g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 18 luglio 2023 [9920645]

Provvedimento del 18 luglio 2023 [9920645]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter dell'11 settembre 2023

 

[doc. web n. 9920645]

Provvedimento del 18 luglio 2023

Registro dei provvedimenti
n. 313 del 18 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

1. Premessa

Con una segnalazione presentata all’Autorità ai sensi dell’art. 144 del Codice, un cittadino del Comune di Modica (di seguito, il “Comune”) ha lamentato la violazione della disciplina in materia di protezione dei dati personali avvenuta mediante taluni dispositivi video posti nei pressi dei cassonetti adibiti alla raccolta dei rifiuti. Dagli elementi istruttori raccolti è emerso che il Comune ha incaricato l’impresa individuale Ermeslink di Giovanni Di Stefano (di seguito, l’“Impresa”) della fornitura, gestione e manutenzione dei predetti dispositivi video.

2. L’attività istruttoria

In risposta a una richiesta d’informazioni dell’Autorità (prot. n. XX del XX), il Comune, con nota prot. n. XX dell’XX, ha dichiarato, in particolare, che “ai fini di contrastare il fenomeno diffuso dell'abbandono dei rifiuti e il non corretto conferimento dei rifiuti solidi urbani, con proprie determinazioni […] ha affidato incarico [alla] Ermeslink […], per acquisto, installazione e manutenzione di telecamere fisse, e prelievo e analisi dei filmati relativi alle violazioni ambientali, sia di carattere amministrativo che penale” e ha  “nominato ausiliari di Polizia Giudiziaria” il titolare della citata impresa “per il prelievo, analisi e consegna dei predetti filmati […]”.

In risposta ad un’ulteriore richiesta d’informazioni dell’Autorità (nota prot. XX del XX), il Comune, con nota prot. n. XX del XX, ha dichiarato, in particolare, che l’Impresa ha iniziato a fornire i propri servizi a partire dal XX e di aver “stipulato accordo sul trattamento dati personali […] ai sensi dell'art. 28 del Regolamento […], con la determina n. XX del XX e consegna linee guida. In precedenza era stato stipulato accordo con verbale di ausiliario giudiziario da parte della Polizia Locale”.

Sul punto, in risposta a una richiesta d’informazioni dell’Autorità (nota prot. XX del XX), l’Impresa, con nota del XX, ha dichiarato, in particolare, che:

- “il Comune […] ha affidato alla Ermeslink il servizio di videosorveglianza sul territorio comunale in data XX, determina n°XX […] mentre la sua nomina a “responsabile esterno” dei dati sensibili è stata regolarizzata solo successivamente con la determina n°XX del XX […] Tuttavia, il servizio di videosorveglianza non è stato attivato immediatamente dopo l’affidamento e sull’intero territorio comunale, ma solo dopo alcuni giorni e dietro la nomina (pressoché contestuale) della stessa Ermeslink ad ausiliario di PG da parte del Comando di Polizia Municipale del Comune […] […]”;

- “il predetto sistema è obsoleto: le videocamere sono munite di scheda per la registrazione in loco e non sono collegate ad un centro operativo cui inviare le immagini per la loro registrazione, conservazione ed analisi da remoto. Pertanto, […] in una prima fase la ditta Ermeslink aveva il compito di procedere alla verifica dello stato di funzionamento dell’impianto e, quindi, avrebbe dovuto procedere alla conversione: delle telecamere funzionanti ed alla sostituzione di quelle von funzionanti, per garantire un sistema di videosorveglianza con modalità di registrazione ed analisi delle immagini da remoto, mediante il collegamento delle stesse ad un server centrale presso un centro operativo, allocato presso gli ufficio del Comune […] - Settore Ecologia. Terminate queste due prime fasi, allora la Ermeslink avrebbe dovuto svolgere il servizio di videosorveglianza con connesso trattamento dei dati sensibili. Tale affidamento del servizio era stato posto in essere dall'Ente al fine prevenire c/o reprimere eventuali illeciti amministrativi commessi dai cittadini”;

- “ebbene, durante le fase iniziali di verifica, la Ermeslink ha appurato che solo 5 telecamere erano funzionanti, anche se la registrazione, come detto, era possibile solo mediante schede di memorie installate sulle singole telecamere; per cui era necessario rimuovere e trasferite le suddette schede per procedere all'estrazione ed all’analisi delle immagini in esse registrate”;

- “sennonché, il Comune […] ed il Comando della Polizia Municipale di Modica, in via del tutto urgente ed eccezionale, hanno avuto la necessità di monitorare le zone coperte dalle 5 telecamere funzionanti (usate peraltro in modo alternato, ognuna per 2 giorni, e secondo le direttive impartite dal Comune […]e/o dalla Polizia Municipale di Modica), per reprimere fatti ben più gravi degli illeciti amministrativi sopra richiamati: ossia ipotesi punite con la pena dell’arresto, come, ad esempio, quelli di cui all’art.256 del D. Lgs. n°152/2006, per l’attività di gestione dei rifiuti non autorizzata, frequenti episodi di atti vandalici posti in essere mediante danneggiamento, furto e/o incendio dei cassonetti dell'immondizia e, addirittura, episodi di atti vandalici ed incendiari avanti ad oggetto alcuni automezzi comunali impegnati nella gestione dei rifiuti. Per cui il Comando della Polizia Municipale di Modica ha provveduto alla quasi contestuale nomina della Ermeslink ad ausiliario di PG (avvenuta in data XX) per poter avviare da subito il servizio di videosorveglianza anche se solo limitatamente alle 5 telecamere funzionanti ed utilizzandole alternativamente, ciò anche in considerazione del fatto che la Polizia Municipale è sprovvista delle competenze tecniche necessarie per estrazione, la conservazione e l’analisi delle immagini registrate dalle telecamere. Peraltro, la Ermeslink, in assoluta buona fede, ha ritenuto che tale nomina di ausiliario di PG potesse equipararsi a quella di “responsabile del trattamento dei dati” […]”;

- “la Ermeslink ha operato in assoluta buona fede, ritenendo che la sua nomina ad ausiliario di PG. fosse equiparabile a quella di “responsabile esterno” per il trattamento dei dati e, comunque, potesse derogare al Regolamento […] e [al Codice]”;

- “le telecamere funzionanti al momento dei fatti erano solo 5, utilizzate peraltro alternativamente ed a rotazione, 2 alla volta e solo per 2 giorni”;

- “il sistema è rimasto in funzione solo per un brevissimo periodo (circa 15/20 giorni) dopo di che il Comune […], forse anche a seguito della sopra citata segnalazione all'Autorità Garante, ha richiesto alla Ermeslink di disattivare anche le 5 telecamere funzionanti e di sospendere temporaneamente il servizio”;

-“si ritiene che le finalità di “sicurezza pubblica sopra dedotte, tendenti a garantire l’attività di indagine da patte della Polizia Municipale, legittimano il trattamento dei dati in deroga alla normativa vigente, mediante la nomina della Ermeslink ad ausiliario di PG […]”.

Pur tenendo conto delle circostanze sopradescritte in cui ha operato l’Impresa, dagli atti è emerso che a partire dalla data in cui la stessa ha preso in carico la gestione dei dispositivi video in questione (XX), alla data in cui il rapporto con il Comune ai fini della normativa in materia di protezione dei dati è stato formalmente regolato ai sensi dell'art. 28 del Regolamento (v. determina del Sindaco n. XX del XX) il trattamento dei dati personali degli interessati è avvenuto senza che il ruolo dell’Impresa, quale responsabile del trattamento, fosse stato opportunamente definito.

Pertanto, non avendo l’Impresa e il Comune stipulato un “accordo” sulla protezione dei dati nel corso di tale periodo e non essendo stati individuati dall’Impresa altri presupposti che potessero legittimare il trattamento dei dati personali in questione, l’Ufficio, con nota dell’XX (prot. n.XX), sulla base degli elementi acquisiti, ha notificato all’Impresa, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), e 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice), per aver posto in essere un trattamento di dati personali in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di un idoneo presupposto normativo.

Con la medesima nota, l’Impresa è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX, l’Impresa, nel rinviare a quanto già sostenuto con la nota del XX sopra citata, ha dichiarato, tra l’altro, che:

- “il periodo effettivo dell’irregolarità contestata non corrisponde all’intero intervallo del 04.03.2020 al 12.08.2020, ma ai soli 15/20 giorni di effettivo funzionamento del sistema di videosorveglianza”;

- “la Ermeslink ha operato in assoluta buona fede, ritenendo la propria nomina ad ausiliario di PG parificata e parificabile a quella di “responsabile esterno” o, comunque, legittima anche se in deroga alla normativa vigente in materia”;

- “i dati sono stati trattati solo ed esclusivamente dal sig. […], mentre nessun altro dipendente e/o addetto della Ermeslink ha avuto modo di accedervi, in ossequio proprio alla nomina di ausiliario di PG”;

- “la Ermeslink non ha operato autonomamente nel trattamento dei dati sensibili raccolti, ma sotto le direttive impartitele dal Comune […] e dal Comando di Polizia Municipale del Comune […], appunto quale ausiliario di quest’ultimo”;

- “la Ermeslink ha comunque rispettato tutti gli altri principi inerenti al trattamento dei dati sensibili raccolti, senza che li abbia replicati, diffusi, conservati oltre i termini disposti dal Comune […] e, comunque, utilizzando i dati raccolti solo per i fini per cui erano stati ripresi su richiesta dell’Ente e dell’Organo di polizia”;

- “il servizio per il predetto breve periodo è stato reso solo con 5 telecamere, usate in modo alternato (ognuno per 2 giorni), secondo le direttive impartite sempre dal Comune […] e/o dalla Polizia Municipale di Modica ed ha interessato solo alcune limitatissime zone del territorio comunale”;

- “[…] conformemente all’art. 32 del [Regolamento] ha sempre mantenuto parametri qualitativi alti inerenti la sicurezza delle reti e dell’infrastruttura, attivando una serie di misure volte a garantire la riservatezza e l’integrità dei dati sensibili raccolti dai propri clienti […]”.

3. Esito dell’attività istruttoria

Ai sensi della disciplina in materia di protezione dei dati personali, il trattamento di dati personali effettuato da soggetti pubblici (come il Comune di Modica) è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” [art. 6, par. 1, lett. c) ed e)]. La gestione dei rifiuti solidi urbani rientra tra le attività istituzionali affidate agli enti locali. Pur in presenza di una condizione di liceità, ad ogni modo, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati (art. 5 del Regolamento).

3.1 Il trattamento effettuato dall’Impresa

Ai sensi dell’art. 28 del Regolamento, il titolare (come sopra detto il Comune di Modica) può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”).

Il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 1 e 3 del Regolamento).

Come emerso nel corso dell’istruttoria il trattamento dei dati in esame, svolto dall’Impresa per conto del Comune, è stato avviato senza che il ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento, in quanto l’atto di nomina dell’impresa quale “ausiliario di PG” non soddisfa le caratteristiche dell’atto giuridico volto a regolamentare il rapporto con il Responsabile, non contenendo gli elementi previsti dall’art. 28 del Regolamento.

Non essendo stata individuata come responsabile del trattamento e non essendo stati indicati da parte della impresa specifici presupposti che abbiano legittimato il trattamento dei dati personali, si deve concludere che lo stesso è stato effettuato in assenza delle condizioni di liceità e quindi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice, essendosi configurata anche una comunicazione illecita di dati) come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie (cfr. provvedimento n. 161 del 17 settembre 2020, doc. web. 9461321; provvedimento n. 281 del 17 dicembre 2020, doc. web 9525315; provvedimento n. 292 del 22 luglio 2021, doc. web. 9698558; provvedimento n. 269 del 21 luglio 2022, doc. web. 9813326; provvedimento n. 293 del 22 luglio 2021, doc. web. 9698597; Linee guida “sui concetti di titolare e responsabile del trattamento nel GDPR” n. 07/2020, in particolare nota 35).

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dall’impresa negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dall’impresa, nonché dalle successive valutazioni, è stata accertata la non conformità dei trattamenti svolti per conto del Comune di Modica aventi ad oggetto la  gestione del sistema di videosorveglianza.

La violazione dei dati personali, oggetto dell’istruttoria, è avvenuta nella piena vigenza delle disposizioni del Regolamento e del Codice, come modificato dal d.lg.n.101/2018, e dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, avvenuta a partire dal mese di marzo 2020.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’impresa, in quanto esso è avvenuto in assenza di una condizione di liceità e, dunque, in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione dell’art. 5, par. 1, lett. a) del Regolamento e dell’art. 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 3, del Codice.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento ha avuto a oggetto i dati potenzialmente di tutti i residenti del Comune di Modica (circa 53.000 interessati) e non residenti (la cui entità non è quantificabile), in violazione del principio di “liceità, correttezza e trasparenza” cui all’art. 5, par. 1 lett. a) del Regolamento e in assenza di una condizione di liceità in violazione dell’art. 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice).

Di contro, si considera che la società ha operato, trattando dati personali per conto del Comune, in assenza di un valido contratto o altro atto giuridico ai sensi dell’art. 28 del Regolamento per un breve periodo (circa 6 mesi); si rileva inoltre il comportamento non doloso della violazione nonché l’assenza di precedenti violazioni a carico dell’impresa.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 5.000 per la violazione degli artt. 5 e 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice) quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) ed f) del Regolamento, rileva l’illiceità del trattamento effettuato dalla impresa individuale Ermeslink di Giovanni Di Stefano per la violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice), nei termini di cui in motivazione;

ORDINA

all’impresa individuale Ermeslink di Giovanni Di Stefano, con sede legale in via Passogatta n. 33, 97015, Modica (RG) - PI 06040360486 – di pagare la somma di euro 5.000 a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’impresa individuale Ermeslink di Giovanni Di Stefano di pagare la somma di euro 5.000 – in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9920645
Data
18/07/23

Argomenti

Videosorveglianza Informativa Enti locali Responsabile protezione dati Rifiuti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (3)