Videosorveglianza: ancora sanzioni ai comuni
I fatti
150mila euro e 200mila euro sono l’ammontare delle sanzioni rispettivamente al Comune di Taranto e ad AMIU Taranto S.p.A., per aver commesso una serie di violazioni che non rispettavano la vigente normativa in materia di dati personali.
Amiu Taranto S.p.a., l’azienda che si occupa dell’igiene urbana per il Comune di Taranto, ha installato sin dal 2012, affidandosi ad una società esterna ITS s.r.l., alcune fototrappole nei pressi dei cassonetti per lo smaltimento dei rifiuti solidi urbani.
Fino a qui nulla da ridire, infatti questo sistema di videosorveglianza è stato predisposto per poter perseguire al meglio i cittadini non rispettosi della normativa comunale sullo smaltimento dei rifiuti urbani.
Mancanza di una base giuridica e violazione dei principi
Il problema insorge quando AMIU Taranto S.p.A. decide di pubblicare i video dei trasgressori, seppur i volti sono stati opportunamente mascherati, sulle proprie pagine social.
Il Garante della Privacy nell’ordinanza emanata, afferma che la diffusione dei dati personali, riferiti o riferibili agli interessati, raccolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, può avvenire solamente se sia previsto da una norma di legge o da un regolamento.
Durante la fase istruttoria, Amiu non ha mai indicato quale sia questa normativa, perciò, il trattamento dei dati dei cittadini disonesti è avvenuto in violazione dei principi di liceità, correttezza e trasparenza (art.6 par.3, lett. B, GDPR). Inoltre, secondo l’autorità, è stato anche violato il principio di limitazione della finalità, dato che la diffusione delle immagini sui social network non risulta compatibile con le finalità in basi alle quali erano stati raccolti i dati trattati.
L’identificabilità dei trasgressori e il mascheramento dei volti
AMIU,poi, non ha mai adottato alcuna procedura sul mascheramento dei volti, né autorizzato i propri dipendenti ad eseguire dette operazioni, senza nemmeno formarli adeguatamente. Perciò, il personale eseguiva dette operazioni non solo senza gli opportuni permessi, ma anche sulla scorta della propria esperienza.
Il non disciplinamento delle responsabilità per il trattamento dei dati personali da parte del Comune
Il Comune di Taranto aveva adottato il 28 marzo 2012 l’ordinanza sindacale con la quale ha conferito ad AMIU i poteri di accertamento e contestazione degli illeciti amministrativi derivanti dalla violazione della normativa sullo smaltimento dei rifiuti, ma sino al 14 gennaio 2022, i ruoli privacy fra i due enti non erano stati disciplinati in alcun modo, Nonostante tale obbligo fosse previsto anche dalla normativa previgente. Dunque, l’Autorità ha ritenuto di multare anche il Comune, proprio perché non aveva disciplinato le responsabilità in merito al trattamento dei dati personali con AMIU.
La mancata nomina del DPO e l’insussistenza di una valutazione di impatto (DPIA)
AMIU, poi, ha saltato un passaggio fondamentale, violando l’art. 37 del GDPR, ovvero la nomina di un proprio responsabile per la protezione dei dati personali DPO (Data Protection Officer). Figura, quella del DPO, inspiegabilmente, sottovalutata nonostante ormai sia obbligatoria per le pubbliche amministrazioni.
Il DPO ha la funzione di affiancare titolare, addetti e responsabili del trattamento, affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del GDPR.
Altra grave mancanza è che il Comune di Taranto non ha svolto nessuna valutazione di impatto DPIA, obbligatoria secondo le recenti linee guida del Garante in materia di videosorveglianza.
L’informativa sul trattamento dei dati inesistente
Last but not least, altra motivazione sulla quale si è basata la sanzione comminata al Comune è che nel caso in cui si installi un sistema di videosorveglianza, si ha l’obbligo di esporre una informativa breve sul trattamento dei dati, la quale deve riportare anche le modalità per la consultazione dell’informativa dettagliata, cosa che, invece, il Comune aveva totalmente omesso.