VEDI ANCHE Newsletter dell'11 settembre 2023

[doc. web n. 9920578]

Provvedimento del 18 luglio 2023

Registro dei provvedimenti
n. 312 del 18 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

1. Premessa

Con una segnalazione presentata all’Autorità ai sensi dell’art. 144 del Codice, un cittadino del Comune di Modica (di seguito, il “Comune”) ha lamentato che di aver ricevuto alcuni verbali di contestazione della violazione amministrativa di una ordinanza sindacale per aver conferito erroneamente i rifiuti indifferenziati, come risulterebbe dalla visione dei filmati registrati mediante dispositivi video posti nei pressi dei cassonetti adibiti alla raccolta dei rifiuti. Sulla base dei verbali ricevuti, il segnalante ha lamentato che gli accertamenti della violazione, attraverso la visione dei filmati, sarebbero avvenuti più di un mese dopo la data in cui gli stessi filmati sono stati registrati.

Il segnalante ha, altresì, lamentato l’assenza di un’idonea informativa sul trattamento dei dati personali, essendo stato apposto un cartello informativo direttamente sul cassonetto, non facilmente visibile e privo dell’indicazione del titolare del trattamento e delle finalità perseguite.

2. L’attività istruttoria

In risposta a una richiesta di informazioni dell’Autorità (prot. n. XX del XX), il Comune, con nota prot. n. XX dell’XX, ha dichiarato, in particolare, che:

“ai fini di contrastare il fenomeno diffuso dell'abbandono dei rifiuti e il non corretto conferimento dei rifiuti solidi urbani, con proprie determinazioni, in tempi diversi, ha affidato incarico alle ditte CAT Srl di Ragusa ed Ermeslink […], per acquisto, installazione e manutenzione di telecamere fisse, e prelievo e analisi dei filmati relativi alle violazioni ambientali, sia di carattere amministrativo che penale”;

“in seguito alle predette determinazioni [il Comune] ha nominato ausiliari di Polizia Giudiziaria i titolari delle predette ditte incaricate, per il prelievo, analisi e consegna dei predetti filmati per i periodi indicati nelle predette determinazioni”;

“dopo la ricezione dei filmati, il personale della Polizia Locale, sezione Polizia Giudiziaria, ha proceduto, ai sensi dell’art. 13 legge n. 689/81, alla visione [degli stessi], redigendo apposita annotazione di servizio, ai fini dell'applicazione delle relative sanzioni amministrative nei casi di accertata violazione, archiviando i files come elemento probatorio e per eventuali richieste di visione e/o rilascio copia da parte del trasgressore avente diritto e successivi ricorsi. […] La rimanente parte dei filmati, laddove non si riscontrano violazioni, [veniva] eliminat[a]”;

“sparsi sul territorio insistono diversi cartelli informativi con i quali viene indicato che le aree sono sottoposte a videosorveglianza”, senza aver, tuttavia, fornito alcuna prova documentale in merito a tale dichiarazione.

In risposta a un’ulteriore richiesta di informazioni dell’Autorità (prot. XX del XX), il Comune, con nota prot. n. XX del XX, ha rappresentato, in particolare, che:

“si è resa necessaria l’installazione di un sistema di videosorveglianza in prossimità dei cassonetti dei rifiuti del territorio urbano ed extraurbano per […] controllare il deposito dei rifiuti e l’abbandono illecito degli stessi al fine di contrastare il degrado del territorio […] ed evitare l’insorgere di pericoli per l’igiene e la salute pubblica e/o lo sviluppo di incendi per la presenza di cumuli di rifiuti abbandonati”;

il Comune “ha [definito] tempi di conservazione pari a “sette giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza”, fatte salve speciali esigenze di ulteriore conservazione”;

"le immagini possono essere visionate solo dal personale Polizia Municipale […] Gli agenti della Polizia Giudiziaria visionano le immagini consegnate entro due giorni dalle registrazioni prelevate e consegnate da parte del fornitore “Ermeslink”, nominato Ausiliare di Polizia Giudiziaria. Solo nell’eventualità in cui si evince un reato da parte del cittadino l’immagine viene conservata per predisporre il verbale e la sanzione da parte della stessa Polizia Giudiziaria in quanto prova […] dell’illecito contestato”;

“la ditta installatrice attuale è nominata dal Comune Responsabile esterno incaricata del trattamento […] [con] determina di nomina n° XX”;

“i cittadini vengono informati della presenza di videocamere tramite apposizione nelle immediate vicinanze delle telecamere di cartello informativo ai sensi degli artt. 13 e 14 del Reg. UE 679/2016”;

“sul sito istituzionale del Comune Sezione “Atti” — Sottosezione “Protezione Dati” è pubblicata adeguata informativa […]. Sono altresì pubblicati le postazioni ove le telecamere sono state installate.”

Da ultimo, con nota prot. n. XX del XX, il Comune ha dichiarato, in particolare, che:

“la ditta “Cat srl” nell’ambito delle attività di videosorveglianza, ha svolto il ruolo di ausiliario della polizia giudiziaria, [essendo stata] nominata dal Comando della Polizia Locale [del] Comune. La ditta “Cat srl” aveva il compito […] di eseguire una prima analisi e selezione dei filmati in cui si evidenziava una violazione o reato. L’accordo stipulato è il verbale di nomina da parte del Comando della Polizia Locale”;

“le ditte “Cat srl” ed “Ermeslink” hanno iniziato a fornire i propri servizi a questo Comune […] rispettivamente, come in appresso indicato: - XX; - XX;

“il Comune […] ha stipulato accordo sul trattamento dati personali con la ditta “Ermeslink” […] ai sensi dell'art. 28 del Regolamento (UE) n. 679/2016, con la determina n.XX del XX e consegna linee guida. In precedenza era stato stipulato accordo con verbale di ausiliario giudiziario da parte della Polizia Locale”;

“i tempi di conservazione dei filmati raccolti mediante il sistema di videosorveglianza in uso e adottati [dal] Comune erano di sette giorni successivi alla rilevazione delle immagini, [e] solo nel periodo luglio-dicembre 2019, che include il periodo a cui si riferiscono i verbali, corrispondente all’ultimo affidamento di incarico alla ditta “Cat srl’, di cui alla determinazione del Responsabile del IX settore del Comune di Modica n. XX del XX, i tempi di conservazione delle immagini furono prolungati a quindici giorni. Tale decisione fu presa a seguito del fatto che nel periodo, che va da marzo a novembre 2019, si verificarono nella zona di riferimento dei verbali, fatti delittuosi, [tra cui] un grave atto intimidatorio avvenuto, ai danni del “Settore Ecologia e Ambiente”, nella notte del 18 Marzo 2019 quando fu incendiata l’auto utilizzata dai funzionari dell'Ufficio per individuare discariche abusive e sanzionare i trasgressori”; “nelle zone di cui ai detti verbali, nel periodo marzo — novembre 2019, si verificarono ripetute violazioni del D.Lgs. n. 152/2006 e ss.mm.ii. caratterizzati da fenomeni di abbandoni incontrollati di rifiuti, anche pericolosi (amianto) motivo per cui […] si decise di prolungare nell’ultimo incarico dato alla ditta “Cat srl”, che andava da giugno a dicembre 2019, solo in quei mesi, il periodo di conservazione delle immagini fino a 15 giorni”;

“la data a partire dalla quale questo Comune ha fissato il tempo di conservazione delle immagini in “sette giorni successivi alla rilevazione delle informazioni”, risale al primo affidamento alla ditta “Cat srl” con determinazione del Responsabile del IX settore n. XX del XX”;

“cartelli informativi erano [stati] collocati nelle aree sottoposte a videosorveglianza, nel periodo luglio-novembre 2019, compresi quelli delle aree menzionate in detti verbali”;

“i [diversi] cartelli informativi allegati alla nota del XX sono stati collocati nel mese di Febbraio 2020 […]”;

“l'informativa completa sul trattamento dei dati personali nell’ambito della videosorveglianza è stata pubblicata il XX sul sito istituzionale dell’Ente”;

“nel periodo luglio-novembre 2019 gli interessati (cittadini) venivano messi a conoscenza del sistema di videosorveglianza, installato dal Comune di Modica allo scopo di limitare il proliferare di discariche abusive, tramite cartelli informativi apposti nelle vicinanze dei cassonetti, nei pali della luce, posti nelle immediate vicinanze o sulla facciata anteriore dei cassonetti stessi […]”;

“il Comune di Modica ha designato il Responsabile della protezione dei dati DPO/RPD in data XX”;

“i dati di contatto del Responsabile della protezione dei dati (Gruppo Consulting Soc. Coop. Stp) sono stati pubblicati sul sito web ufficiale del Comune di Modica in data XX”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Con la nota sopra menzionata, l’Ufficio ha rilevato che il Comune ha posto in essere trattamenti di dati personali mediante dispositivi video in maniera non conforme alla normativa in materia di protezione dei dati personali, in violazione degli artt. 5, par. 1, lett. a), c) ed e), e par. 2, 12, 13, 14, 24, 25, 28 e 37 del Regolamento.

Con nota del XX (prot. Garante n. XX), il Comune ha inviato all’Autorità i propri scritti difensivi in relazione alle violazioni notificate, dichiarando, in particolare, che:

“[il Comune] si è determinato ad installare videocamere in zone strategiche del proprio territorio (all’epoca dei fatti, cinque fisse e quattro mobili) per ragioni di prevenzione e di dissuasione di illeciti [in materia ambientale …] [sia] amministrativi [sia] contravvenzionali puniti con la pena dell’arresto (quale quella prevista dall’art. 256 del d.lgs. 152/2006 allorquando l’abbandono dei rifiuti avvenga ad opera di titolari di imprese o enti) o […] per prevenire veri e propri atti vandalici […] mediante danneggiamenti, furti e/o incendi dei cassonetti che si sono registrati sul territorio […]. La finalità predetta può pertanto ben ritenersi legittimante a consentire la conservazione per giorni sette prevista dal comma 8 dell’art.6 del D.L. n°11 del 23.02.09 che, come nel caso di specie, ammette tale facoltà per finalità di “sicurezza pubblica”;

con riguardo alla “temporanea proroga disposta per consentire un periodo di conservazione di giorni 15 […], [che ha] rivestito solo carattere eccezionale ed urgente […] [per] esigenze investigative derivate dagli atti vandalici predetti”, [si ritiene applicabile] nel caso di specie, […] la previsione di cui all’art.8 del D.P.R. 15.01.18 n°15. Se è vero, infatti, che il comma 8 dell’art.6 del D.L. 11/09 determina il termine massimo di conservazione in giorni sette e pur vero che la stessa norma fa salve “speciali esigenze di ulteriori conservazioni”. Non sembra nemmeno, del resto, che il periodo eccezionale e temporaneo di quindici giorni, fissato per le predette finalità, possa di per sé ritenersi “eccessivo” o “non congruo””;

“per quanto gli impianti di videosorveglianza siano stato installati in più punti della città le telecamere fisse in uso nel periodo di riferimento erano solo cinque (di cui funzionanti quattro) la cui gestione era certamente da ritenersi compatibile con una cancellazione manuale e non programmata delle registrazioni acquisite. A tutt’oggi, peraltro, l’intero impianto presente in più punti della città (con 12 telecamere fisse e 4 telecamere mobili) è attualmente non operativo proprio in attesa dell’adeguamento già avviato che ne consentirà in futuro un uso conforme”;

“[…] i cartelli informativi […] esposti sui luoghi delle accertate violazioni non erano solo quelli applicati sui cassonetti […] ma anche quelli collocati in modo autonomo e indipendente su paletti limitrofi alle zone interessate [, che] avvisavano in modo eloquente e prima del raggio di ripresa della presenza della videosorveglianza, […] [recando anche] il logo del Comune […] e le precise indicazioni di contatto telefonico [, sebbene non in essi non si desse atto] né della proroga temporaneamente disposta, né delle nuove finalità sottese alla proroga medesima, [che era stata] disposta solo per una finalità temporanea legata ad un evento eccezionale e rimasta in vigore per soli pochi giorni”;

“la nomina a Ausiliario di Polizia Giudiziaria equivale a responsabile del trattamento dei dati”;

“il ritardo nella nomina [del RPD] è dipeso in gran parte dalla sopravvenuta e tuttora vigente pandemia di COVID 19 che […] ha paralizzato anche gran parte delle attività amministrative degli Enti Pubblici alle prese, nell’ultimo anno, con problemi ben più imminenti e cogenti. In ogni caso, è anche di rilievo che la determina n° XX con cui è stata approvata la gara per l’affidamento dell’incarico è stata adottata già il XX […] e che ben due gare sono risultate senza esito per carenza dei requisiti in capo ai partecipanti. Ne deriva che il ritardo di soli pochi mesi rispetto all’entrata in vigore dell’obbligo di legge è da ritenersi non dipeso dalla volontà dell’Ente”.

3. Esito dell’attività istruttoria

3.1 La videosorveglianza in ambito pubblico

Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito lo stesso (art. 6, parr. 1, lett. c) ed e), e 3, del Regolamento, nonché 2-ter del Codice; cfr. par. 41 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020). In tale quadro, si osserva che la gestione dei rifiuti rientra tra le attività istituzionali affidate agli enti locali.

Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati di cui all’art. 5 del Regolamento, fra i quali quello di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento), in base al quale il titolare del trattamento deve adottare misure appropriate per fornire all'interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (v. art. 12 del Regolamento).

I Comuni, nell’esercizio dei poteri di propria competenza - come nel caso dell’accertamento degli illeciti amministrativi previsti dalla normativa in materia ambientale (cfr., in particolare, artt. 192, “divieto di abbandono”, e 255, “abbandono di rifiuti”, del d.lgs. 3 aprile 2006, n. 152; art. 13, l. 24 novembre 1981, n. 689) o dalle ordinanze sindacali sulla gestione e il conferimento dei rifiuti urbani – sono tenuti, in qualità di titolari del trattamento, in conformità al principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), a valutare se, tenuto conto dello specifico contesto locale, il trattamento di dati personali mediante dispositivi video, ai fini dell’accertamento di tali violazioni, sia effettivamente necessario e proporzionato (cfr. FAQ del Garante in materia di videosorveglianza del 3 dicembre 2020, doc. web n. 9496574, in particolare FAQ n. 13, ove si chiarisce che il ricorso alla videosorveglianza ai fini, in senso lato, della tutela ambientale è ammesso “solo se non risulta possibile, o si riveli non efficace, il ricorso a strumenti e sistemi di controllo alternativi e comunque nel rispetto del principio di minimizzazione dei dati”, di cui all’art. 5, par. 1, lett. c) del Regolamento).

3.2 L’informativa sul trattamento dei dati personali

Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; cfr. FAQ n. 4 del Garante in materia di videosorveglianza, cit.).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’Unione europea, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi) (ibidem, cit., par. 115). La segnaletica di avvertimento di primo livello deve, inoltre, contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Inoltre, le informazioni di primo livello dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata. Non è necessario rivelare l’ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza (ibidem, cit., par. 113; cfr., altresì, provv.ti 20 ottobre 2022, n. 341, doc. web n. 9831369; 28 aprile 2022, n. 162, doc. web n. 9777974, 7 aprile 2022, n. 119, doc. web n. 9773950, 16 settembre 2021, n. 327, doc. web n. 9705650 e 11 marzo 2021, n. 90, doc. web n. 9582791).

Nel caso di specie, il Comune, nel periodo in cui sono stati emessi i verbali di accertamento oggetto di segnalazione, ha utilizzato un cartello informativo (cfr. all. 6 nota del XX) che non è pienamente conforme alla normativa in materia di protezione dei dati personali. Esso, oltre a menzionare generiche “ragioni di sicurezza” sottese alla videosorveglianza, non indica, infatti, le modalità con le quali gli interessati (ovvero non solo i soggetti ai quali viene contestata una violazione amministrativa, ma tutte le persone fisiche che entrano nel raggio di azione delle telecamere) possono ricevere un’informativa completa sul trattamento di secondo livello, né emerge dagli atti che il Comune, in quel periodo, abbia provveduto a redigere tale informativa completa e portare la stessa a conoscenza degli interessati, ad esempio mediante pubblicazione sul proprio sito web istituzionale. Al riguardo, il Comune ha, infatti, dichiarato che l’'informativa completa sul trattamento dei dati personali nell’ambito della videosorveglianza è stata pubblicata sul proprio sito web istituzionale soltanto in data XX.

Per completezza, si precisa che dagli accertamenti effettuati dall’Ufficio (cfr. relazione di servizio del  XX) è emerso, inoltre, che sul sito istituzionale del Comune risultava rinvenibile un’informativa, relativa al settore “XII-ecologia”, nella quale, con riguardo alla base giuridica del trattamento, si affermava che “il trattamento dei dati personali svolto mediante l’utilizzo dei Sistemi di videosorveglianza ha l’intento di perseguire un legittimo interesse del Titolare atto a garantire la pubblica sicurezza e l’interesse pubblico, in quanto il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. […] Nella fattispecie il trattamento è effettuato per la tutela dell’igiene pubblica e dell’incolumità pubblica” ; “il […] trattamento [delle immagini] risponde all’esigenza del perseguimento dell’interesse della tutela delle persone e dei beni rispetto agli atti illeciti (aggressioni, furti e rapine) e di raccolta dei mezzi di prova”.

Anche questa informativa, pertanto, era inadeguata, non facendo riferimento alla finalità perseguita nel caso in esame, di competenza del Comune, riguardante l’accertamento di condotte sanzionate in via amministrativa (cfr. artt. 192, “divieto di abbandono”, e 255 “abbandono di rifiuti”, del d.lgs. 3 aprile 2006, n. 152; art. 13, l. 24 novembre 1981, n. 689) e che va distinta dai diversi ambiti di “pubblica sicurezza” e “incolumità pubblica”.

Va, inoltre, rilevato che il cartello semplificato, utilizzato dal Comune, era affisso direttamente sul cassonetto, anche in prossimità di altri cartelli, generando così confusione e scarsa visibilità dello stesso e, pertanto, non consentendo ai soggetti interessati di avere contezza della presenza del sistema di videosorveglianza prima di entrare nel raggio di ripresa dello stesso. A tal riguardo si osserva che l’affermazione del Comune in merito alla circostanza che “i cartelli informativi che risultavano esposti sui luoghi delle accertate violazioni non erano solo quelli applicati sui cassonetti predisposti per la raccolta dei rifiuti […] ma anche quelli collocati in modo autonomo e indipendente su paletti limitrofi alle zone interessate” (nota del XX) non trova riscontro nella documentazione in atti, non avendo il Comune prodotto alcun elemento a supporto di tale dichiarazione.

Risulta, inoltre, agli atti, che per il periodo di novembre-luglio 2019 il tempo di conservazione delle immagini era stato incrementato da sette a quindici giorni, non essendo stati, tuttavia, gli interessati informati di tale circostanza. Sul punto è stato, infatti, dichiarato (v. nota del XX) che “le modalità di conservazioni e le finalità […] indicate non davano contezza né della proroga temporaneamente disposta, né delle nuove finalità sottese alla proroga medesima”.

Da ultimo, per quanto concerne il cartello utilizzato dal Comune a partire dal mese di XX(v. all. 7 nota del XX), viene, altresì, dichiarata l’esistenza di un meccanismo automatico di cancellazione dei dati che, sulla base della documentazione in atti, non risulta essere stato effettivamente adottato dal Comune. Inoltre, quanto all’indicazione delle modalità con le quali gli interessati possono reperire un’informativa completa sul trattamento dei dati personali, viene menzionata esclusivamente la possibilità di recarsi fisicamente presso un “desk di informazione” presso la sede del Comune, con ciò essendo stata di fatto ostacolata la possibilità per gli stessi di acquisire in maniera agevole le informazioni complete sul trattamento di dati personali in questione.

Per tali motivi, il trattamento di dati personali mediante dispositivi video è stato effettuato dal Comune in maniera non conforme al principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a) e in violazione degli obblighi di cui agli artt. 12 e 13 del Regolamento (dovendosi, invece, disporre l’archiviazione della contestata violazione dell’art. 14, considerato che i dati personali, oggetto di trattamento mediante tali sistemi video, non sono stati acquisiti presso terzi).

3.3 I principi di minimizzazione, limitazione della conservazione, responsabilizzazione e protezione dei dati fin dalla progettazione e per impostazione predefinita

Ai sensi dell’art. 5, par. 1, lett. c) ed e), del Regolamento, i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” («minimizzazione dei dati») e “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” («limitazione della conservazione»).

In base al principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche; ciò salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati (v. FAQ n. 5 del Garante in materia di videosorveglianza, cit.). Nella maggior parte dei casi “tenendo conto dei principi di cui all’articolo 5, paragrafo 1, lettere c) ed e), del RGPD, vale a dire la minimizzazione dei dati e la limitazione della loro conservazione, i dati personali dovrebbero essere […] cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione” (par. 8, punto 121, delle Linee guida del Comitato europeo per la protezione dei dati, cit.; v. anche FAQ n. 5 del Garante, cit.).

In conformità al principio di protezione dei dati per impostazione predefinita (ai sensi dell’art. 25, par. 2, del Regolamento), il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire che le immagini riprese dai dispositivi video siano trattate, per impostazione predefinita, soltanto per il tempo di conservazione da esso previamente definito.

Ciò premesso, si osserva, anzitutto, che, da quanto dichiarato dal Comune, è emerso che il sistema di videosorveglianza in questione non è stato installato al solo scopo di prevenire ed accertare illeciti c.d. amministrativi da parte dei cittadini, ma anche per finalità di c.d. sicurezza urbana, ovvero per ragioni di prevenzione e di dissuasione di illeciti (atti vandalici, furti etc.).

Proprio a seguito di alcuni atti vandalici, il Comune, nel periodo marzo — novembre 2019, ha incrementato il periodo di conservazioni delle immagini riprese dal sistema di videosorveglianza da sette a quindici giorni (cfr. nota del XX), in violazione dell’art. 6, comma 8, del d.l. 23 febbraio 2009, n. 11, ai sensi del quale “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l'uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”.

A tal riguardo, deve osservarsi che il richiamo da parte del Comune all’art. 6, comma 8, del d.l. 23 febbraio 2009, n. 11, ai fini della definizione dei tempi di conservazione dei filmati acquisiti mediante i dispositivi video, non risulta del tutto coerente, atteso che, nel contesto in questione, il Comune non perseguiva finalità connesse alla c.d. sicurezza urbana, che è disciplinata da uno specifico quadro normativo di settore (cfr. art. 5, comma 2, lett. a), del d.l. 20 febbraio 2017, n. 14, ai sensi del quale i Comuni possono istallare sistemi di videosorveglianza per perseguire obiettivi di “prevenzione e contrasto dei fenomeni di criminalità diffusa e predatoria”, previa stipula di un patto per l’attuazione della sicurezza urbana con la Prefettura territorialmente competente). Peraltro, dal verificarsi di “fatti delittuosi [tra cui] un grave atto intimidatorio”, consistente nell’incendio di un’autovettura del “Settore Ecologia e Ambiente” del Comune, non può comunque di per sé derivare una speciale esigenza di prolungare il termine di sette giorni previsto dal d.l. 23 febbraio 2009, n. 11, atteso che in relazione ad eventuali conseguenze derivanti da condotte della stessa natura, in quanto immediatamente o tempestivamente riscontrabili, il termine di sette giorni previsto dalla legge è certamente congruo al fine di poter appurare eventuali responsabilità e acquisire agli atti di tale specifico procedimento le immagini necessarie, per le finalità di indagine, a cura dei competenti organi investigativi. 

Atteso che il predetto termine di sette giorni, definito dal d.l. 23 febbraio 2009, n. 11, non è applicabile nel contesto di specie, il Comune, nel rispetto dei principi di responsabilizzazione, limitazione della conservazione e protezione dei dati per impostazione predefinita, avrebbe dovuto definire il termine massimo di conservazione delle immagini raccolte mediante i dispositivi video ai fini dell’accertamento delle violazioni amministrative in materia ambientale, motivando adeguatamente le scelte effettuate.

Peraltro, dal reclamo emerge che le violazioni amministrative sono state comunque accertate oltre un mese dopo la data delle in cui le immagini sono state registrate, avendo, pertanto, il Comune comunque conservato dette immagine oltre il predetto termine di sette giorni. 

Alla luce di quanto sopra, risulta accertata la violazione dei principi di “minimizzazione”, “limitazione della conservazione” (art. 5, par. 1, lett. c) e e)), “responsabilizzazione” (art. 5, par. 2, del Regolamento, in combinato disposto con l’art. 24 del Regolamento) e di protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25 del Regolamento).

3.4 I rapporti con i responsabili del trattamento

Ai sensi dell’art. 28, par. 3, del Regolamento, “i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del 26  diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento, che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”, e che preveda tutti gli impegni previsti dal medesimo art. 28, par. 3, del Regolamento (cfr. cons. n. 81 del Regolamento; provvedimento n. 81 del 7 marzo 2019, doc. web 9121890; provvedimento n. 160 del 17 settembre 2020, doc. web 9461168, provvedimento n. 294 del 22 luglio 2021, doc. web 9698724, provvedimento n. 351 del 29 settembre 2021, doc. web 9716256; provvedimento n. 270 del 21 luglio 2022, doc. web 9811732).

Ciò premesso, si osserva che, all’esito dell’istruttoria, è emerso che il Comune ha affidato l’incarico alla ditta CAT S.r.l. di Ragusa (a partire dall’XX) e, successivamente, all’impresa individuale Ermeslink di Giovanni Di Stefano (a far data dal XX), avente ad oggetto specifiche operazioni di trattamento di dati personali, quali il prelievo e l’analisi dei filmati relativi alle violazioni ambientali, sia di carattere amministrativo che penale, nominando a tal fine ausiliari di Polizia Giudiziaria i titolari delle predette ditte incaricate.

Nel caso di specie, la ditta CAT Srl di Ragusa ha partecipato al trattamento in esame dal 8 agosto 2017 e fino al mese di dicembre 2019, senza che il suo ruolo fosse definito ai fini della normativa sulla protezione dei dati. Nei confronti della ditta Ermeslink, invece, affidataria del servizio in esame dal XX, è intervenuto un tardivo atto di nomina a responsabile della protezione dei dati ai sensi dell’art. 28 del Regolamento (determina n. XX del XX).

Né rileva che alle predette aziende fossero state attribuite e funzioni di “polizia giudiziaria”, tenuto conto che gli atti adottati a tal fine dal Comune non possono considerarsi “accordi” sulla protezione dei dati stipulati tra titolare e responsabile del trattamento, difettando degli elementi inderogabilmente previsti dall’art. 28 del Regolamento.

Alla luce delle considerazioni che precedono, si rileva che le predette società hanno partecipato al trattamento dei dati in esame senza che il loro ruolo, prima dell’inizio del trattamento, fosse correttamente definito dal Comune mediante la stipula di un accordo sulla protezione dei dati, con conseguente violazione da parte del Comune dell’art. 28 del Regolamento.

3.5 Designazione del RPD e pubblicazione dei dati di contatto

Ai sensi dell’art. 37, parr. 1 e 7, del Regolamento, “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico […]”, e “il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo”.

Nel corso dell’istruttoria il Comune ha dichiarato di aver designato il Responsabile della protezione dei dati  (“RPD”) in data XX, ben oltre, dunque, la data in cui il Regolamento è diventato efficace (25 maggio 2018), attribuendo il ritardo all’emergenza epidemiologica da SARS-CoV-2 e alla circostanza che la determina con cui è stata approvata la gara per l’affidamento dell’incarico è stata adottata già il 13 agosto 2019 ma “che ben due gare sono risultate senza esito per carenza dei requisiti in capo ai partecipanti”.

Al riguardo si specifica che la data in cui il Regolamento è divenuto efficace precede la pandemia da SARS-CoV-2 e che, in attesa della conclusione della procedura di affidamento dell’incarico di RPD il titolare è comunque tenuto a designare, anche temporaneamente, un RPD eventualmente anche tra il personale interno (cfr. anche il documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, allegato al provv. del 29 aprile 2021, n. 186, doc. web n. 9589104).

Risulta, altresì, accertato che il Comune ha pubblicato i dati di contatto del RPD sul proprio sito web istituzionale in data XX, ovvero circa un mese dopo la data della designazione dello stesso.

Alla luce delle considerazioni che precedono, il Comune ha agito in violazione dell’art. 37, parr. 1 e 7,  del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato, in particolare, il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, ai sensi del quale “le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”. Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato nell’atto di cessazione della condotta illecita, verificatasi successivamente al 25 maggio 2018, data in cui il Regolamento è divenuto applicabile.

Dagli atti dell’istruttoria è, infatti, emerso che il trattamento dei dati mediante i dispositivi video in questione è avvenuto in maniera non conforme alla disciplina in materia di protezione dei dati personali a partire dall’8 agosto 2017 (data in cui ha iniziato a fornire tale servizio la ditta Cat s.r.l.) e risulta essersi protratto fino al mese di maggio 2021 in quanto, con la nota del XX il Comune ha dichiarato che “non [è attualmente] operativo proprio in attesa dell’adeguamento già avviato che ne consentirà in futuro un uso conforme”.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per non aver fornito agli interessati un’idonea informativa sul trattamento dei dati personali, per aver agito in maniera non conforme ai principi di minimizzazione dei dati, limitazione della conservazione, responsabilizzazione e protezione dei dati fin dalla progettazione e per impostazione definitiva, per non aver tempestivamente definito i rapporti con CAT S.r.l. di Ragusa (a partire dall’XX) e, successivamente, con l’impresa individuale Ermeslink di Giovanni Di Stefano, i responsabili del trattamento, e per aver provveduto in ritardo alla designazione del RPD e alla pubblicazione dei dati di contatto relativi allo stesso, in violazione degli artt. 5, par. 1, lett. a), c) ed e), e par. 2 (in combinato disposto con l’art. 24), 12, par. 1, 13, 25, 28 e 37, parr. 1 e 7, del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 3, del Codice.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento di dati personali in questione è stato effettuato in un luogo pubblico, per un ampio arco temporale (da agosto 2017 a maggio 2021) e ha interessato un numero elevato di interessati.

Di contro, si considera il comportamento non doloso della violazione e la collaborazione con l’Autorità, da parte del Comune, nel corso dell’istruttoria. Non risultano, inoltre, precedenti violazioni pertinenti commesse o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 45.000 per la violazione degli artt. 5, par. 1, lett. a), c) ed e), e par. 2 (in combinato disposto con l’art. 24), 12, par. 1, 13, 25, 28 e 37, parr. 1 e 7, del Regolamento, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Tenuto conto che l’utilizzo dei dispositivi video in questione ha interessato luoghi pubblici, concretizzando un trattamento di dati personali che “consente [di rilevare] la presenza e il comportamento delle persone nello spazio considerato” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, par. 2.1, cit.), senza che i soggetti ripresi fossero stati pienamente informati del trattamento di dati personali posto in essere, si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) ed f) del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Modica, per la violazione degli artt. 5, par. 1, lett. a) c) ed e), e par. 2 (in combinato disposto con l’art. 24), 12, par. 1, 13, 25, 28 e 37, parr. 1 e 7, del Regolamento, nei termini di cui in motivazione

ORDINA

al Comune di Modica, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Principe Di Napoli, 17 - 97015 Modica (RG) – CF 00175500883 – di pagare la somma di euro 45.000 a titolo di sanzione amministrativa pecuniaria per le violazioni degli artt. 5, par. 1, lett. a), c) ed e), e par. 2 (in combinato disposto con l’art. 24), 12, par. 1, 13, 25, 28 e 37, parr. 1 e 7, del Regolamento, si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Modica di pagare la somma di euro 45.000 – in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei