ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex
Con provvedimento n. 100 del 22 febbraio 2024, il Garante privacy si è soffermato sul rapporto fra titolare e responsabile del trattamento, nonché sul contenuto del contratto sulla protezione dei dati personali in essere fra gli stessi, che non deve essere mero adempimento formale ma contenere specifiche istruzioni.
Attività istruttoria posta in essere dal Garante privacy
Il provvedimento sanzionatorio irrogato ai danni del Comune di Monterotondo, origina da un reclamo ai sensi dell’art. 77 del Regolamento europeo 679/2016 (GDPR) da parte di un cittadino che lamentava la presenza di telecamere di sorveglianza collegate con il Comune che inquadravano tre distinti compattatori (cassonetti per la raccolta differenziata dei rifiuti domestici) per il conferimento dei rifiuti da parte dei privati cittadini, sprovvisti di cartelli di segnaletica e informativa sul trattamento dei dati ai sensi dell’art. 13 GDPR.
Sulla base di quanto emerso nel corso dell’istruttoria, risultava accertato che il Comune, titolare del trattamento, avvalendosi del supporto di APM (cui il Comune di Monterotondo ha demandato la completa gestione del servizio e della sua messa in sicurezza), che agiva quale responsabile del trattamento, ha posto in essere un trattamento di dati personali mediante l’impiego di dispositivi video installati in prossimità di tre stazioni ecologiche (quattro dispositivi per ciascuna stazione), al fine di prevenire e individuare atti di vandalismo o eventi rilevanti per la sicurezza degli impianti o per l’incolumità degli utenti.
I dispostivi in questione, che si attivavano per effetto di sensori di movimento, avevano una capacità di memorizzazione limitata a un massimo di ventiquattro/trenta ore, superate le quali le immagini si sovrascrivevano automaticamente, potendo registrare di volta in volta, sia di giorno sia di notte, immagini relative a un’area circoscritta a un metro e mezzo di distanza dall’impianto, della durata massima di quindici secondi, su una memoria di tipo “secure digital” (SD), collocata all’interno di ciascun dispositivo video.
Controdeduzioni del Comune di Monterotondo
L’Ente comunale, allo scopo di giustificare la mancata apposizione dei cartelli, dichiarava che le caratteristiche dell’impianto posto a tutela delle Stazioni Ecologiche non rendevano necessario apporre alcun cartello informativo poiché il sistema di rilevamento di immagini oggetto di reclamo non è stato concepito come “impianto di videosorveglianza” bensì come sistema di “alert di sicurezza”.
Le finalità della dotazione di detti dispositivi devono ricondursi essenzialmente alla tutela del patrimonio e nella specie a limitare i danni all’ambiente urbano circostante e alle persone, conseguente questo ad eventuali fenomeni, quali ad esempio incendio o combustione di rifiuti contenuti all’interno delle stazioni ecologiche, oltre che ad evitare quanto più possibile rischi di danni agli utenti conferitori dei rifiuti, questi in conseguenza di eventuali malfunzionamento delle componenti meccaniche delle stazioni ecologiche.
Ricevuta la notifica ai sensi dell’art. 166, comma 5, del Codice privacy dell’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, GDPR, il Comune comunicava ad APM di interrompere il trattamento.
I dispositivi di ripresa sono dotati di sensore di movimento PIR, sensore crepuscolare, illuminatore con LED IR a 850 nm. Il sensore PIR permette di registrare una foto in movimento (settaggio effettuato appositamente per fotogrammi della durata di max 15″ consecutivi ciascuno) solamente quando viene rilevato un movimento […]. Il sistema PIR non è in grado di distinguere atti di conferimento da atti vandalici, ma si attiva solamente nel campo visivo dell’obiettivo e quindi in strettissima prossimità della Stazione Ecologica”.
Non è possibile visualizzare istantaneamente quanto ripreso da alcun dispositivo. L’apparecchiatura utilizzata non permette l’uso di crittografia ma, una volta estratta la SD CARD, si può accedere alle immagini ivi contenute solo tramite autenticazione mediante account e password. Non sono state adottate ulteriori misure tecniche e/o organizzative da parte dell’Ente.
Relativamente alla videosorveglianza, il Comune rendeva noto di essersi dotato di uno specifico Regolamento di recente approvazione, opportunamente pubblicato sul sito internet comunale e installato regolare cartellonistica, peraltro posta anche a ridosso dell’area del centro storico in cui sono allocate le tre Stazioni Ecologiche e pubblicato l’informativa estesa sulla videosorveglianza sul proprio sito internet.
La corretta gestione dei rapporti con il responsabile del trattamento
il Comune, in qualità di titolare del trattamento, ha esternalizzato ad APM l’attività di installazione e gestione dei dispositivi in questione, affidando alla stessa il trattamento delle immagini riprese, senza, tuttavia, previamente stipulare un contratto sulla protezione dei dati ai sensi dell’art. 28 del Regolamento.
Prima dell’avvio dell’istruttoria, infatti, vi era agli atti un atto di nomina ai sensi dell’art. 28 GDPR firmato solo dal Comune. Soltanto successivamente all’avvio dell’istruttoria da parte dell’Autorità e pochi giorni prima della data in cui è cessato il trattamento, APM ha sottoscritto un contratto sulla protezione dei dati con il Comune.
L’aspetto di assoluto interesse del provvedimento in commento, tuttavia, concerne l’inidoneità del contratto tardivamente stipulato tra le parti, il quale si limitava, infatti, a riportare pedissequamente le previsioni richieste dall’art. 28, par. 3 GDPR, senza fare alcun riferimento allo specifico trattamento di dati personali affidato dal titolare al responsabile (ovvero la gestione delle immagini acquisite mediante i dispositivi video in questione) e senza che il titolare, ovvero il Comune, avesse impartito al responsabile, ovvero ad APM, in sede di contratto sulla protezione dei dati, alcuna specifica istruzione in merito al trattamento, anche con riguardo alle specifiche misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio, che il responsabile avrebbe dovuto adottare in tale contesto.
Il contratto sulla protezione dei dati stipulato tra il titolare e il responsabile dovrebbe, invece, non già meramente ribadire le disposizioni del GDPR, bensì prevedere informazioni più specifiche e concrete sul modo in cui saranno soddisfatti i requisiti e sul livello di sicurezza previsto per il trattamento dei dati personali oggetto dell’accordo. Pertanto, “il contratto tra le parti dovrebbe essere redatto tenendo conto della specifica attività di trattamento dei dati”, disciplinando, in particolare: “l’oggetto del trattamento […] con specifiche sufficienti affinché l’oggetto principale del trattamento sia chiaro”; “la durata del trattamento”; “la natura del trattamento: il tipo di operazioni eseguite nell’ambito del trattamento (ad esempio: «ripresa», «registrazione», «archiviazione di immagini» ecc.) e la finalità del trattamento […]”, fermo restando che, “tale descrizione dovrebbe essere la più completa possibile, a seconda dell’attività di trattamento specifica, in modo da consentire a soggetti esterni (ad esempio le autorità di controllo) di comprendere il contenuto e i rischi del trattamento affidato al relativo responsabile”; “la tipologia di dati personali, con la precisazione che] questo elemento dovrebbe essere specificato nel modo più dettagliato possibile”; “le categorie di interessati, con la precisazione che anche questo aspetto dovrebbe essere indicato in modo piuttosto specifico”
Né è possibile ricavare altrimenti tali elementi da una lettura congiunta tra il contratto sulla protezione dei dati e altri accordi in essere tra le parti, atteso che nel contratto sulla protezione dei
dati in questione non vi è alcun richiamo – nemmeno per relationem – all’atto che disciplina il sottostante rapporto di fornitura che legava il Comune all’Azienda. Nella premessa del contratto sulla protezione dei dati si afferma, infatti, del tutto genericamente, che “il Comune di Monterotondo, in qualità di Titolare del trattamento dei dati si avvale delle Vostre prestazioni sulla
base di uno specifico rapporto contrattuale in essere e pertanto, a tale titolo, la Vostra azienda svolge il ruolo di “Responsabile del trattamento”, potendosi, pertanto, il contratto sulla protezione
dei dati astrattamente riferire a una pluralità di contratti di fornitura di servizi o altri atti giuridici non oggettivamente individuabili.
Conclusioni
Tenuto conto della buon livello di cooperazione offerta dal Comune con l’Autorità nel corso dell’istruttoria, essendosi, altresì, attivato per porre fine alla violazione, prima chiedendo ad APM, a seguito della prima richiesta d’informazioni dell’Autorità, di “apporre, cautelativamente, un cartello/informativa breve sulla videosorveglianza nelle vicinanze delle tre Stazioni Ecologiche, nonché un’informativa estesa sul Vostro sito istituzionale” e poi di “interrompere, cautelativamente, ogni trattamento riguardante la videosorveglianza e lo smontaggio di tutti i sistemi di ripresa ivi allocati” e dell’assenza di precedenti violazioni pertinenti commesse dal Comune, il Garante privacy ha quantificato la sanzione pecuniaria in € 3.000,00 ai danni del Comune di Montefalco.
L’aspetto di assoluto interesse del provvedimento in commento è relativo alla necessità di prevedere informazioni più specifiche e concrete sul modo in cui saranno soddisfatti i requisiti e sul livello di sicurezza previsto per il trattamento dei dati personali oggetto dell’accordo, senza limitarsi a riportare pedissequamente le previsioni richieste dall’art. 28, par. 3 GDPR, come invece potrebbe sembrare sufficiente. La stipula di un atto di nomina è adempimento tutt’altro che formale per il quale può essere molto utile coinvolgere il responsabile del trattamento, se del caso chiedendo di voler mostrare il Registro delle attività di trattamento che, ai sensi dell’art. 30 GDPR, quest’ultimo deve tenere con riferimento alle attività svolte per conto del Titolare.