquisiti il modello di verbale di accertamento di illecito amministrativo redatto su carta cointestata della società e del corpo di polizia locale del Comune, nel quale esplicitamente si fa riferimento alla circostanza che “l’accertamento è stato rilevato mediante immagini registrate da apposita telecamera di videosorveglianza mobile […]” un esempio di cartello informativo che rileverebbe la presenza di una telecamera; nonché alcune immagini pubblicate sul profilo Facebook della società.
Per quanto concerne questo ultimo profilo, è parimenti emerso che, aI fine di scoraggiare tali comportamenti, il fornitore aveva proceduto alla pubblicazione di alcune immagini sui social, senza tuttavia essersi premurato di occultare gli elementi che potevano permettere la individuazione delle persone fisiche coinvolte in modo diretto o indiretto. Viene contestato dal Garante privacy (e confermato dai diretti interessati) che nei casi esaminati l’Azienda ha adottato misure insufficienti allo scopo.
Contestazioni avanzate nei confronti del Comune di Taranto
In primo luogo è stato contestato all’Ente comunale che il cartello informativo utilizzato non indica le modalità con le quali gli interessati (ovvero non solo i soggetti ai quali viene contestata una violazione amministrativa, ma tutte le persone fisiche che entrano nel raggio di azione delle telecamere) possono ricevere un’informativa completa sul trattamento di secondo livello (cfr. artt. 5, 12, 13, 14 del gdpr; parr. 117-119 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati personali, adottate il 29 gennaio 2020). Né è emerso, dagli atti, che il Comune, abbia provveduto a redigere tale informativa e portarla a conoscenza degli interessati, ad esempio mediante pubblicazione della stessa sul proprio sito web istituzionale. Inoltre, dalle immagini pubblicate sul profilo Facebook della società, risulta accertata la mancata presenza di cartellonistica contenente l’informativa in alcune aree sottoposte a videosorveglianza.
In secondo luogo, non sussiste alcun accordo e/o atto formale per il trattamento dei dati personali fra il comune e l’AMIU SPA in ordine alla vigilanza del servizio ambientale mediante i sistemi di videosorveglianza comunque denominati. Non sussistono formali istruzioni o accordi o deleghe tra Comune e Amiu SPA in merito al trattamento dei dati personali inerenti i sistemi di videosorveglianza utilizzati dalla predetta società, salvo quanto previsto dal disciplinare per l’istituzione e definizione dei compiti dell’Ispettore Ambientale.
L’accordo ai sensi dell’art. 28 gdpr è stato redatto mesi dopo i fatti contestati, a seguito di espressa richiesta di informazioni dell’Autorità. Con ciò venendosi a creare un trattamento illegittimo anche da un punto di vista soggettivo da parte del fornitore.
Da ultimo si è osservato che, dagli atti, non risulta sia stata svolta la valutazione di impatto sulla protezione dei dati di cui all’art. 35 gdpr, che è sempre richiesta in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico e qualora vengano utilizzate nuove tecnologie (tra le quali rientrano anche le cd. fototrappole intelligenti utilizzate dalla società).
Esito dell’attività istruttoria nei confronti del Comune di Taranto
Ai sensi della disciplina in materia di protezione dei dati personali, il trattamento di dati personali effettuato da soggetti pubblici è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” [art. 6, par. 1, lett. c) ed e)]. La gestione dei rifiuti solidi urbani rientra tra le attività istituzionali affidate agli enti locali.
Pur in presenza di una condizione di liceità, ad ogni modo, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza”, in base al quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) gdpr).
Dalla documentazione in atti emerge che il trattamento risulta essere effettuato in violazione dell’obbligo che impone al titolare del trattamento di rendere agli interessati una preventiva informativa, secondo quanto previsto dagli artt. 12, 13 e 14 gdpr.
Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 gpdr).
Tenuto conto del fatto che la nomina a responsabile del trattamento è stata tardiva, la società ha partecipato al trattamento dei dati personali in esame senza che il suo ruolo fosse opportunamente definito dal titolare, in violazione dell’art. 28 gdpr.
Per quanto concerne, da ultimo, l’ultimo profilo di illegittimità sollevato, è emerso che non è stata svolta la valutazione di impatto sulla protezione dei dati, che è sempre richiesta quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, a causa, ad esempio, del monitoraggio sistematico dei loro comportamenti, del gran numero dei soggetti interessati o per l’uso innovativo o l’applicazione di soluzioni tecnologiche od organizzative (cfr. Linee guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017).
Risulta pertanto accertata anche la violazione dell’art. 35 gdpr, che obbliga i titolari a svolgere la valutazione di impatto prima di dare inizio al trattamento, anche considerando che tale strumento è idoneo a comprovare la responsabilizzazione (accountability) del titolare nei confronti del trattamento effettuato.
Contestazioni avanzate nei confronti di Amiu S.p.a.
Per quanto concerne le contestazioni relative alla diffusione di immagini non opportunamente oscurate, la società è stata ritenuta unica responsabile della condotta ascrittale, essendo la pagina facebook di sua proprietà. Ha inoltre riferito essersi trattato di un mero errore di disattenzione del personale autorizzato al mascheramento dei soggetti prima della pubblicazione. Secondo l’Azienda tale situazione non risulta conforme a quanto previsto dalle procedure interne in quanto, prima di pubblicare sui social network, il personale autorizzato ha cura di occultare gli elementi che possono permettere la individuazione delle persone fisiche coinvolte in modo diretto o indiretto. Il tutto al fine di non identificare tali immagini come dato personale e quindi escluderle dall’applicazione della normativa sul trattamento dei dati. Le immagini in questione sono state prontamente rimosse dalla pagina Facebook, non appena ricevute le contestazioni dall’Autorità.
Infine, dagli atti è emerso che la società non ha provveduto a nominare un responsabile della protezione dei dati, né sono emerse motivazioni che possono aver indotto la società e non ritenere necessaria tale nomina, in violazione dell’art. 37, par. 1, lett. b) gdpr (cfr. anche il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” allegato al provvedimento dell’Autorità n. 186 del 29 aprile 2021 ove si prevede, al par. 3, l’opportunità di nominare un RPD per le società concessionarie dei servizi di trasporto pubblico locale o di raccolta dei rifiuti, allorché utilizzano sistemi che comportano il trattamento, su larga scala, di dati di dipendenti e utenti, associato a un monitoraggio regolare o sistematico.
Esito dell’attività istruttoria nei confronti di Amiu S.p.a.
Accertata dunque, anche sulla base di quanto ammesso dalla stessa società, la diffusione di dati personali (come la pubblicazione di immagini e video, concernenti soggetti interessati, tramite social network), raccolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, si osserva che la stessa può avvenire solo se prevista da una norma di legge o di regolamento (art. 2-ter, commi 3 e 4 lett. b del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di segnalazione). Visto che dagli atti non emergono condizioni di liceità poste a fondamento del trattamento in esame, risulta accertata la violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a), nonché dell’art. 6 del Regolamento e art. 2-ter del Codice.
Tenuto, altresì, conto che le immagini raccolte tramite il sistema di videosorveglianza in esame sono trattate, originariamente per finalità di accertamento degli illeciti, come concordato con il Comune, titolare del trattamento, risulta che l’ulteriore trattamento derivante dalla diffusione delle immagini tramite il canale Facebook della società, per asserite finalità cd. di moral suasion, sono in contrasto con il principio di limitazione delle finalità di cui all’art. 5, par. 1, lett. b) del Regolamento
Oltre alla violazione dell’art. 28 già esaminata nei riguardi del Comune di Taranto, per aver effettuato la prescritta nomina in epoca successiva all’inizio del trattamenti in questione, emerge una ulteriore responsabilità a carico di Amiu Spa, la quale si è rivolta, nel mese di novembre 2020, alla società ITS s.r.l., fornitrice del sistema di videosorveglianza (provvedendo a designarla quale “responsabile del trattamento”) senza la “previa autorizzazione scritta, specifica o generale, del titolare del trattamento” in violazione dell’art. 28, par. 2 del Regolamento.
Solo successivamente, nell’ “accordo ai sensi dell’art. 28 del REG UE 2016/679”, sottoscritto tra la società Amiu s.p.a. e il Comune in data 14 gennaio 2022, il titolare del trattamento ha esplicitato che “la società, previa autorizzazione scritta del Comune, potrebbe dover comunicare o rendere disponibili i dati personali di titolarità di quest’ultimo ad uno o più soggetti terzi (quali sub responsabili), al fine di affidare a tali soggetti parte delle attività di trattamento” (punto 6). Nell’elenco dei sub-responsabili ad oggi previsti, inserito in calce all’accordo, viene correttamente inserita la citata società ITS srl.
Giova chiarire che al fine di considerare identificabile una persona “è opportuno considerare tutti i mezzi [di cui] un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente” (C. 26 gdpr). Con “identificare” non si intende “solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione” (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/3134436). La diffusione di immagini di persone fisiche, anche nel caso in cui il cui volto non sia visibile o sia stato preventivamente oscurato, può, in taluni casi, comunque consentire l’identificazione delle stesse, allorquando taluni elementi di contesto, considerati in associazione tra di loro, riconducano a uno specifico interessato (es. abbigliamento, modello automobile, etc.).
Da ultimo, per quanto concerne la mancata nomina del DPO, il Garante privacy ha inteso sanzionare la Amiu spa per violazione dell’art. 37 gdpr considerata la natura sostanzialmente pubblica dell’attività svolta da codesta società, la quale implica il trattamento di dati personali di migliaia di cittadini nell’ambito della raccolta, trasporto e smaltimento rifiuti anche ai fini dell’accertamento e contestazione degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali, tenuto anche conto del ricorso ad un sistema di videosorveglianza in grado di comportare un “monitoraggio regolare e sistematico degli interessati su larga scala” (cfr.anche “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” https://www.garanteprivacy.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-privato).
Conclusioni
Dalla lettura dei provvedimenti in commento emerge come per perseguire il fine della lotta al fenomeno dell’abbandono dei rifiuti, i Comuni interessati e (nel caso di specie) le partecipate che si occupano della raccolta, non possono prescindere, per ricorrere a sistemi di fototrappole / videosorveglianza, dall’adottare alcuni accorgimenti in tema di trattamento dati.
In primo luogo, appare necessario posizionare prima del raggio di azione delle videocamere / fototrappole degli appositi cartelli (consigliato il modello all’uopo predisposto dal Garante privacy https://www.garanteprivacy.it/temi/videosorveglianza); tale informativa cd. di primo livello deve essere accompagnata da una informativa di secondo livello che contenga tutte le informazioni sul trattamento dei dati richieste dall’art. 13 gdpr inserendo, se possibile, un qr code sul cartello che rimandi ad una pagina web dove è possibile consultare l’informativa completa.
Occorrerà nominare quale responsabile del trattamento ai sensi dell’art. 28 gdpr la società che si occupa della predisposizione del sistema di videosorveglianza (come nel caso che ci occupa era la Amiu s.p.a.) e come sub responsabile la società che fornisce supporto e manutenzione al sistema, nel caso in cui abbia accesso alle immagini.
In applicazione del principio della privacy by design, prima della messa in opera del sistema, occorrerà effettuare una valutazione di impatto ai sensi dell’art. 35 gdpr essendo il trattamento tra quelli che può comportare un rischio elevato per i diritti e le libertà delle persone interessate, a causa, ad esempio, del monitoraggio sistematico dei loro comportamenti, del gran numero dei soggetti interessati o per l’uso innovativo o l’applicazione di soluzioni tecnologiche od organizzative, avvalendosi del DPO da nominare obbligatoriamente per quelle società che si occupano di raccolta di rifiuti.