[doc. web n. 10144974]

Provvedimento del 29 aprile 2025

Registro dei provvedimenti
n. 244 del 29 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato in data XX ai sensi dell’art. 77 del Regolamento, il sig. XX ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali, riguardante la ricezione di un verbale di contestazione dell’infrazione dell’art. 80 del D.Lgs. 30 aprile 1992, n. 285 (“Nuovo Codice della Strada”, o “C.d.S.”) accertata mediante sistema video, da parte del Comune di Noli (di seguito, il “Comune”).

In particolare, l’interessato ha lamentato l’omissione di apposita cartellonistica informativa in merito alla presenza di sistemi elettronici di rilevazione automatizzata delle violazioni nel tratto di strada percorso, nonché il mancato oscuramento, nell’immagine attestante l’infrazione rilevata, dei volti dei soggetti a bordo del veicolo.

2. L’attività istruttoria

In risposta ad una richiesta di informazioni dell’Autorità (prot. n. XX del XX) ai sensi dell’art. 157 del Codice, con nota del XX prot. n. XX), il Comune ha dichiarato, in particolare, che:

“La violazione notificata al soggetto istante è una violazione dell’art. 80 c.d.s.. L’accertamento di tale violazione è stato effettuato conformemente alla Circolare Ministero dell'Interno prot. XX del XX ovvero, trattandosi di apparecchiatura non omologata o approvata, è stata utilizzata quale supporto per la documentazione della violazione […] da parte di un operatore di polizia impossibilitato a fermare tempestivamente il veicolo in transito”;

“I primi segnali che preavvisano la possibile presenza di apparecchiature di videosorveglianza sulla SS 1 Aurelia sono […] collocati al di sotto del segnale di inizio del territorio comunale […] Anteriormente al mese di XX il cartello […]  si trovava posizionato sulla SS 1 Aurelia km 588, mentre successivamente (e ancora attualmente) è stato ricollocato sulla SS 1 Aurelia km 587+950 circa. [..Un altro cartello] ha quella collocazione almeno dal mese di XX. Per quanto attiene al cartello posizionato in prossimità dell’apparecchiatura XX, questo è posizionato […]  sulla SS 1 Aurelia km 589+III, sul lato mare, in prossimità del distributore di carburante. Il Servizio di Polizia Locale si è attivato per procedere nel più breve tempo possibile alla sostituzione della segnaletica di videosorveglianza secondo il modello stabilito dall’Autorità […]”;

“L’informativa completa di secondo livello, […], è resa disponibile tramite un link presente nella parte inferiore della homepage del sito istituzionale […] almeno dal giorno XX”;

“Il servizio MulteOnline (https://noli.multeonline.it/) è fornito […] nell’ambito del servizio di gestione delle violazioni amministrative. In un’ottica di trasparenza, tale servizio consente, a condizione di inserire la data dell’infrazione, la targa del veicolo sanzionato e il numero di violazione, di poter visionare gli atti legati alla violazione e, come nel caso di specie, anche i fotogrammi, purtroppo, non oscurati. Il Servizio si è attivato per ovviare all’irregolare presenza di fotogrammi non oscurati su tale servizio, ricercando un software idoneo per l’oscuramento delle immagini in forma automatizzata e nelle more di questo tramite la rimozione dei fotogrammi dal servizio MulteOnline. Pertanto l’interessato che voglia ottenere i fotogrammi della violazione, qualora disponibili, dovrà farne richiesta diretta al Servizio, il quale provvederà alla trasmissione dopo aver oscurato gli eventuali occupanti”.

In risposta ad una ulteriore richiesta di informazioni dell’Autorità (prot. n. XX del XX), con note del XX (prot. nn. XX e XX), il Comune ha dichiarato, in particolare, che:

“si sta procedendo all’individuazione di un operatore economico per la fornitura di idonei cartelli di preavviso conformi alle linee guida”;

“allo stato attuale non è stata ancora individuata una soluzione software che consenta l’automatico oscuramento delle immagini. Nelle more si è provveduto a non rendere direttamente accessibili fotogrammi inerenti la violazione sul servizio MulteOnline: pertanto l’interessato che voglia ottenere detti fotogrammi, qualora effettivamente disponibili, dovrà farne richiesta diretta al Servizio, il quale provvederà alla trasmissione dopo aver oscurato gli eventuali occupanti (e altri soggetti e targhe di veicoli estranei), nel rispetto delle norme sull’accesso ai dati personali trattati”.

Con riferimento alla condotta del Comune, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato allo stesso, in data XX (prot. n. XX) ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito in maniera non conforme al principio di “liceità, correttezza e trasparenza” e all’obbligo che impone al titolare del trattamento di rendere agli interessati una preventiva informativa, nonché al principio di “minimizzazione”, per non essersi dotato di misure che consentano l’automatico oscuramento dei soggetti e delle informazioni estranee all’infrazione al CdS nelle immagini raccolte dai dispositivi foto/video utilizzati, in violazione degli artt. 5, par. 1, lett. a) e c), 12 e 13 del Regolamento.

Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX (prot. XX), cui si rinvia integralmente, il Comune ha dichiarato in particolare, che:

“La violazione ha un carattere esclusivamente colposo in quanto non era conosciuto dallo scrivente, […], che i fotogrammi caricati sul programma di gestione della verbalizzazione (e conservati per le sole finalità del procedimento sanzionatorio stesso) venissero anche direttamente importati e resi visionabili tramite il portale MulteOnline, sebbene dovendo inserire la data dell’infrazione, la targa del veicolo sanzionato e il numero di violazione”;

“Il Servizio si è attivato immediatamente per ovviare all’irregolare presenza di fotogrammi non oscurati sul portale MulteOnline, dapprima disabilitando l’importazione automatica di detti fotogrammi sul portale e ricercando un software idoneo per l’oscuramento delle immagini in forma automatizzata. Dopo aver contattato direttamente […il fornitore] dell’omonima apparecchiatura di rilevazione dei transiti della piattaforma software a essa collegata, non è stato possibile individuare un software che potesse operare su di essa al momento dell’esportazione dei fotogrammi. Pertanto, la soluzione individuata dallo scrivente è, […] la disabilitazione dell’importazione automatica dei fotogrammi, garantendone, qualora presenti, l’accesso agli aventi diritto tramite richiesta diretta al Servizio, il quale provvederà alla trasmissione solo dopo aver verificato l’effettivo diritto a richiederli e avendo cura di oscurare gli eventuali occupanti o soggetti e riferimenti estranei alla violazione”;

“Tutti gli addetti al Servizio sono edotti circa la delicatezza del tema del trattamento dei dati, in particolare quelli riferiti alle immagini riprese dall’impianto di videosorveglianza. Ulteriormente lo scrivente si impegna, compatibilmente con le risorse a disposizione, alla progressiva formazione del personale addetto in tema di protezione e gestione dei dati personali acquisiti per ragioni di servizio. Con deliberazione della Giunta comunale n. 93 del 15/11/2019 il Comune si è dotato di un modello organizzativo, con delibera della Giunta comunale n. XX del XX il Comune si è dotato di una procedura per la gestione delle violazioni di dati personali e con delibera del Consiglio comunale n. XX del XX il Comune si è dotato di una procedura per la gestione delle istanze di esercizio dei diritti riconosciuti all'interessato dal RGPD”;

"Ha, inoltre, recepito l’invito all’adeguamento della cartellonistica di preavviso di “area videosorvegliata” e proceduto all’acquisto di n. 50 cartelli di “area videosorvegliata” e disposto la progressiva installazione sul territorio comunale, con attenzione particolare, ovviamente, a tutte quelle zone nelle quali sia attualmente attivo un impianto di videosorveglianza comunale”.
Il Comune non ha chiesto di essere audito.

3. Esito dell’attività istruttoria.

3.1. La normativa applicabile in materia di protezione dei dati personali.

In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici possono trattare i dati personali degli interessati se il trattamento è necessario, in generale, per adempiere a specifici obblighi o compiti previsti da leggi (artt. 6, paragrafo 1, lett. c), del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. e) e paragrafi 2 e 3 del Regolamento; nonché art. 2-ter del Codice). Tali criteri di liceità si applicano, altresì, nel caso di impiego di sistemi di videosorveglianza da parte di soggetti pubblici (cfr. par. 41 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020; si vedano, altresì, le FAQ del Garante in materia di videosorveglianza, doc. web n. 9496574).

Il titolare del trattamento è tenuto altresì, in ogni caso, a rispettare i principi in materia di protezione dei dati personali, fra cui quello di “liceità, correttezza e trasparenza”, in base al quale i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e quello di “minimizzazione”, in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).

3.2. L’informativa agli interessati.

Alla luce del suddetto principio di trasparenza, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato tutte le informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12, par. 1, del Regolamento).

In particolare, allorquando siano impiegati dispositivi di ripresa foto/video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” cit. in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; da ultimo, v. le FAQ del Garante in materia di videosorveglianza, doc. web n. 9496574, n. 4; cfr., altresì, provv. ti 19 dicembre 2024, n. 805, doc. web n. 10107263, 12 dicembre 2024, n. 766, doc. web n. 10102334, , 11 gennaio 2024, n. 5, doc. web n. 9977020; 18 luglio 2023, n. 312, doc. web n. 9920578; 20 ottobre 2022, n. 341, doc. web n. 9831369; 28 aprile 2022, n. 162, doc. web n. 9777974, 7 aprile 2022, n. 119, doc. web n. 9773950; 16 settembre 2021, n. 327, doc. web n. 9705650 e 11 marzo 2021, n. 90, doc. web n. 9582791).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (Linee guida del Comitato, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale, senza alcuna registrazione di dati o trasmissione a soggetti terzi (Linee guida del Comitato, cit., par. 115).

La segnaletica di avvertimento di primo livello deve contenere inoltre un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Nel corso dell’istruttoria è emerso che dal mese di XX (mese in cui è stato sottoscritto il contratto di fornitura del sistema di rilevamento delle infrazioni semaforiche XX), il trattamento risulta essere effettuato in violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett a) e dell’obbligo che impone al titolare del trattamento di rendere agli interessati una preventiva informativa, secondo quanto previsto dagli artt. 12 e 13 del Regolamento. Ciò in quanto i cartelli informativi installati all’epoca dei fatti non erano sufficienti a rendere edotti i soggetti ripresi in merito ai trattamenti effettuati mediante i dispositivi video in questione, atteso che gli stessi non erano stati collocati correttamente in prossimità dell’area di ripresa di tali dispositivi e non indicavano alcuni elementi minimi cd. essenziali (ad es. titolare del trattamento, finalità), né contenevano riferimenti rispetto a dove reperire le “informazioni di secondo livello”.

Per quanto concerne gli aggiornamenti effettuati dal Comune in corso d’istruttoria a seguito delle richieste d’informazioni inviate da parte dell’Autorità deve evidenziarsi che dagli accertamenti effettuati dall’Ufficio, l'informativa di secondo livello non risulta essere facilmente, reperibile dagli interessati nel sito web istituzionale del Comune (https://www.comune.noli.sv.it/it). Sul punto, si segnala in primo luogo che sia “nella parte inferiore della homepage del sito istituzionale” che nella sezione “Privacy” dello stesso è presente l’informativa inerente i trattamenti effettuati nell’ambito della navigazione del sito web. Per reperire l’informativa specifica in merito al trattamento in esame, è necessario cliccare, nella medesima sezione, al link (https://privacy.nelcomune.it/comune.noli.sv.it), che rimanda ad un’ulteriore pagina (https://privacy.nelcomune.it/comune.noli.sv.it) in cui sono presenti numerose informative relative a distinti trattamenti di dati personali, tra le quali l’informativa videosorveglianza, che  non risulta reperibile in altre sezioni del sito web istituzionale, quali la sezione “Mobilità e Trasporti”,  “Servizi di Polizia Locale” e “Polizia locale – modulistica”.

In ragione delle considerazioni che precedono, risulta accertato che il Comune ha operato, pertanto, in violazione del principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a) del Regolamento) nonché degli artt. 12, par. 1 e 13, parr. 1 e 2 del Regolamento.  

3.3 Il principio di minimizzazione

Il titolare del trattamento è tenuto al rispetto dei principi in materia di protezione dei dati personali tra cui quello di “minimizzazione” (art. 5, par. 1, lett. c) in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Sul punto già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010 citato prevedeva che “deve essere effettuata una ripresa del veicolo che non comprenda o, in via subordinata, mascheri, per quanto possibile, la porzione delle risultanze video/fotografiche riguardanti soggetti non coinvolti nell´accertamento amministrativo (es., pedoni, altri utenti della strada)” e che “la visione della documentazione video-fotografica deve essere resa disponibile a richiesta del destinatario del verbale; al momento dell´accesso, dovranno essere opportunamente oscurati o resi comunque non riconoscibili i passeggeri presenti a bordo del veicolo” (punto 5.3.1).

Si ricorda inoltre che anche il D.M. 11 aprile 2024, concernente le “Modalità di collocazione e uso dei dispositivi o mezzi tecnici di controllo, finalizzati al rilevamento a distanza delle violazioni delle norme di comportamento di cui all'art. 142 del decreto-legge 285 del 1992”, prevede che “allo scopo di consentire all'intestatario del veicolo che, ai sensi dell'art. 25 della legge 7 agosto 1990, n. 241, abbia legittimo interesse di conoscere l'effettivo autore della violazione e di ottenere dalla competente autorita' ogni elemento utile al riguardo, la visione della documentazione fotografica o del video deve essere resa disponibile a richiesta del destinatario del verbale, nel rispetto delle norme sull'accesso ai dati personali trattati. Al momento dell'accesso, dovranno essere, in ogni caso, opportunamente oscurati o resi comunque non riconoscibili tutti i soggetti e le targhe di eventuali altri veicoli ripresi nei fotogrammi” (allegato B, punto 1.5.4). Tale misura risulta raccomandabile anche per i dispositivi video finalizzati ad accertare anche le altre violazioni al CdS.

Nel corso dell’istruttoria è emerso che il Comune non si è dotato di misure che consentano l’anonimizzazione dei soggetti e delle informazioni estranee all’infrazione al CdS nelle immagini raccolte dai dispositivi foto/video, in violazione del principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a) e c), 12, par. 1 e 13, parr. 1 e 2 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Si prende atto di quanto emerso in fase di istruttoria e si tiene conto di quanto dichiarato dalComune circa l’aver “recepito l’invito all’adeguamento della cartellonistica di preavviso di “area videosorvegliata” e proceduto all’acquisto di n. 50 cartelli di “area videosorvegliata” e disposto la progressiva installazione sul territorio comunale” senza aver provveduto, tuttavia, a dare evidenza di tale aggiornamento. Come evidenziato nel par. 3.2, inoltre, l'informativa di secondo livello non risulta essere facilmente reperibile dagli interessati.

Pertanto, si rende altresì necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere al Comune di adottare misure idonee a provvedere a:

1) fornire agli interessati l’informativa di primo livello anche completando l’installazione della cartellonistica aggiornata in prossimità dei dispositivi di ripresa foto/video installati nel territorio comunale;

2) rendere l’informativa di secondo livello facilmente reperibile e accessibile da parte degli interessati sul proprio sito web istituzionale, provvedendo alla cancellazione di eventuali informative obsolete e/o duplicate nonché rivedere l’organizzazione del proprio sito web istituzionale in modo da evitare percorsi di navigazione multipli e/o eccessivamente complessi per raggiungere la predetta informativa e la cosiddetta “click fatigue” per gli interessati (cfr. provv. 27 novembre 2024 n. 727, doc. web n. 10097307).

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte del Comune ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati, in quanto inerenti al medesimo sistema di videosorveglianza), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate – artt. 5, 12 e 13 del Regolamento - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che il Comune non ha provveduto a fornire un’informativa adeguata agli interessati in merito ai trattamenti di dati personali effettuati mediante il sistema di rilevazione implementato e non si è dotato di misure idonee a consentire l’anonimizzazione dei soggetti e delle informazioni estranee all’infrazione al CdS nelle immagini raccolte.

Deve, inoltre, considerarsi:

- che non risultano comprovati eventuali danni subiti dagli interessati (art. 83 par. 2, lett. a) del Regolamento);

- il carattere colposo della violazione (art. 83, par. 2, lett. b) del Regolamento);

- che i trattamenti in questione non sono relativi a categorie particolari di dati (art. 83, par. 2, lett. g).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole, che il titolare del trattamento è un Comune di modeste dimensioni e che:

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

- il grado di cooperazione manifestato dal titolare con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, tenendo conto che lo stesso ha provveduto, a seguito dell’avvio dell’istruttoria, ad aggiornare la cartellonistica contenente l’informativa di primo livello e ad adottare misure volte a garantire, in caso di accesso agli aventi diritto alle immagini pertinenti l’infrazione al CdS, l’oscuramento degli eventuali occupanti o soggetti e/o informazioni estranee alla violazione (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila/00) per la violazione degli artt. 5, par. 1, lett. a) e c), 12, par. 1 e 13, parr. 1 e 2 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. 
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti il mancato rispetto da parte del Comune del principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento, non avendo provveduto a fornire un’informativa adeguata agli interessati e di minimizzazione, di cui all’art. 5, par. 1, lett. c, del Regolamento, non avendo provveduto ad adottare misure volte a garantire l’oscuramento automatico di soggetti e/o informazioni estranei all’infrazione rilevata.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e c), 12, par. 1 e 13, parr. 1 e 2 del Regolamento;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Noli, con sede legale in Piazza Milite Ignoto, n. 6, Noli (SV), 17026, C.F. 00296990096, di pagare la complessiva somma di euro 2.000,00 (duemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Noli:

- di pagare la complessiva somma di euro 2.000,00 (duemila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare le misure idonee a fornire agli interessati l’informativa di primo livello anche completando l’installazione della cartellonistica aggiornata in prossimità dei dispositivi di ripresa foto/video installati nel territorio comunale e, altresì, a rendere l’informativa di secondo livello facilmente reperibile e accessibile da parte degli interessati sul proprio sito web istituzionale, provvedendo alla cancellazione di eventuali informative obsolete e/o duplicate nonché rivedere l’organizzazione del proprio sito web istituzionale in modo da evitare percorsi di navigazione multipli e/o eccessivamente complessi per raggiungere la predetta informativa e la cosiddetta “click fatigue” per gli interessati;

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 29 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi