[doc. web n. 9990706]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 101 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

ELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, un residente del Comune di Monterotondo (di seguito, il “Comune”) ha rappresentato che “nel centro del Comune [...] sono stati installati sul suolo pubblico tre distinti compattatori (cassonetti per la raccolta differenziata dei rifiuti domestici) per il conferimento dei rifiuti da parte dei privati cittadini” e che “ogni dispositivo è dotato di telecamere di sorveglianza collegate con il Comune […]”, lamentando che “i tre dispositivi sono sprovvisti di cartelli di segnaletica informativa generale posti prima del raggio d’azione delle telecamere”.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), il Comune, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“le Stazioni Ecologiche [in questione] sono 3 (tre) e sono attive dal mese di dicembre 2020[;]”;

“la dotazione dell’impianto di “alert di sicurezza”, scelta da APM [ovvero l’“Azienda Speciale a cui il Comune di Monterotondo ha demandato la completa gestione del servizio e della sua messa in sicurezza” – di seguito, “APM” o l’”Azienda”], si è resa indispensabile stante la particolarità dell’area in cui sono allocate, molto frequentata dalla micro-criminalità locale che da diverso tempo, ormai, mette in atto continui episodi di vandalismo ma soprattutto per la messa in sicurezza degli impianti, assai costosi”;

“all’APM è stata formalizzata una specifica “Autorizzazione preventiva ai sensi dell'art. 8, comma 3 del regolamento per l'esercizio del controllo analogo richieste A.P.M. prot. XX, XX, XX” con Delibera di Giunta Comunale n. XX del XX[…] nell’ambito della quale figura (previa richiesta prot. XX del XX, assunta al prot. dell'Ente al n. XX del XX) l’autorizzazione specifica per l’attivazione della seguente procedura: “Fornitura, posa in opera e installazione di n. 3 stazioni ecologiche informatizzate per il conferimento differenziato dei rifiuti, mediante affidamento diretto, ai sensi dell’art. 36 c. 2 lett. b) del del D.Lgs. 50/2016 e ss.mm.ii.” […]. L’APM assume il ruolo di “Responsabile […] del Trattamento” e come tale è stato indicato nella nomina […]”;

“il comune di Monterotondo ha chiesto ad APM di apporre, cautelativamente, un’adeguata cartellonistica esplicativa del “potenziale” trattamento […]”.

In una nota di APM, allegata al riscontro fornito dal Comune, l’Azienda ha dichiarato, in particolare, che:

“nel mese di dicembre 2020 APM […] previa autorizzazione disposta dalla Giunta Comunale (DGM n. XX del XX), ha reso funzionanti n. 3 Stazioni Ecologiche, per la raccolta differenziata dei rifiuti, […] allocate nel Centro storico comunale”;

“le predette Stazioni Ecologiche sono dotate ciascuna di 4 dispositivi di ripresa “di sicurezza” funzionanti per mezzo di rilevatori di movimento, per consentire una verifica diurna e notturna limitata ad eventi rilevanti […]”;

“le finalità della dotazione di detti dispositivi devo ricondirsi essenzialmente ad una specifica funzione che è quella di “alert di sicurezza” indirizzate a: A) evitare/limitare […] danni all’ambiente urbano circostante e alle persone, conseguente questo ad eventuali fenomeni, quali ad esempio incendio o combustione di rifiuti contenuti all’interno delle stazioni ecologiche; B) evitare quanto più possibile rischi di danni agli utenti conferitori dei rifiuti, questi in conseguenza di eventuali malfunzionamento delle componenti meccaniche delle stazioni ecologiche”;

“i dispositivi installati hanno una capacità di memorizzazione limitata ad un massimo di 24/30 ore superate le quali le immagini si sovrascrivono e le impostazioni […] sono state dimensionate per registrare movimenti della durata di 15’’ (al massimo)”.

In riscontro a un’ulteriore richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), il Comune, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“il Comune ha proceduto a comunicare ad APM di interrompere il trattamento, almeno in attesa della definizione del […] procedimento e che, pertanto, ad oggi, l'impianto è stato spento ed è in procinto di essere rimosso”;

“i dispositivi di ripresa sono dotati di sensore di movimento PIR, sensore crepuscolare,  illuminatore con LED IR a 850 nm. Il sensore PIR permette di registrare una foto in movimento (settaggio effettuato appositamente per fotogrammi della durata di max 15" consecutivi ciascuno) solamente quando viene rilevato un movimento […]. Il sistema PIR non è in grado di distinguere atti di conferimento da atti vandalici, ma si attiva solamente nel campo visivo dell'obiettivo e  quindi in strettissima prossimità della Stazione Ecologica”;

“le immagini vengono registrate per un massimo di 15" su SD card posta all'interno del dispositivo di ripresa (memoria locale). Non è possibile visualizzare istantaneamente quanto ripreso da alcuno. Si evidenzia che, fino ad oggi non c'è mai stata la necessità di visualizzare le immagini registrate in quanto non si sono mai verificati episodi di vandalismo ai danni delle stazioni ecologiche”;

“il dispositivo non permette l'uso di crittografia ma, una volta estratta la SD CARD dal dispositivo, si può accedere alle immagini ivi contenute solo tramite autenticazione mediante account e password. Non sono state adottate ulteriori misure tecniche e/o organizzative da parte dell’Ente”;

con riguardo al contratto sulla protezione dei dati stipulato con APM, “in realtà la data del documento è rappresentata dal numero del protocollo di uscita (XX del XX) mentre si conferma che risulta privo di sottoscrizione da parte di APM. [Il Comune ha] proceduto ad aggiornare anche tale nomina […]”;

Successivamente, con nota del XX (prot. n. XX), il Comune ha depositato in atti una nota di APM (prot. n. XX del XX), con la quale la stessa ha confermato di aver disinstallato dispositivi video in questione.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver l’Azienda:

in quanto responsabile del trattamento, che agiva per conto e nell’interesse del Comune, titolare del trattamento, nell’ambito di un’attività da questo esternalizzata, omesso di stipulare con il Comune un contratto sulla protezione dei dati, nonché per aver stipulato con il Comune, in data XX, un contratto sulla protezione dei dati non conforme ai requisiti previsti dalla normativa in materia di protezione dei dati, in violazione dell’art. 28, parr. 3 e 9, del Regolamento;

omesso di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione dell’art. 32 del Regolamento.

Con la medesima nota, l’Azienda è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Azienda ha presentato una memoria difensiva, dichiarando, in particolare, che:

“l’Azienda […] è un Ente strumentale del Comune […] come previsto dall’art.23 della Legge 8 giugno 1990 n.142 e successive modificazioni e integrazioni (Ordinamento delle Autonomie Locali)”;

“nel mese di XX, a seguito di Procedura ad Evidenza Pubblica, previa aggiudicazione a seguito di valutazione e autorizzazione disposta dalla Giunta Comunale (DGM n. XX del XX), APM aveva successivamente reso funzionanti nel mese di marzo 2021 n. 3 stazioni ecologiche per la raccolta differenziata dei rifiuti dotate di n.4 dispositivi totali di ripresa di sicurezza che si attivavano solo attraverso specifici rilevatori di movimento”;

“[l’] attività […] è iniziata […] nel mese di marzo 2021, e successivamente interrotta mediante disattivazione, disinstallazione e smontaggio degli apparati nel mese di giugno 2022, quindi da tale data non vi è stato più alcun trattamento”;

“il sistema, altresì, in tale arco di tempo non ha prodotto “alert di sicurezza” tali per cui, per le finalità sopra menzionate, si sarebbe reso necessario accedere ai dati prodotti dai dispositivi di ripresa”;

l’Azienda “nonostante la mancata formalizzazione dell’atto di nomina, ha comunque sempre effettuato le attività ottemperando al servizio assegnato mediante Procedura di evidenza Pubblica, nel rispetto della riservatezza degli interessati, secondo le istruzioni ricevute oralmente dal Titolare”;

“nonostante il mancato o tardivo adempimento all’obbligo di stipula di un contratto, il Responsabile del trattamento ha sempre osservato tutti gli elementi obbligatori di cui all’articolo 28 del Regolamento ed alle istruzioni fornite dal Titolare del trattamento”;

“l’atto giuridico pertinente, ovvero la nomina sottoscritta in data XX, ha vincolato il responsabile del trattamento nei confronti del titolare in quanto, in ogni caso, seppur con un richiamo “sic et simpliciter” alla norma che ne costituisce il contenuto essenziale, ha posto obblighi vincolanti in capo al responsabile del trattamento”;

“gli elementi quali la natura del trattamento, la finalità, il tipo di dati e le categorie di interessati, seppur non esplicitati, erano noti alle parti per via della Procedura ad evidenza Pubblica e del relativo contratto di fornitura sottoscritto dalle parti”;

“anche il principio di “Integrità e riservatezza” di cui all’art. 5, par. 1, lett. f) del Regolamento Europeo risulta rispettato, in quanto, le riprese, erano potenzialmente accessibili solo a seguito di accesso con username e password di cui erano dotate esclusivamente le persone autorizzate”;

“quanto alle misure tecniche, seppur mancante della citata cifratura, la sicurezza del sistema di videosorveglianza installato comprendeva sia la sicurezza fisica di tutti i componenti del sistema che il controllo dell’accesso ai dati di registrazione”;

“i dati registrati dalle telecamere venivano salvati sulla scheda di memoria di cui le telecamere stesse erano dotate e la stessa era installata in un vano inaccessibile della scocca della telecamera”;

“in particolare, alla scheda di memoria era possibile accedervi solo per attività tecnico manutentive che avrebbero in ogni caso comportato diversi e complicati passaggi quali: lo smontaggio della telecamera dall’apposito sistema di fissaggio (mediante scala ed attrezzi dedicati); la successiva apertura del vano batteria; la rimozione del pacco batteria ed infine l’estrazione del supporto di memoria”;

“trattandosi di supporto unico vincolato alla propria struttura formante unico blocco, ogni telecamera era dotata quindi di sicurezza fisica per tutti i componenti del sistema, nonché integrità del sistema, vale a dire protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento”;

“in particolare, nel caso di tentativo di manomissione della scheda o degli apparati, era previsto un apposito sistema di alert al quale avrebbe fatto seguito un blocco immediato della scheda e, conseguentemente, un’interruzione del trattamento”;

“in tema di misure di sicurezza tecniche il sistema informatico era dotato di accesso solo mediante attivazione di utenze con username e password”;

“la sicurezza del sistema e dei dati vale a dire la protezione da interferenze volontarie e involontarie nel suo normale funzionamento, ha altresì compreso misure quali: protezione della trasmissione di filmati attraverso canali di comunicazione sicuri a prova di intercettazione;(ed invero non vi era alcun invio o trasmissione dei filmati. Questi venivano messi a disposizione del Titolare del trattamento mediante accesso all’applicativo con username e password nominativi)”;

“il controllo degli accessi ha garantito che solo le persone autorizzate potessero accedere al sistema e ai dati in locali ed uffici protetti da accessi di terzi non autorizzati”.

3. Esito dell’attività istruttoria.

3.1 Il trattamento di dati personali posto in essere dal Comune, quale titolare del trattamento, e dall’Azienda, quale responsabile del trattamento.

Sulla base di quanto emerso nel corso dell’istruttoria, risulta accertato - e non è controverso - che il Comune, titolare del trattamento, avvalendosi del supporto di APM, che agiva quale responsabile del trattamento, ha posto in essere un trattamento di dati personali, dal mese di XX al XX (v. nota dell’Azienda del XX, prot. n. XX, in atti), mediante l’impiego di dispositivi video installati in prossimi di tre stazioni ecologiche (quattro dispositivi per ciascuna stazione), al fine di prevenire e individuare atti di vandalismo o eventi rilevanti per la sicurezza degli impianti o per l’incolumità degli utenti.

I dispostivi in questione, che si attivavano per effetto di sensori di movimento, avevano una capacità di memorizzazione limitata a un massimo di ventiquattro/trenta ore, superate le quali le immagini si sovrascrivevano automaticamente, potendo registrare di volta in volta, sia di giorno sia di notte, immagini, relative a un’area circoscritta a un metro e mezzo di distanza dall’impianto, della durata massima di quindici secondi, su una memoria di tipo “secure digital” (SD), collocata all’interno di ciascun dispositivo video.

3.2 I rapporti con il responsabile del trattamento

Ai sensi dell’art. 28, par. 3, del Regolamento, “i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del 26 diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento, che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”, e che preveda tutti gli impegni previsti dal medesimo art. 28, par. 3, del Regolamento (cfr. cons. 81 del Regolamento).

Il contratto o il diverso atto giuridico devono essere “stipulato in forma scritta, anche in formato elettronico” (art. 28, par. 9, del Regolamento).

Nel caso di specie, il Comune, in qualità di titolare del trattamento, ha esternalizzato ad APM l’attività di installazione e gestione dei dispositivi in questione, affidando alla stessa il trattamento delle immagini riprese, senza, tuttavia, previamente stipulare un contratto sulla protezione dei dati ai sensi dell’art. 28 del Regolamento.

Il contratto sulla protezione dei dati predisposto dal Comune, acquisito al protocollo dello stesso n. XX del XX, e depositato in atti nel corso dell’istruttoria, risulta, infatti, sottoscritto unicamente dal Comune. Al riguardo, il Comune ha, infatti, dichiarato che APM non ha a sua volta provveduto alla sottoscrizione “per mera dimenticanza” (v. nota del XX, prot. n. XX, acquisita agli atti nell’ambito del separato ma connesso procedimento avviato nei confronti del Comune).

Soltanto in data XX, ovvero successivamente all’avvio dell’istruttoria da parte dell’Autorità e pochi giorni prima della data in cui è cessato il trattamento (v. la nota di APM del XX, prot. n. XX), APM ha sottoscritto un contratto sulla protezione dei dati con il Comune, acquisito al protocollo dell’Ente del XX (n. XX).

Ciò premesso, si osserva che, come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’”articolo 28, paragrafo 9, del [Regolamento]”.

Considerato che “sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”, l’autorità di controllo compente “potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, par. 103).

Pertanto, laddove, come nel caso di specie, sussista “un rapporto titolare-responsabile del trattamento […] anche in assenza di un [valido] accordo di trattamento per iscritto” - in quanto il soggetto che tratta i dati effettua in concreto il trattamento non per proprie finalità ma per conto del soggetto committente, nell’ambito di un’attività da questi esternalizzata e nell’esecuzione di un contratto di servizi o di altro analogo rapporto giuridico in essere tra le parti (cfr. la definizione di “responsabile del trattamento” di cui all’art. 4, par. 1, n. 8, del Regolamento) - “ciò implic[a] […] una violazione dell’articolo 28, paragrafo 3, del [Regolamento]” (ibidem, par. 103).

L’Azienda, che – in quanto azienda speciale ed ente strumentale del Comune, costituita ai sensi della l. 142/1990, anche per la gestione dei servizi di igiene urbana - agiva in concreto in qualità di responsabile del trattamento con riguardo alle immagini raccolte mediante i dispositivi video oggetto di reclamo, ha, invece, omesso, fino al XX, di stipulare un contratto sulla protezione dei dati con il Comune, in violazione dell’art. 28, parr. 3 e 9, del Regolamento.

Ciò fermo restando, si rileva che il contratto sulla protezione dei, dati tardivamente stipulato tra le parti in data XX, non era, comunque, idoneo a soddisfare i requisiti previsti dalla normativa europea in materia di protezione dei dati.

Esso si limitava, infatti, a riportare pedissequamente le previsioni richieste dall’art. 28, par. 3, del Regolamento, senza fare alcun riferimento, in concreto, allo specifico trattamento di dati personali affidato dal titolare al responsabile (ovvero la gestione delle immagini acquisite mediante i dispositivi video in questione) e senza che il titolare, ovvero il Comune, avesse impartito al responsabile, ovvero ad APM, in sede di contratto sulla protezione dei dati, alcuna specifica istruzione in merito al trattamento, anche con riguardo alle specifiche misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio, che il responsabile avrebbe dovuto adottare in tale contesto.

Il contratto sulla protezione dei dati stipulato tra il titolare e il responsabile “dovrebbe [, invece,] non già meramente ribadire le disposizioni del [Regolamento], bensì prevedere informazioni più specifiche e concrete sul modo in cui saranno soddisfatti i requisiti e sul livello di sicurezza previsto per il trattamento dei dati personali oggetto dell’accordo”. Pertanto, “il contratto tra le parti dovrebbe essere redatto tenendo conto della specifica attività di trattamento dei dati”, disciplinando, in particolare: “l’oggetto del trattamento […] con specifiche sufficienti affinché l’oggetto principale del trattamento sia chiaro”; “la durata del trattamento”; “la natura del trattamento: il tipo di operazioni eseguite nell’ambito del trattamento (ad esempio: «ripresa», «registrazione», «archiviazione di immagini» ecc.) e la finalità del trattamento […]”, fermo restando che, “tale descrizione dovrebbe essere la più completa possibile, a seconda dell’attività di trattamento specifica, in modo da consentire a soggetti esterni (ad esempio le autorità di controllo) di comprendere il contenuto e i rischi del trattamento affidato al relativo responsabile”; “la tipologia di dati personali [, con la precisazione che] questo elemento dovrebbe essere specificato nel modo più dettagliato possibile”; “le categorie di interessati [, con la precisazione che] anche questo aspetto dovrebbe essere indicato in modo piuttosto specifico” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., sez. 1.3).

Né è possibile ricavare altrimenti tali elementi da una lettura congiunta tra il contratto sulla protezione dei dati e altri accordi in essere tra le parti, atteso che nel contratto sulla protezione dei dati in questione non vi è alcun richiamo – nemmeno per relationem – all’atto che disciplina il sottostante rapporto di fornitura che legava il Comune all’Azienda. Nella premessa del contratto sulla protezione dei dati si afferma, infatti, del tutto genericamente, che “il Comune di Monterotondo, in qualità di Titolare del trattamento dei dati si avvale delle Vostre prestazioni sulla base di uno specifico rapporto contrattuale in essere e pertanto, a tale titolo, la Vostra azienda svolge il ruolo di "Responsabile del trattamento", potendosi, pertanto, il contratto sulla protezione dei dati astrattamente riferire a una pluralità di contratti di fornitura di servizi o altri atti giuridici non oggettivamente individuabili.

Pertanto, il contratto sulla protezione dei dati stipulato in data XX tra il Comune e APM non può ritenersi conforme ai requisiti previsti dalla normativa in materia di protezione dei dati, avendo, pertanto, l’Azienda agito, nel periodo di tempo intercorrente tra il XX e il XX, data in cui i dispostivi video in questione sono stati disattivati, in violazione dall’art. 28, par. 3, del Regolamento.

3.3 La sicurezza del trattamento

L’art. 5, par. 1, lett. f), del Regolamento stabilisce che i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di “integrità e riservatezza”).

In applicazione di tale principio, l’art. 32 del Regolamento, concernente la sicurezza del trattamento, prevede che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2) (cfr. cons. 83 del Regolamento).

Ciò premesso, si rileva che l’Azienda ha dichiarato che “quanto alle misure tecniche, seppur mancante della citata cifratura, la sicurezza del sistema di videosorveglianza installato comprendeva sia la sicurezza fisica di tutti i componenti del sistema che il controllo dell’accesso ai dati di registrazione”.

Nonostante le immagini riprese dai dispositivi video in questione venissero memorizzate in locale su un supporto di memoria astrattamente rimovibile da chiunque, l’Azienda non ha dunque adottato tecniche di cifratura dei dati (cfr. art. 32, par. 1, lett. a), del Regolamento) o altre tecniche comunque idonee a prevenire il rischio di accesso non autorizzato alle immagini registrate prima dell’eventuale prelievo del supporto di memoria da parte degli incaricati e del riversamento dei dati su sistema informatico con accesso protetto mediante nome utente e password.

Come, infatti, dichiarato dall’Azienda, i filmati registrati nella memoria “venivano messi a disposizione del Titolare del trattamento mediante accesso all’applicativo con username e password nominativi”; pertanto, l’autenticazione mediante nome utente e password riguardava l’applicativo informatico in uso al Comune per la visualizzazione delle immagini e non già la scheda di memoria stessa che, ove rimossa da terzi non autorizzati, avrebbe consentito l’accesso ai filmati registrati, non cifrati, senza alcuna previa autenticazione.

Quanto alla tesi difensiva, in base alla quale, “nel caso di tentativo di manomissione della scheda o degli apparati, era previsto un apposito sistema di alert al quale avrebbe fatto seguito un blocco immediato della scheda e, conseguentemente, un’interruzione del trattamento”, si osserva che ciò non avrebbe in ogni caso avuto effetto sulle immagini già registrate nella predetta memoria, comportando la sola interruzione delle successive attività di registrazione.

Anche la circostanza che tale memoria fosse “installata in un vano inaccessibile della scocca della telecamera”, seppur idonea a mitigare i possibili rischi di accessi non autorizzati, non consentiva comunque di escludere del tutto gli stessi. L’accesso avrebbe, infatti, “comportato diversi e complicati passaggi” ma sarebbe stato comunque astrattamente possibile.

Per tali ragioni, risulta accertato che, in relazione al trattamento delle immagini raccolte mediante i dispositivi video oggetto di reclamo, l’Azienda ha omesso di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione dell’art. 32 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva il mancato rispetto della normativa in materia di protezione dei dati, per aver l’Azienda trattato dati personali, in qualità di responsabile del trattamento, mediante dispositivi video, in violazione degli artt. 28, parr. 3 e 9, e 32 del Regolamento.

Ciò premesso, tenuto conto che:

sebbene il trattamento abbia riguardato un numero considerevole di interessati (stimati dal Comune in circa 1.000 soggetti) e si sia protratto per un considerevole lasso temporale, ovvero dal mese di XX al XX, i dispositivi video impiegati dal APM, per conto del Comune, non erano idonei a comportare un monitoraggio sistematico dell’area sottoposta a controllo (atteso che gli stessi si attivavano solo in caso di rilevazione di movimento, effettuando registrazioni della durata massima quindici secondi) e, come dichiarato dall’Azienda, le immagini registrate non sono state mai visionate e utilizzate in conseguenza di eventi rilevanti per la sicurezza degli impianti e degli utenti (cfr. art. 83, par. 2, lett. a), del Regolamento);

ancorché il Comune e APM non avessero formalmente stipulato un contratto sulla protezione dei dati, APM, azienda speciale del Comune, sottoposta a controllo analogo ed ente strumentale dell’Ente, aveva stipulato un contratto di servizio con il Comune, il quale aveva predisposto e sottoscritto un accordo sulla protezione dei dati, che solo per mera dimenticanza non è stato controfirmato da APM (cfr. art. 83, par. 2, lett. a), del Regolamento);

sebbene i filmati venissero salvati su una memoria rimovibile, senza l’adozione di tecniche di cifratura, è ragionevole ritenere che, tenuto conto dell’occasionalità e della brevità delle registrazioni effettuate (durata massima di quindici secondi), nonché della circostanza che le stesse riprendevano aree pubbliche, la probabilità avvenissero tentativi di rimozione non autorizzata, che avrebbero comportato complesse attività di manomissione dei sistemi, non fosse alta (cfr. art. 83, par. 2, lett. a), del Regolamento);

la violazione ha carattere colposo, essendo originata da errate valutazioni dell’Azienda (cfr. art. 83, par. 2, lett. b), del Regolamento);

la violazione non ha riguardato categorie particolari di dati personali o dati personali relativi a condanne penali e reati (cfr. art. 83, par. 2, lett. g), del Regolamento);

l’Azienda ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento), essendosi, altresì, attivata, assieme al Comune, per porre fine alla violazione (v. la nota del Comune, prot. n. XX del XX, in atti, con la quale l’Ente, a seguito della prima richiesta d’informazioni dell’Autorità, ha chiesto ad APM di “apporre, cautelativamente, un cartello/informativa breve sulla videosorveglianza nelle vicinanze delle tre Stazioni Ecologiche […], nonché un’informativa estesa sul Vostro sito istituzionale”, nonché la successiva nota del XX, prot. n. 22831, in atti, con la quale è stato chiesto ad APM di “interrompere, cautelativamente, ogni trattamento riguardante la videosorveglianza e lo smontaggio di tutti i sistemi di ripresa ivi allocati” (v. nota del XX, in atti), che ha poi confermato all’Ente di aver provveduto in tal senso (v. nota dell’Azienda del XX, prot. n. XX, in atti);

non risultano precedenti violazioni pertinenti commesse dall’Azienda (cfr. art. 83, par. 2, lett. e), del Regolamento),

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire l’Azienda per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che i dispositivi video in questione sono stati disinstallati, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dall’Azienda Pluriservizi Monterotondo (APM), in persona del legale rappresentante pro-tempore, con sede legale in Piazza R. Baden Powell, 1 - 00015 Monterotondo (RM), C.F. 05843451005, per violazione degli artt. 28, parr. 3 e 9, e 32 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Azienda Pluriservizi Monterotondo (APM), quale responsabile del trattamento in questione, per aver violato gli artt. 28, parr. 3 e 9, e 32 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei