ETHICA SOCIETAS-Rivista di scienze umane e sociali
Massimiliano Mancini NOTIZIE Privacy

20.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI ORTE (VT) Massimiliano Mancini

Sanzionato il Comune che utilizzava fototrappole contro gli abbandoni di rifiuti senza DPIA e cartelli a norma (provv.119 del 07/04/2022)

di Massimiliano Mancini

Abstract: sanzione del Garante per il Comune di Orte (VT) aveva installato delle fototrappole per contrastare l’abbandono illecito dei rifiuti ma omettendo la Valutazione d’impatto-DPIA, che è sempre obbligatoria, e inoltre l’apposizione di tabelle a norma che segnalino, anche nel caso delle fototrappole, l’ingresso, prima di essere ripresi, nell’area videosorvegliata. Il fine non giustifica mai i mezzi, non si possono spendere somme spropositate e omettere le procedure di legge. Queste grandi somme non devono essere poagate dai cittadini, ma dagli amministratori e dai funzionari comunali, come già ha iniziato a infliggere la Corte dei Conti.

Keywords: #garanteprivacy #garanteprotezionedatipersonali #sanzioniprivacy #sanzionigaranteprivacy #GDPR #fototrappole #valutazioneimpatto #tabelleinformativeprivacy #DPO #RDP #responsabileprotezionedati #ComuneOrte #Orte #Lazio #VT #MassimilianoMancini #ethicasocietas #ethicasocietasupli

Vista del Comune di Orte (VT) dal sito dell’Ente http://www.comune.orte.vt.it/

Il fatto illecito

Il Comune di Orte (VT), per contrastare il fenomeno dell’abbandono illecito dei rifiuti, ha installato delle fototrappole abusive e lo ha fatto anche senza che “nessun documento in materia [sia] apparso pubblicato all’Albo Pretorio [del] Comune (utilizzo di fototrappole, segnaletica informativa, motivo della raccolta dei dati, gestione degli stessi, ecc…)”.

Uno dei soggetti incappatti nelle riprese “…più volte […] [ha, inoltre,] presentato formale richiesta di accesso agli atti [ai sensi della l. 241/1990]”, avendo ottenuto dal Comune soltanto “una copia fotostatica dell’offerta tecnica che la società fornitrice delle fototrappole ha consegnato al comune […] al momento dell’aggiudicazione dell’appalto”.

A seguito di ciò la persona che ha subito la videoregistrazione ha segnalato il fatto al Garante che ha agito.

I fatti accertati

Il Garante ha svolto le indagini sul caso accertando che:

  • la fornitura, attivazione e messa in opera di fototrappole, da utilizzare per la repressione dei reati di illecito smaltimento dei rifiuti, costituiva offerta migliorativa della ditta aggiudicataria del servizio di igiene urbana […]”, quindi non è stata svolta preventivamente valutazione d’impatto-DPIA;
  • tale strumentazione risulta fornita e consegnata all’Ufficio competente. Purtuttavia, ai fini dell’attivazione degli stessi, interpellati gli uffici competenti, e precisamente i Responsabili del Servizio Ambiente e del Servizio Polizia Locale, gli stessi hanno riscontrato l’insussistenza di atti o provvedimenti prodromici all’avvio delle attività preventive e repressive”, quindi hanno omesso, in particolare la Polizia locale, il dovere di accertare e sanzionare le violazioni amministrative;
  • “…non risultano ancora adottati o approvati, ai fini dell’attivazione del servizio:…iniziative afferenti all’avvio effettivo del servizio e [a]lle garanzie correlate allo stesso (apposizione di cartelli informativi, stesura e apposizione di informative sul trattamento dei dati personali da rendere agli interessati, affidamento stesso di ruoli operativi in merito al trattamento dei dati in favore del soggetto fornitore del servizio di igiene urbana)…” quindi mancano persino le tabelle a norma che delimitano l’area videosorvegliata;

Il diritto

1) mancato svolgimento della valutazione d’impatto-DPIA, violazione del principio di accountability.

Che è sempre obbligatoria in tutti i casi di videosorveglianza[1] comunque essa sia realizzata, sia con strumenti mobili (fototrappole, autovelox. telelaser, sistemi di controllo della regolarità della copertura assicurativa e dello svolgimento della revisione, ecc.) e sia con sistemi fissi (sistemi urbani di videosorveglianza, barriere ZTL, ecc.), come ribadiscono anche le Linee Guida 3/2019 EBDP [2].

Risulta pertanto accertata la violazione dell’art. 35 del Regolamento che obbliga i titolari a svolgere la valutazione di impatto prima di dare inizio al trattamento, anche considerando che tale strumento è idoneo a comprovare la responsabilizzazione (accountability) del titolare nei confronti del trattamento effettuato.

2) mancata informativa sul trattamento dei dati e tabella di preavviso area videosorvegliata a norma, anche per le zone dove sono ativefototrappole.

Il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza”, in base al quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento) [3].

Nel caso di specie, il Comune non ha, invece, adottato alcuna misura per fornire l’informativa sul trattamento dei dati personali agli interessati sottoposti alla videosorveglianza, non avendo né apposto cartelli contenenti un’informativa di primo livello in prossimità delle aree videosorvegliate né messo a disposizione un’informativa completa sul trattamento dei dati personali…“, nonostante la norma imponga cartelli con contenuto minimo e tipologia ben precisa, che anche per la dimensione e il posizionamento siano ben visibili, posti prima dell’area ripresa, anche da fototrappole [4].

3) mancata indicazione del RDP/DPO, sostituzione non possibile con il segretaio comunale.

Con riguardo alla figura del RPD, la normativa in materia di protezione dei dati personali prevede che il titolare del trattamento debba comunicare i dati di contatto del RPD all’autorità di controllo (cfr. art. 37, par. 7, del Regolamento) [5], il Comune ha comunicato al Garante, quali dati di contatto del proprio RPD, gli indirizzi “segretariocomunale@comune.orte.vt.it” e “comuneorte@pec.it”, occorre evidenziare che tali dati non possono considerarsi idonei a consentire una comunicazione diretta tra l’Autorità e il RPD.

Come, infatti, chiarito dal Garante, i titolari del trattamento devono “rendere disponibili, sia nei confronti del pubblico che dell’Autorità, una casella “istituzionale” ad hoc attribuita specificamente al solo RPD, evitando l’utilizzo di caselle che siano direttamente espressione del titolare del trattamento (ad esempio, perché richiamano l’“amministrazione”, la “segreteria” o il “protocollo”)”; peraltro, anche affinché sia “effettivamente indipendente nell’esercizio delle sue funzioni …“.

La sanzione

Il Garante ha inflitto al Comune di Taranto, in persona del legale rappresentante pro-tempore (Sindaco):

  • di pagare la somma di € 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria, entro 30 giorni dalla notifica del provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
  • di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate dal Garante, entro e non oltre 30 giorni dalla data di ricezione con avviso che in difetto si applicherà una ulteriore sanzione;
  • la pubblicazione del provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;
  • l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

SCARICA L’ORDINANZA INGIUNZIONE: Sanzione per Comune di Orte, GarantePrivacy n.119 del 07/04/22

Vista della sala consiliare dal sito dell’Ente http://www.comune.orte.vt.it/

NOTE

[1] Reg.UE 2016/679 GDPR, art. 35 (Valutazione d’impatto sulla protezione dei dati) «1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che
presentano rischi elevati analoghi.
[…omissis…3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

[…omissis…]
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico».

[2] EDPB, “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati personali, adottate il 29 gennaio 2020.

[3] Reg.UE 2016/679 GDPR, art. 4 (Definizioni) «Ai fini del presente regolamento s’intende per: 1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; […omissis…]».

[4] Reg.UE 2016/679 GDPR art. 5 (Principi applicabili al trattamento di dati personali) lett. c «1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); …omissis…».

[5] Reg.UE 2016/679 GDPR art. 5 (Designazione del responsabile della protezione dei dati) «1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; […omissis…] 7. Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo».

 

ALTRE SANZIONI PER ENTI PUBBLICI:

150.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI TARANTO

3.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI MONTE S.ANGELO (FG)

3.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI S.MARCO IN LAMIS (FG)

30.000 EURO DI MULTA DAL GARANTE PER IL COMUNE DI FORMIA (LT)

75.000 EURO DI MULTA DAL GARANTE PER IL MISE E LA REGIONE LAZIO

GLI ALTRI ARTICOLI SULLA PRIVACY DELLO STESSO AUTORE:

USO ILLEGITTIMO DELLE FOTOTRAPPOLE E INAMMISSIBILITÀ DA PARTE DI AZIENDE PRIVATE

IL DIRITTO DI ACCESSO E LA TRASPARENZA NON SONO VALORI ASSOLUTI

DELLE VIOLAZIONI ALLA PRIVACY RISPONDONO I DIPENDENTI DELL’ENTE

RIPRESE ILLECITE POLIZIA SANZIONATA DAL GARANTE

I PIÙ FREQUENTI CASI DI DATA BREACH

IL FINE NON GIUSTIFICA I MEZZI

Proprietà artistica e letteraria riservata © Ethica Societas UPLI (2022)

Related posts

ANALISI DELLE IMPRONTE PAPILLARI, TRA STORIA E CRONACA-Parte 2, Nicola Caprioli e Silvestro Marascio

@Direttore

27-28 LUGLIO 1922: LA VIOLENZA FASCISTA SI ABBATTE SULLE COOPERATIVE E SUI LAVORATORI, Massimiliano e Francesco Mancini

@Direttore

100.000 EURO DI SANZIONE DAL GARANTE ALLA REGIONE LAZIO, Massimiliano Mancini

@Direttore