g-docweb-display Portlet

Parere al Consiglio di Stato in ordine alla registrazione delle riunioni dell’organo consiliare dell’Autorità per le garanzie nelle comunicazioni - 27 gennaio 2022 [9745318]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9745318]

Parere al Consiglio di Stato in ordine alla registrazione delle riunioni dell’organo consiliare dell’Autorità per le garanzie nelle comunicazioni - 27 gennaio 2022

Registro dei provvedimenti
n. 14 del 27 gennaio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d. lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Il Presidente della Sezione I consultiva del Consiglio di Stato ha chiesto un parere a questa Autorità, in ordine alle questioni concernenti la riservatezza e la disciplina in materia di protezione dei dati personali derivanti da un quesito che è stato sottoposto al C.d.S. dal Presidente dell’Autorità per le garanzie nelle comunicazioni (di seguito “AGCOM”).

Nello specifico, il quesito riguarda il regime giuridico applicabile alle riunioni del Consiglio dell’AGCOM, in particolare nei casi in cui sia ammessa la partecipazione online da remoto. Sono sorti infatti dubbi circa la possibilità o meno di autorizzare il Commissario del Consiglio dell’AGCOM, che ne ha fatto specifica richiesta, «di poter procedere, in autonomia e con propri mezzi, alla registrazione della seduta dell’Organo consiliare» a cui il medesimo prendeva parte da remoto «tramite teleconferenza».

Per tali motivi, il Presidente dell’AGCOM, nell’ambito delle proprie competenze inerenti al coordinamento dei lavori dell’organo di vertice (art. 3 del Regolamento concernente l’organizzazione e il funzionamento dell’AGCOM), ha chiesto di esprimersi sulle seguenti due questioni di diritto:

1. «quali siano le condizioni da osservare per garantire la riservatezza e il corretto svolgimento dei lavori dell’Organo consiliare allorquando essi si svolgano con la partecipazione da remoto di alcuni o di tutti i relativi componenti»;

2.  «se sia possibile, o meno, autorizzare il Commissario che ne faccia richiesta alla registrazione dei lavori stessi, da remoto ovvero in presenza, precisando altresì, in caso di risposta affermativa, con quali cautele e mezzi di realizzazione».

2. Strumenti di ripresa audio-visiva di riunioni di organi collegiali di soggetti pubblici e dati personali: quadro normativo generale

Il tema generale dei profili inerenti alla protezione dei dati personali nel caso di riprese e registrazioni delle riunioni degli organi collegiali (politici o amministrativi, pubblici o privati), in presenza o da remoto, è da tempo oggetto dell’attenzione del Garante.

Le questioni di natura complessa a esso sottostante derivano dalla progressiva evoluzione delle nuove tecnologie per la comunicazione interindividuale e di massa, dalla crescente disponibilità degli strumenti di riproduzione audiovisivi (telecamere digitali, web-cam fisse o di dispositivi mobili come pc portatili, tablet, smartphone, ecc.), dalla semplicità e velocità della trasmissione, registrazione e riproduzione, in tempo reale e, volendo, anche in diretta streaming, ad esempio, sul web.

Tale fenomeno è stato accelerato dal necessario e sempre più frequente ricorso allo strumento della tele-riunione o della tele-conferenza anche da parte delle pubbliche amministrazioni e organismi pubblici in generale, a causa, fra l’altro, delle esigenze di distanziamento sociale derivanti dall’emergenza pandemica da Covid-19, dimostrandosi un’utile risorsa e una pratica soluzione.

In tale contesto, il corretto utilizzo dei predetti strumenti è in ogni caso subordinato al rispetto delle regole in materia di protezione dei dati personali.

Come noto, infatti, per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Ai sensi della disciplina in materia, così come interpretata anche dalla costante giurisprudenza della Corte di Giustizia UE, «l’immagine di una persona registrata da una telecamera costituisce un “dato personale […] se ed in quanto essa consente di identificare la persona interessata […]”» (CGUE, sez. II, 14/2/2019, Buivids, causa C 345/17, punto 31. Cfr. anche, in tal senso, sent. 11/12/2014, Ryneš, C 212/13, punto 22).

Per quanto riguarda la nozione di «trattamento di dati personali», l’art. 4, par. 1, n. 2, del RGPD lo definisce come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».

La Corte di giustizia UE «ha già dichiarato che una registrazione video di persone immagazzinata in un dispositivo di registrazione continua […] costituisce […] un trattamento di dati personali automatizzato» (CGUE, sent. 14/2/2019, Buivids, cit., punto 34; sent. 11/12/2014, Ryneš, cit., punti 23 e 25).

In tale quadro, i soggetti pubblici possono trattare dati personali (e, quindi, effettuare riprese o registrare, anche limitatamente al solo audio senza la riproduzione dell’immagine) ai sensi delle disposizioni contenute nell’art. 6, par. 1, lett. c) ed e), del RGPD e, dunque, solo se tale trattamento «è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento», oppure quando «il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento», alla luce di una base giuridica che abbia i requisiti previsti dal par. 3 del citato articolo.

Recenti modifiche normative hanno inoltre specificato, al riguardo, che la «base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali» e che il trattamento dei dati personali da parte di un’amministrazione pubblica (comprese le autorità indipendenti) «è anche consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti», ma sempre «nel rispetto dell’articolo 6 del Regolamento [europeo]», in «modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati» (art. 2-ter, commi 1 e 1-bis, del Codice, così come emendato dall’art. 9, comma 1, lett. a, nn. 1 e 2, del d.l. n. 139 dell’8/10/2021, convertito con modificazioni dalla l. n. 205 del 3/12/2021).

Al fine di adempiere i predetti “obblighi legali” o “compiti di interesse pubblico o connessi all’esercizio di poteri pubblici”, i soggetti pubblici non sono tenuti a chiedere alcun consenso (o autorizzazione) ai soggetti interessati per effettuare il trattamento dei relativi dati personali. Peraltro, come stabilito dal citato regolamento europeo, «quando il titolare del trattamento è un’autorità pubblica», tendenzialmente, il consenso non può costituire «un valido presupposto per il trattamento dei dati personali», considerando che esiste un’«evidente squilibrio tra l’interessato e il titolare del trattamento», tale da rendere «pertanto improbabile che il consenso sia stato espresso liberamente» e che quindi possa ritenersi validamente prestato (considerando n. 43 del RGPD).

Ciò chiarito, si ricorda che i trattamenti effettuati dai soggetti pubblici alla luce dei presupposti di legittimità prima richiamati di cui all’art. 6, par. 1, lett. c) ed e), del RGPD, debbono essere comunque condotti nel rispetto dei principi contenuti nell’art. 5 del RGPD, fornendo previa e idonea informativa ai soggetti interessati (artt. 12-13, RGPD).

3) Videoripresa delle sedute del Consiglio di AGCOM

Nel caso sottoposto all’attenzione del Garante, risulta chiaramente che la ripresa dei lavori delle sedute del Consiglio di AGCOM – organo collegiale di vertice costituito dal Presidente e da tutti i Commissari (art. 1, comma 3, della l. n. 249 del 31/7/1997) – è finalizzata a consentire la partecipazione (audio e video) dei Commissari (e/o di eventuali altri presenti) alla seduta dell’organo collegiale. Indubbiamente, le «immagini delle persone in tal modo registrate costituiscono altrettanti dati personali» (CGUE, sez. II, 14/2/2019, Buivids, causa C 345/17, punto 32. Cfr. anche, in tal senso, sent. 11/12/2014, Ryneš, C 212/13, punto 22), così come, del resto, tutte le altre informazioni idonee a identificarle (ad esempio anche solo quelle derivanti dalla riproduzione dell’audio senza l’immagine).

Sotto il profilo delle regole in materia di protezione dei dati personali applicabili, la liceità del predetto trattamento è subordinata – come anticipato – alla sussistenza dei presupposti previsti dall’art. 6 del RGPD prima descritti (esistenza di «un obbligo legale» oppure «esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri»). Tale regola vale indipendentemente dalla circostanza che le diverse operazioni di trattamento (es.: ripresa e/o registrazione del video o dell’audio) siano effettuate con la partecipazione in presenza o online da remoto.

In tale quadro, si ritiene di poter individuare come idonea base giuridica per il trattamento – tenendo conto dell’indipendenza e dell’ambito di autonomia organizzativa riconosciuta ad AGCOM dall’art. 1, comma 9, della legge n. 249/1997 – il «Regolamento concernente l’organizzazione e il funzionamento dell’Autorità per le garanzie nelle comunicazioni» (delibera n. 223/12/CONS del 27/4/2012, come modificata dalla delibera n. 238/21/CONS del 22/7/2021). L’art. 8 del predetto regolamento disciplina le modalità di svolgimento delle riunioni di ciascun Organo collegiale di AGCOM, stabilendo – con riferimento al caso in esame – che «Le riunioni possono anche tenersi per teleconferenza, a condizione che tutti i partecipanti possano essere identificati, che di tale identificazione si dia atto nel processo verbale della seduta e che sia loro consentito di seguire la discussione e di intervenire in tempo reale nella trattazione degli argomenti affrontati. Verificandosi tali presupposti, le riunioni si considerano tenute nel luogo in cui si trova il Segretario verbalizzante» (comma 3-bis).

Di tali riunioni è redatto «processo verbale» a cura del Segretario generale – o, nei casi previsti, anche dal singolo Commissario –  dal quale risultano l’«ordine del giorno, con eventuali integrazioni ed i nomi dei presenti, ciascun argomento trattato, gli elementi essenziali della relazione svolta e della discussione nonché le decisioni adottate» (artt. 9, comma 2 lett. e; 12, comma 1). È previsto, inoltre, che i Componenti del Collegio possano «far inserire dichiarazioni a verbale, dandone preventivamente lettura e trasmettendone il testo al segretario verbalizzante» e che i processi verbali delle riunioni siano approvati in successiva riunione per poi essere «raccolti e conservati a cura del Segretariato generale» (art. 12, commi 2-4). I provvedimenti e gli atti adottati da AGCOM sono in ogni caso soggetti a pubblicità legale attraverso la pubblicazione sul sito web istituzionale (art. 11, comma 1).

Ciò significa che AGCOM, stante le descritte disposizioni regolamentari, può legittimamente trattare – ai sensi dell’art. 6, par. 1, lett. c ed e del RGPD e dell’art. 2-ter, commi 1 e 1-bis, del Codice – i dati personali dei soggetti interessati che partecipano alle riunioni degli organi collegiali, anche laddove la partecipazione avvenga da remoto per teleconferenza, tramite strumenti di trasmissione audio-video. Tale operazione di trattamento può essere legittimamente effettuata senza alcun consenso dei soggetti partecipanti o presenti, previa idonea informativa ai soggetti interessati ai sensi dell’art. 13 del RGPD.

4) Registrazione delle sedute del Consiglio di AGCOM

Nell’ambito del quadro finora descritto, rimane da stabilire quali siano le ulteriori operazioni di trattamento consentite, come ad esempio l’eventuale registrazione dei lavori delle sedute del Consiglio di AGCOM e le possibili connesse operazioni, quali la conservazione, l’adattamento o la modifica, la consultazione, l’uso, ecc.

Al riguardo, considerando che AGCOM è un’autorità pubblica, il consenso dei partecipanti – come prima ricordato – non può costituire un valido presupposto per il trattamento dei dati personali (cons. n. 43 del RGPD), con la conseguenza che la base giuridica per poter effettuare le eventuali ulteriori operazioni di trattamento sopradescritte deve essere in ogni caso rinvenuta nell’esistenza di un “obbligo legale” o nella necessità di svolgere “compiti di interesse pubblico o connessi all’esercizio di poteri pubblici”, alla luce di un’idonea base giuridica che abbia i requisiti previsti dall’art. 6, par. 3, del RGPD.

Sul punto, con specifico riferimento all’operazione di registrazione delle sedute del Consiglio, il Presidente di AGCOM, nel formulare il proprio quesito al Consiglio di Stato, ha effettuato diverse precisazioni. In proposito, ha ricordato, fra l’altro, che «le sedute del Consiglio si svolgono di regola in forma riservata» e che «non sembra […] sia rinvenibile una disposizione legislativa o regolamentare che disciplini detto trattamento, nel senso indicato dal par. 3 dell’art. 6 Regolamento 2016/679/UE non risultando disciplinata in via normativa – tra le altre cose – la “finalità” pubblica che consentirebbe un siffatto trattamento» e che «in assenza di una specifica disciplina di fonte regolamentare (di competenza del Consiglio) che assicuri il rispetto di tali garanzie [i.e. modalità di trattamento, finalità della raccolta dei dati; minimizzazione, tempi di conservazione, misure tecniche adottate per garantire la sicurezza della conservazione], non possa essere autorizzata la audioregistrazione (con o senza video) delle sedute del Consiglio ad opera del singolo Commissario». Inoltre – sempre come sottolineato dal citato Presidente – il Regolamento concernente l’organizzazione e il funzionamento di AGCOM «non detta alcuna specifica misura da osservare per assicurare la necessaria riservatezza delle sedute nei casi di partecipazione mediante collegamento da remoto, ancorché tale profilo risulti essenziale per il rispetto dell’obbligo di riserbo cui sono tenuti i componenti dell’Organo consiliare (anche nella fase decidente), ai sensi dell’art. 2, comma 10, della legge n. 481/1995, il quale espressamente stabilisce che i componenti dell’Autorità, nell’esercizio delle proprie funzioni, “sono pubblici ufficiali e sono tenuti al segreto d’ufficio”».

Così come rappresentato il caso dal Presidente di AGCOM, le relative osservazioni si presentano come dirimenti. Va detto infatti che il Consiglio di AGCOM è un organo collegiale di un soggetto pubblico – i cui componenti sono nominati dal Parlamento – che svolge attività di interesse pubblico, ma si riunisce in ogni caso in forma riservata (assistito dal segretario generale che verbalizza la seduta e ne attribuisce pubblica fede). In tale contesto, anche il Componente del Consiglio di un ente pubblico avente personalità giuridica di diritto pubblico (come appunto le Autorità Indipendenti), preposto come tale al soddisfacimento di specifiche esigenze di interesse generale, è titolare di un munus pubblico che esercita all’interno di un Collegio per lo svolgimento di attività istituzionali e ha indubbiamente veste di pubblico ufficiale, tenuto – come sopra ricordato – al segreto di ufficio (in tal senso depone infatti anche l’art. 2, comma 10, della legge n. 481 del 14/11/1995).

Significativa è inoltre la circostanza – ben messa in evidenza – che, in tale contesto e con riferimento al trattamento di dati personali effettuato da AGCOM in qualità di titolare del trattamento, allo stato – fatta eccezione per le disposizioni che ammettono la possibilità che le riunioni degli organi collegiali si tengano anche per teleconferenza (a condizione che tutti i partecipanti possano essere identificati) e che regolano le modalità di verbalizzazione delle relative sedute (artt. 8, comma 3-bis; 9; 11 e 12, Regolamento concernente l’organizzazione e il funzionamento di AGCOM) – non esiste una disciplina sulle specifiche ulteriori operazioni e modalità di trattamento connesse alle sedute degli Organi collegiali di AGCOM che si svolgono da remoto.

Ciò comporta di conseguenza che – tornando alle questioni sottoposte da AGCOM (rappresentate come distinte, ma in realtà strettamente connesse), ossia quali sono le condizioni da osservare per garantire la riservatezza (e il corretto svolgimento) dei lavori dell’Organo consiliare nel caso in cui si svolgano da remoto e se sia possibile autorizzare il Commissario che ne faccia richiesta alla relativa registrazione (da remoto ovvero in presenza) individuando le relative garanzie – debba essere proprio AGCOM, nell’ambito dell’autonomina organizzativa a essa riconosciuta per legge e tenendo peraltro conto che si tratta di un’Autorità indipendente, a dover disciplinare le predette condizioni e la possibilità o meno di autorizzare eventuali registrazioni, anche tramite il regolamento di cui all’art. 1, comma 9, della l. n. 249/1997.

Le predette considerazioni sono svolte anche alla luce delle regole di matrice europea, applicabili al caso di specie, inerenti alla «responsabilizzazione» del titolare del trattamento (cd. «accountability»), in base alle quali è obbligo del titolare stesso (ossia in questo caso di AGCOM) mettere in atto tutte le «misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare» di avere attuato, fin dalla progettazione (cd. data protection by design), «in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» anche sotto il profilo della sicurezza dei dati (artt. 5, par. 2; 24, par. 1; 25, parr. 1-2; 32, RGPD). Come espressamente previsto a livello europeo, peraltro, tale valutazione deve essere condotta tenendo «conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche» (ivi).

In tale contesto, il regolamento interno costituisce sicuramente la sede idonea per la disciplina da parte di AGCOM delle misure e delle garanzie richieste dal RGPD e dal Codice per il trattamento dei dati personali dei soggetti che partecipano alle riunioni degli organi collegiali nel caso in cui si svolgano anche da remoto, potendo eventualmente stabilire ad esempio anche la possibilità o meno che le riunioni siano registrate e quale sia/siano il/i soggetto/i a ciò autorizzato/i; le condizioni e i limiti di tale operazione; le modalità di trattamento; la finalità (determinate, esplicite e legittime) della raccolta/registrazione dei dati; i tempi di conservazione; l’impegno a che i dati siano «successivamente trattati in modo che non sia incompatibile con [le] finalità [determinate]» (art. 5, par. 1, lett. b e c, del RGPD).

Laddove venga effettuata questa scelta per disciplinare le operazioni di trattamento attualmente non previste, sarebbe, inoltre, opportuno il richiamo, proprio nel predetto regolamento, ad alcune regole sul trattamento dei dati personali, per specificare le ipotesi in cui si renda eventualmente necessario limitare le riprese (e/o la registrazione) o indicare le procedure attraverso cui tale limitazione possa essere di volta in volta decisa. Ciò, al fine di assicurare, anche con riferimento a informazioni particolarmente delicate che potrebbero essere trattate, la riservatezza dei soggetti coinvolti.

Nell’ipotesi in cui l’amministrazione decida con proprio regolamento organizzativo la possibilità di procedere alla registrazione delle sedute dell’organo collegiale (o autorizzare terzi a farlo anche in qualità di responsabili esterni del trattamento ai sensi dell’art. 28 del RGPD), si evidenzia la necessità di provvedere a integrare l’informativa da rendere antecedentemente all’inizio del trattamento dei dati personali (vale a dire prima di procedere alle riprese) ai partecipanti e ai presenti alle riunioni, completa degli elementi previsti dall’art. 13 del RGPD.

In proposito, si ricorda che, nel redigere l’informativa, dovranno essere evidenziate con chiarezza le finalità del trattamento, anche in relazione al successivo utilizzo delle riprese audiovisive da parte di AGCOM. L’informativa dovrà inoltre indicare se le riprese sono destinate alla comunicazione e con quali modalità, specificando i soggetti o le categorie di soggetti ai quali i dati oggetto del trattamento possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati/autorizzati al trattamento.

Si tenga, inoltre, conto che le registrazioni degli organi collegiali, laddove effettuate ai sensi di una futura disciplina da parte di AGCOM, saranno in ogni caso soggette alle regole (e chiaramente anche ai connessi limiti) in materia di accesso agli atti, documenti e informazioni detenuti dalla p.a. contenute negli artt. 22 ss. della l. n. 241 del 7/8/1990 (accesso agli atti amministrativi) e negli artt. 5 ss. del d. lgs. n. 33 del 14/3/2013 (accesso civico).

Spetta, pertanto ad AGCOM valutare la compatibilità delle iniziative che intende intraprendere con il quadro normativo descritto, verificando che i trattamenti di dati personali effettuati siano conformi alla normativa vigente in materia di protezione dei dati personali e adottando, se del caso, una specifica disciplina integrativa sulle operazioni e modalità di trattamento dei dati personali consentite e connesse alla possibilità di video (o audio) registrare i lavori delle sedute del Consiglio di AGCOM che si svolgono da remoto; in assenza della quale i trattamenti eventualmente effettuati risulterebbero privi di un’idonea base giuridica, violando i presupposti di liceità del trattamento di cui all’art. 6, parr. 1, lett. c) ed e), e 3, del RGPD, nonché all’art. 2-ter, commi 1 e 1-bis, del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta di parere del Presidente della I Sezione consultiva del Consiglio di Stato, ai sensi degli artt. 57, par. 1, lett. c) e 58, par. 3, lett. b), del RGPD.

Roma, 27 gennaio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei