VEDI ANCHE Newsletter dell'11 settembre 2023

[doc. web n. 9920664]

Provvedimento del 18 luglio 2023

Registro dei provvedimenti
n. 314 del 18 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

1. Premessa

Con una segnalazione presentata all’Autorità, un cittadino del Comune di Modica (di seguito, il Comune) ha lamentato la violazione della disciplina in materia di protezione dei dati personali avvenuta mediante il sistema di videosorveglianza posto nei pressi dei cassonetti adibiti alla raccolta dei rifiuti. Dagli elementi istruttori raccolti è emerso che il Comune ha incaricato Cat s.r.l. (di seguito, la società), della fornitura, gestione e manutenzione dei predetti dispositivi video.

2. L’attività istruttoria

In risposta a una richiesta di informazioni dell’Autorità (prot. n. XX del XX), il Comune, con nota prot. n. XX dell’XX, ha dichiarato, in particolare che “ai fini di contrastare il fenomeno diffuso dell'abbandono dei rifiuti e il non corretto conferimento dei rifiuti solidi urbani, con proprie determinazioni […] ha affidato incarico [alla] Cat s.r.l.[…], per acquisto, installazione e manutenzione di telecamere fisse, e prelievo e analisi dei filmati relativi alle violazioni ambientali, sia di carattere amministrativo che penale” e di aver  “nominato ausiliari di Polizia Giudiziaria” la  società “per il prelievo, analisi e consegna dei predetti filmati […]”.

In risposta ad un’ulteriore richiesta d’informazioni dell’Autorità (nota prot. XX del XX), il Comune, con nota prot. n. XX del XX, ha dichiarato in particolare che:

- “Cat srl” nell’ambito delle attività di videosorveglianza, ha svolto il ruolo di ausiliario della polizia giudiziaria […] nominata dal Comando della Polizia locale di questo Comune. La ditta “Cat srl” aveva il compito come da accordo di eseguire una prima analisi e selezione dei filmati in cui si evidenziava una violazione o reato. L’accordo stipulato è il verbale di nomina da parte del Comando della Polizia locale [… del XX]”;

- “Cat srl” ha […] iniziato a fornire i propri servizi a questo Comune ai fini della gestione della videosorveglianza per contrastare l’abbandono illecito/incontrollato dei rifiuti e la deturpazione del territorio [… il] XX”.

Sul punto, in risposta a una richiesta di informazioni dell’Autorità (nota prot. XX del XX), la società (pec del XX ha dichiarato:

- “Per il primo periodo, dopo l’istallazione delle telecamere (determina allegata) (utilizzate per il contrasto all’abbandono di rifiuti, la nostra società aveva solo il mandato di […] Spostamento delle telecamere nei siti indicati dal responsabile del servizio ecologia […] Prelievo e sostituzione fisica delle memorie che poi venivano consegnate dal responsabile indicatomi dal servizio ecologia della polizia municipale”;

-  “Nel periodo successivo visto la mancanza di personale al nostro addetto è stata conferita la nomina di ausiliare di PG per poter visionare ed estrapolare le immagini contenute nella Micro sd […]”;

- “Il servizio non è iniziato contestualmente all’istallazione delle telecamere poiché come riferito dal responsabile del settore ecologia non esisteva nessun regolamento e responsabile del trattamento dei dati. Successivamente alla nomina di PG abbiamo iniziato con il servizio di visione. Le immagini venivano registrate su supporto ottico e consegnate […] all’ufficiale di PG […]”.

Pur tenendo conto delle circostanze sopradescritte in cui ha operato la società, dagli atti è emerso che a partire dalla data in cui l’impresa ha preso in carico la gestione dei dispositivi video in questione (XX), fino alla scadenza dell’incarico (XX), il trattamento dei dati personali degli interessati è avvenuto senza che il ruolo della società, quale responsabile del trattamento, fosse stato opportunamente definito in conformità con quanto previsto dall’art. 28 del Regolamento (ovvero, per il periodo antecedente al 25 maggio 2018, ai sensi dell’art. 29 del d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali” – di seguito, il “Codice” -, nel testo anteriore alle modifiche di cui al d.lgs. n. 101/2018 e vigente nel mese di agosto 2017).

Pertanto, non avendo la società e il Comune stipulato un accordo per la definizione del ruolo assunto ai fini del trattamento dei dati personali nel corso di tale periodo e non essendo stati individuati dalla società altri presupposti che potessero legittimare il trattamento dei dati in questione, l’Ufficio, con nota del XX (prot. n. XX), sulla base degli elementi acquisiti, ha notificato alla società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), e 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice), per aver posto in essere un trattamento di dati personali in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di un idoneo presupposto normativo.

Con la medesima nota, la società è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Al riguardo, si rappresenta che non sono pervenuti, da parte della società, scritti difensivi.

3. Esito dell’attività istruttoria

Ai sensi della disciplina in materia di protezione dei dati personali, il trattamento di dati personali effettuato da soggetti pubblici (come il Comune di Modica) è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” [art. 6, par. 1, lett. c) ed e)]. La gestione dei rifiuti solidi urbani rientra tra le attività istituzionali affidate agli enti locali.

Pur in presenza di una condizione di liceità, ad ogni modo, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati (art. 5 del Regolamento).

3.1 Il trattamento effettuato dalla società

Ai sensi dell’art. 28 del Regolamento, il titolare (come detto il Comune di Modica) può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”).

Il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 1 e 3 del Regolamento).

Tali principi trovavano applicazione anche con riguardo al quadro giuridico antecedente al Regolamento, come precisato dalla Corte di Cassazione (v. Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021, ancorché in relazione a trattamenti di dati personali in un diverso contesto). Nel confermare un provvedimento del Garante, la Corte, per i profili che rilevano nel caso di specie, ha precisato che “l'accordo intercorrente tra il "titolare" ed il "responsabile" è legislativamente previsto e non è destinato solo a regolare i rapporti inter partes, con valenza meramente interna, sotto il profilo dell'eventuale inadempimento contrattuale […], perché la disciplina ivi dettata dal "titolare", in merito alle finalità e alle modalità del trattamento, assurge ad elemento necessario per la qualificazione di "responsabile" nel caso concreto”.

Come emerso nel corso dell’istruttoria, il trattamento dei dati in esame, svolto dalla società per conto del Comune, è stato avviato senza che il ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento, in quanto l’atto di nomina dell’impresa quale “ausiliario di PG” non soddisfa le caratteristiche dell’atto giuridico volto a regolamentare il rapporto tra il titolare e il responsabile, non contenendo gli elementi previsti dall’art. 28 del Regolamento, per i profili concernenti il trattamento dei dati personali.

Non essendo stata individuata come responsabile del trattamento e non essendo stati indicati da parte della impresa specifici presupposti che abbiano legittimato il trattamento dei dati personali, si deve concludere che lo stesso trattamento è stato effettuato in assenza delle condizioni di liceità e quindi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice), come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie (cfr. provvedimento n. 161 del 17 settembre 2020, doc. web. 9461321; provvedimento n. 281 del 17 dicembre 2020, doc. web 9525315; provvedimento n. 292 del 22 luglio 2021, doc. web. 9698558; provvedimento n. 269 del 21 luglio 2022, doc. web. 9813326; provvedimento n. 293 del 22 luglio 2021, doc. web. 9698597; provvedimento n. 269 del 21 luglio 2022, doc. web. 9813326; provvedimento n. 293 del 22 luglio 2021, doc. web. 9698597; Linee guida “sui concetti di titolare e responsabile del trattamento nel GDPR” n. 07/2020, in particolare nota 35).

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla società nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata, nonché dalle successive valutazioni, è stata accertata la non conformità dei trattamenti svolti dalla società per conto del Comune di Modica aventi ad oggetto la gestione del sistema di videosorveglianza.

Sebbene il trattamento sia stato intrapreso dalla società nel periodo precedente all’entrata in vigore del Regolamento ai fini della individuazione della normativa applicabile, sotto il profilo temporale, occorre tener presente che, in base al principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, “Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”. Da ciò consegue la necessità di prendere in considerazione le disposizioni vigenti al momento della commessa violazione; nel caso in esame, data la natura permanente dell’illecito contestato, tale momento deve essere individuato all’atto della cessazione della condotta illecita, determinatasi nel XX e quindi nella piena vigenza delle disposizioni del Regolamento e del Codice (come modificato dal d.lgs. 101/2018).

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla società, in quanto esso è avvenuto in assenza di una condizione di liceità e, dunque, in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione dell’art. 5, par. 1, lett. a) del Regolamento e dell’art. 6 del Regolamento (in combinato disposto con l’art. 2- ter del Codice).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 3, del Codice.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento ha avuto a oggetto i dati potenzialmente di tutti i residenti del Comune di Modica (circa 53.000 interessati) e non residenti (la cui entità non è quantificabile), in violazione del principio di “liceità, correttezza e trasparenza” cui all’art. 5, par. 1 lett. a) del Regolamento e in assenza di una condizione di liceità in violazione dell’art. 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice).

Di contro, si considera il comportamento non doloso della violazione nonché l’assenza di precedenti violazioni a carico della società.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 10.000 per la violazione degli artt. 5 e 6 del Regolamento (in combinato disposto con l’art. 2 ter del Codice) quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) ed f) del Regolamento, rileva l’illiceità del trattamento effettuato dalla Cat s.r.l. per la violazione degli artt. 5 e 6 del Regolamento, in combinato disposto con l’art. 2 ter del Codice, nei termini di cui in motivazione

ORDINA

Alla Cat s.r.l., con sede legale in Ragusa, via dott. Corrado di Quattro – 97100 – P.IVA 01406720886 - di pagare la somma di euro 10.000 a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

Alla Cat s.r.l. di pagare la somma di euro 10.000 – in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei