[doc. web n. 10102334]

Provvedimento del 12 dicembre 2024

Registro dei provvedimenti
n. 766 del 12 dicembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con una segnalazione pervenuta il XX ai sensi dell’art. 144 del Codice, diversi cittadini hanno lamentato una presunta violazione della disciplina in materia di protezione dei dati personali mediante l’utilizzo di un sistema di videosorveglianza ai fini dell’accertamento delle infrazioni al decreto legislativo 30 aprile 1992 n. 285 (“Nuovo Codice della Strada” o “CdS”) da parte del Comune di Portici (di seguito il “Comune”).

In particolare, dalla segnalazione è emersa l’assenza di idonea informativa ai sensi dell’art. 12 e seguenti del Regolamento, dal momento che non è stato apposto alcun cartello informativo nei pressi dei luoghi in cui le telecamere sono state posizionate, come emergerebbe dalle fotografie allegate alla predetta segnalazione.

2. L’attività istruttoria

In risposta ad una richiesta di informazioni dell’Autorità (prot. n. XX del XX) ai sensi dell’art. 157 del Codice, con nota del XX, il Comune ha dichiarato, in particolare, che:

- “la Giunta Municipale, con delibera n. XX del XX, esecutiva ai sensi di legge, al fine di diminuire il tasso di incidentalità dovuta al transito veicolare con lanterna rossa semaforica azionata, ha stabilito di installare sistemi di rilevazione automatica delle infrazioni sui due impianti semaforici esistenti sul territorio cittadino”;

-  “in relazione agli indirizzi dell’Amministrazione si è provveduto, giusta determina dirigenziale n. XX del XX, ad approvare la procedura per il noleggio del sistema di rilevamento delle infrazioni semaforiche EnVES EVO MVD 1505 sui 2 impianti semaforici esistenti in Città. Il sistema ENVES EVO MVD 1505 è stato approvato dal Ministero delle Infrastrutture e dei Trasporti con D.D. del XX n. XX per la rilevazione e documentazione delle infrazioni semaforiche. Gli apparecchi di rilevazione precitati, installati sul territorio in data XX, memorizzano e registrano le immagini solo in caso di infrazione relativa a passaggio con luce rossa semaforica (circolare Ministero dell’Interno XX prot. XX), con riprese frontali ovvero lato posteriore del veicolo in infrazione con oscuramento del parabrezza anteriore non rendendo riconoscibili né il conducente né i passeggeri a bordo del veicolo verbalizzato”;

- “a seguito di registrazione dell’infrazione la stessa viene sottoposta a successiva attività di validazione da parte di pubblici ufficiali (appositamente individuati tra il personale appartenente al Comando P.L. e su postazioni debitamente certificate) che procede, sempre in fase di validazione, ad oscurare i dati relativi a soggetti non coinvolti nell’accertamento amministrativo”;

- “Le riprese video individuano unicamente gli elementi essenziali per la predisposizione del verbale di accertamento delle violazioni ai sensi del regolamento di attuazione del nuovo Codice della Strada. Solo a seguito di tale attività di validazione i dati (targa, giorno, ora e luogo dell’infrazione) e le relative immagini in formato criptato proprietario sono oggetto di importazione ad opera sempre del personale della Polizia Locale nel software gestionale in uso al Comando e le targhe successivamente visurate presso gli archivi della Motorizzazione Civile”;

- “L’attività di rilevazione automatica delle infrazioni rispetta il principio di proporzionalità atteso che il trattamento dei dati non eccede la finalità perseguita (art. 11 comma 1 Provvedimento in materia di videosorveglianza dell’8 aprile 2010), ovvero il rilevamento dell’infrazione. In ordine alla taratura e all’omologazione dei dispositivi sopracitati, si allegano le relative certificazioni dalla quali si evincono le date di verifica e controllo degli impianti stessi”;

- “Per quanto concerne l’obbligo di dare preavviso dell’utilizzo degli impianti per l’accertamento delle infrazioni semaforiche, nessuna norma prevede l’indicazione di tale attività di accertamento al di fuori dei casi previsti dal D.L. n. 121/2002, convertito in legge n. 168/2002. L’obbligo di indicare la presenza dei sistemi di controllo che operano in automatico si rinviene solo nel decreto precitato. Tale normativa, in parte recepita nell’art. 201 cds fa riferimento solo per l’accertamento delle violazioni di cui agli artt.142,148 e 176. La disposizione non vale quindi per gli apparecchi che rilevano in passaggio con il rosso. Pertanto, la presenza degli impianti di rilevazione automatica delle infrazioni semaforiche non deve essere presegnalata da una specifica segnaletica. Diversamente dalla disciplina in tema di violazione dei limiti di velocità, non esiste una prescrizione in tal senso (Cass. Civ. n. 8415 del 27.04.2016)”;

-  “La conservazione dei dati alfanumerici contenuti nelle targhe da parte del sistema è limitato ai soli casi in cui sussiste l’infrazione di passaggio con rosso semaforico e per i tempi di conservazione previsti dalla legge. È in ogni caso garantito il diritto dell’interessato di richiedere l’accesso ai propri dati (immagini) per prendere visione o estrarre copia delle immagini fotografiche rilevate a mezzo delle precitate apparecchiature solo previo oscuramento dei dati relativi ai soggetti non coinvolti nell’accertamento”;

-  “quanto alla valutazione d’impatto sul trattamento dei dati personali in relazione all’impiego dei dispositivi de quibus (art. 35 del Regolamento), il Comune di Portici ha ritenuto di non dover redigere tale documento in considerazione delle seguenti circostanze a. il sistema non svolge alcuna valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato che il sistema stesso implementa: come detto, il sistema entra automaticamente in funzione solo se, all’accensione del semaforo rosso e fino al momento dello spegnimento, un veicolo commette l’infrazione di passaggio con il rosso. Occorre, quindi, che si verifichino, contemporaneamente, la presenza di luce semaforica rossa e l’infrazione. In queste sole circostanze, viene rilevata solo la targa del veicolo autore dell’infrazione e non l’immagine degli occupanti del medesimo che, anche laddove risultino visibili, vengono oscurati. Tra l’altro, ai fini della rilevazione della infrazione, il sistema estrapola “immagini statiche” del momento del superamento dell'impianto semaforico e non un video nell'accezione classica del termine, quali immagini dinamiche. Qualsiasi parte dell’immagine, che contenga soggetti terzi eventualmente ripresi dalla rilevazione, viene oscurata attraverso apposite funzioni del sistema e verificata dal personale del Comando di Polizia Municipale di Portici. Resta, pertanto, del tutto esclusa qualsiasi attività di profilazione e , più in generale, qualsiasi tipo di trattamento ulteriore delle immagini riprese; quanto agli effetti giuridici della rilevazione, essi consistono nel solo inoltro del verbale di contravvenzione all’intestatario del veicolo, senza alcun significativo riflesso sui diritti e sulle libertà delle persone fisiche; b. il trattamento in nessun modo riguarda alcuna delle tipologie di dati indicate all’art. 9, paragrafo 1, né dati relativi a condanne penali e a reati di cui all'articolo 10; piuttosto, è la rilevazione dell’infrazione che genera solo l’inoltro del verbale di contravvenzione (non un reato, quindi) all’intestatario del veicolo che ne sia stato autore; c. il sistema non realizza la sorveglianza sistematica su larga scala di una zona accessibile al pubblico, in quanto entra in funzione solo per intervalli di tempo brevissimi attivati dall’accensione della luce semaforica rossa e immediatamente successivi; in più, l’oscuramento di ogni immagine di persona fisica, addirittura quella che eventualmente riprenda guidatore o passeggeri dell’auto da sanzionare, completa un quadro che consente di escludere, con ogni ragionevolezza, l’ipotesi di sorveglianza sistematica”.

Con riferimento alla condotta del Comune, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato allo stesso, in data XX (prot. n. XX) ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito in maniera non conforme al principio di “liceità, correttezza e trasparenza” e per non aver redatto una valutazione di impatto in violazione degli artt. 5, par. 1, lett. a), 12, 13 e 35 del Regolamento.

Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “si è immediatamente attivato nel tentativo di sanare l’attività di trattamento per renderla pienamente conforme alla disciplina vigente e attenuare gli effetti negativi della violazione dei dati personali nei confronti degli interessati”;

- “il sistema di rilevamento delle infrazioni semaforiche EnVES EVO MVD 1505 (approvato dal Ministero delle Infrastrutture e dei Trasporti con D.D. del XX n. XX) è stato istallato e messo in funzione in data XX in n. 2 località del territorio del Comune di Portici, su un totale di n. 5 impianti semaforici installati sul territorio comunale […] La data di effettiva installazione degli impianti è il XX mentre il materiale avviamento del sistema e, quindi, di fatto, il trattamento dei dati in violazione è iniziato il XX, come dimostrato dai certificati di installazione allegati alla presente […]”;

- “Il sistema di rilevazione de quo, nelle condizioni rilevate da codesto Ufficio, è in funzione dal XX, fino al XX, data in cui il Comune di Portici ha provveduto a porre fine alla violazione provvedendo ad installare nei pressi delle postazioni semaforiche appositi cartelli contenenti l’informativa di primo livello, conforme al modello allegato alle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, nonché ai provvedimenti di codesta Autorità”;

- “il Comune e, in particolare, il Comando di Polizia Municipale, in totale buona fede, ritenevano che le caratteristiche dell’impianto del quo e del suo funzionamento non determinassero, per esso, gli obblighi di segnalazione preventiva e di informativa di dettaglio previsti dai Provvedimenti del Garante in materia di sistemi di videosorveglianza e dal GDPR. Altrettanto dicasi per gli obblighi, che chiameremmo derivati, di redazione della valutazione d’impatto sulla protezione dei dati personali (art. 35 GDPR). Ovviamente, come risulta dalla documentazione allegata alla presente comunicazione, una volta compresa la situazione di carente compliance, questo Comune si è immediatamente adoperato per adeguare il sistema de quo alle prescrizioni e agli obblighi di cui alla normativa applicabile”;

- “a seguito della citata comunicazione di codesta Autorità, in data XX, [… il Comune ha provveduto ad adottare le seguenti misure …] : − Installare presso le n. 5 postazioni semaforiche la segnaletica informativa di primo livello conforme alle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, ai provvedimenti del Garante in materia di videosorveglianza. Tali informative di primo livello riportano le seguenti informazioni: finalità del trattamento, l’identità del titolare del trattamento, contatti del responsabile della protezione dei dati, tempi di conservazione, l’esistenza dei diritti dell’interessato, contatti del responsabile del trattamento e infine un chiaro riferimento all’informativa di secondo livello e dello sportello fisico nonché alla pagina web dove reperirla. Nell’Allegato n. 2 vengono rappresentati sia il formato del segnale, sia la posizione effettiva rispetto al pertinente impianto di rilevazione; − Pubblicare sul sito del Comune di Portici – Area Tematica “Polizia Municipale e Contravvenzioni” nonché nella sezione Privacy di “Amministrazione Trasparente” l’Informativa estesa sul trattamento dei dati personali tramite i dispositivi di rilevazione di infrazioni al Codice della Strada […] L’informativa estesa è inoltre disponibile presso lo sportello del Comando di Polizia Municipale ed eventualmente, a richiesta, inviata tramite P.e.c. o P.e.o. Nella medesima sezione è pubblicato anche il Regolamento per la gestione e l’utilizzo del sistema di videosorveglianza (Approvato con Deliberazione di Consiglio Comunale n. XX quale aggiornamento del Regolamento approvato con D.G.C. n. XX del XX, come modificato dalla Del. Commissario Straordinario n. XX del XX). − Pubblicare sul sito internet comunale nella sezione “Modulistica/Polizia Municipale” nonché nell’area tematica “Polizia Municipale e Contravvenzioni” e nella sezione “Privacy” dell’Amministrazione Trasparente un fac-simile specifico finalizzato all’esercizio di diritti in materia di protezione dei dati personali denominato “Modulo Comune di Portici n. XXin partenza del XX per l’esercizio dei diritti in materia di protezione dei dati personali da parte dell’interessato e comunicazione dei dati”. Tale fac-simile è inoltre disponibile e in distribuzione presso lo sportello del Comando di Polizia Municipale ed eventualmente, a richiesta, inviata tramite p.e.c. o p.e.o.”;

- “questo Comune è impegnato nell’adeguare il più possibile il livello di sicurezza; a tal fine, infatti, esso ha definito e attuato:  misure organizzative: - disposizioni operative e procedure interne che prevedono, rispetto a qualsiasi iniziativa che comporti, anche potenzialmente, un trattamento di dati personali, il confronto con il DPO e la richiesta a questi di pareri scritti al fine di garantire liceità, correttezza e trasparenza del trattamento, con particolare riguardo alla modulistica eventualmente prevista e ai profili di responsabilità dei terzi che partecipino/collaborino al trattamento di dati personali, - somministrazione a personale specificamente individuato e autorizzato di specifiche sessioni di formazione e istruzioni operative sul trattamento dei dati personali, con particolare focus sulle fattispecie analoghe a quelle di cui trattasi, - aggiornamento del Regolamento per la gestione e l’utilizzo del sistema di videosorveglianza approvato con D.G.C. n. XX del XX, come modificato dalla Del. Commissario Straordinario n. XX del XX e approvazione DPIA”;

- “ha messo in atto misure atte a garantire la limitazione dei rischi per i diritti e le libertà delle persone fisiche attraverso le misure […] con il riferimento allo specifico obiettivo di sicurezza”;

- ha redatto la “Valutazione d’impatto sulla protezione dei dati (art. 35 GDPR) relativa al trattamento in essere presso questo Comune dei dati personali rilevati dai dispositivi di ripresa foto/video compresi nel sistema di rilevazione delle infrazioni (approvata con Deliberazione del Consiglio Comunale n. XX)”.

Nel corso dell’audizione, tenutasi in data XX, il Comune ha precisato di aver “adottato immediatamente dei provvedimenti volti a correggere le criticità segnalate e contestate, non ci siamo fatti cogliere dall’inerzia e abbiamo voluto attuare quello che il Garante ci suggeriva di adottare. Quando abbiamo installato i sistemi di videosorveglianza in esame c’erano molte emergenze sotto il profilo della viabilità, incidenti stradali, inquinamento acustico e ambientale che rendevano necessaria e urgente l’installazione degli stessi; non era immaginabile un impatto così rilevante e ampio sull’aspetto sanzionatorio, e di conseguenza sulla protezione dei dati personali dei cittadini. Nel mese di XX pervenivano circa 500 verbali al giorno di infrazione validati, ultimamente siamo passati a 30 verbali al giorno, quindi la funzione preventiva ed educativa dei sistemi di videosorveglianza ha raggiunto il suo obiettivo, anche i ricorsi giurisdizionali sono quasi sempre stati respinti a favore dell’amministrazione. In data XX l’ente ha concluso l’adozione degli atti amministrativi contenenti le misure necessarie ad adeguare i sistemi di videosorveglianza (es. informativa)”  e che “indipendentemente dalla comunicazione del Garante, dal mese di XX, il Comandante della Polizia locale, dirigente responsabile della sicurezza e […il DPO del Comune] avevano già predisposto un’attività di messa in regola delle attività legate all’accertamento delle infrazioni stradali, predisponendo un aggiornamento del regolamento sulla videosorveglianza, un testo di informativa estesa e una bozza di valutazione d’impatto per sanare quello che ritenevamo già una criticità; purtroppo i problemi organizzativi e operativi dell’amministrazione hanno impedito una celerità maggiore. All’inizio nutrivamo anche dubbi circa la sistematicità del trattamento che rende necessaria la DPIA perché il fotored entra in azione solo in caso di infrazione rilevata”.

3. Esito dell’attività istruttoria.

3.1. La normativa applicabile in materia di protezione dei dati personali.

In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici possono trattare i dati personali degli interessati se il trattamento è necessario, in generale, per adempiere a specifici obblighi o compiti previsti da leggi (artt. 6, paragrafo 1, lett. c), del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. e) e paragrafo 2 e 3 del Regolamento; 2-ter del Codice).

Il titolare del trattamento è tenuto altresì, in ogni caso, a rispettare i principi in materia di protezione dei dati personali, fra cui quelli di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento).

3.2. L’informativa agli interessati.

Alla luce del suddetto principio di trasparenza, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato tutte le informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12, par. 1, del Regolamento).

In particolare, allorquando siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video adottate dal Comitato europeo per la protezione dei dati il XX), in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; da ultimo, v. le FAQ del Garante in materia di videosorveglianza, doc. web n. 9496574, n. 4; cfr., altresì, provv. ti 11 gennaio 2024, n. 5, doc. web n. 9977020; n. 312 del 18 luglio 2023, doc. web n. 9920578; 20 ottobre 2022, n. 341, doc. web n. 9831369; 28 aprile 2022, n. 162, doc. web n. 9777974; 7 aprile 2022, n. 119, doc. web n. 9773950; 16 settembre 2021, n. 327, doc. web n. 9705650 e 11 marzo 2021, n. 90, doc. web n. 9582791).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (Linee guida del Comitato, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi) (Linee guida del Comitato, cit., par. 115).

La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Nel corso dell’istruttoria è emerso che dalla data in cui il sistema video in esame è entrato in funzione (XX) al XX, il Comune non ha fornito agli interessati un’informativa di primo e di secondo livello, operando pertanto in violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a) del Regolamento, nonché degli artt. 12 e 13 del Regolamento.

3.3. La valutazione di impatto.

In caso di rischi elevati per gli interessati - derivanti, ad esempio, dall’utilizzo di nuove tecnologie e sempre presenti laddove sia effettuata una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (v. art. 35, par. 3, lett. c), del Regolamento) - il titolare del trattamento deve effettuare una valutazione d’impatto sulla protezione dei dati, al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento).

Sul punto il Comune ha dichiarato che, all’atto dell’installazione dei dispositivi video in esame, non ha svolto una valutazione di impatto in quanto ha ritenuto erroneamente che non fosse necessaria, provvedendo a redigerla successivamente all’avvio dell’istruttoria.

Si osserva, tuttavia, che il Comune era certamente soggetto all’obbligo di redigere una valutazione d’impatto sulla protezione dei dati, considerato che, ai sensi del citato art. 35, par. 3, lett. c), del Regolamento, la stessa è sempre richiesta in caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”, che consente la raccolta di numerosissimi dati anche inerenti all’ubicazione e alla circolazione degli interessati, circostanza che ricorre nel caso di specie.

Si evidenzia, inoltre, che l’art. 35 del Regolamento obbliga i titolari a svolgere la valutazione di impatto prima di dare inizio al trattamento, anche considerando che tale strumento è idoneo a comprovare la responsabilizzazione (accountability) del titolare nei confronti del trattamento effettuato (cfr. Provvedimento n. 162 del 28 aprile 2022, doc. web. n. 9777974).

Alla luce delle considerazioni che precedono, non avendo redatto una valutazione d’impatto sulla protezione dei dati in data certa anteriore a quella di avvio del trattamento, deve concludersi che il Comune ha agito in violazione dell’art. 35 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a), 12, 13 e 35 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte del Comune ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria, (stesso trattamento o trattamenti tra loro collegati, in considerazione del fatto che si configurano come adempimenti inerenti il medesimo sistema di videosorveglianza), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, che attengono agli – artt. 5, 12 e 13 del Regolamento sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che il Comune non ha provveduto a fornire l’informativa di primo e secondo livello agli interessati in merito ai trattamenti di dati personali effettuati mediante un sistema video, né a redigere la valutazione d’impatto.

In senso favorevole al Comune deve, tuttavia, considerarsi:

- il carattere colposo della violazione, atteso l’erroneo convincimento iniziale da parte del Comune circa la non sussistenza dell’obbligo di tali adempimenti che, infatti, sono stati effettuati non appena avviata l’istruttoria (art. 83, par. 2, lett. b) del Regolamento);

-  che i trattamenti in questione non sono relativi a categorie particolari di dati (art. 83, par. 2, lett. g).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole al Comune, che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento) nonché il grado di cooperazione manifestato dal titolare con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, tenendo conto che lo stesso ha tempestivamente provveduto a fornire l’informativa di primo livello mediante affissione dei cartelli in prossimità dei sistemi video installati in cinque punti del territorio cittadino e a pubblicare un’informativa di secondo livello sul sito istituzionale, nonché a redigere la valutazione d’impatto (art. 83, par. 2, lett. f) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000,00 (seimila/00) per la violazione degli artt. 5, par. 1, lett. a), 12, 13 e 35 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti il mancato rispetto da parte del Comune del principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento, non avendo provveduto a fornire l’informativa (neanche di “primo livello”) agli interessati in merito al trattamento in esame, e la mancata redazione della valutazione d’impatto prima dell’avvio del predetto trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Portici nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 12, 13 e 35 del Regolamento;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Portici con sede legale in Via Campitelli, n. 1, Portici (NA), 80055 - C.F 80015980636- di pagare la complessiva somma di euro 6.000,00 (seimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Portici:

-  di pagare la complessiva somma di euro 6.000,00 (seimila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 dicembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi