Su quale fondamento giuridico un Comune potrebbe mai emettere un regolamento sulla videosorveglianza, considerato che la materia della privacy è sottratta persino alla potestà legislativa dello Stato?
[Ethica Societas anno 1 n.2]
Abstract: La videosorveglianza è disciplinata da un regolamento europeo (GDPR), quindi da un atto sovraordinato che agisce in limitazione della sovranità degli Stati membri, inderogabile dalla normativa nazionale, quindi sono assolutamente illegittimi i Regolamenti comunali sulla videosorveglianza e spesso anche illeciti, omettendo l’obbligo della Valutazione d’impatto sul trattamento dei dati-DPIA, che è sempre obbligatoria in questi casi altrimenti il trattamento è illecito.
Keywords: #videosorveglianza #protezionedatipersonali #regolamentovideosorveglianza #sanzioniprivacy #sanzionigaranteprivacy #valutazionedimpatto #DPIA #GDPR #MassimilianoMancini #ethicasocietas #ethicasocietasupli
L’Italia sui diritti alla protezione dei dati è uno dei fanalini di cosa in Europa e le violazioni peggiori sono commesse persino dagli enti pubblici e, soprattutto, dai Comuni.
Se oramai la videosorveglianza caratterizza, a volte anche in maniera eccessiva, tutti i territori comunali, grazie anche ai fondi generosi messi a disposizione dallo Stato, le violazioni dei diritti fondamentali dei cittadini italiani rispetto i loro dati personali ha assunto dimensioni allarmanti. D’altronde anche a occhio nudo ci si accorge che, quasi ovunque, mancano persino i cartelli conformi alla legge che avvisano dell’ingresso nell’area videosorvegliata dando l’informativa esatta; spesso si applica e si fa riferimento ancora al vecchio Codice della Privacy, il d.lgs.196/2003, quasi del tutto abrogato e sopravvissuto solo in alcune piccole parti con funzone definitoria, soprattutto per effetto del d.lgs.101/2018.
Infatti l’Italia è il secondo paese in Europa per violazioni accertate al GDPR, che colpiscono gravemente anche gli enti pubblici, soprattutto quelli locali, convinti di essere al di sopra della legge.
Nello scorso anno 2021, nonostante la pandemia, sono state elevate sanzioni per violazioni del GDPR per circa 1,1 miliardi di euro di multe con un incremento del 600% rispetto all’anno prima. In cima alla classifica ci sono Lussemburgo e Irlanda, sede di multinazionali del commercio online e dei social network. Nel Granducato è arrivata la multa più alta della storia dell’Unione Europea, 746 milioni di euro. L’Italia è seconda in Europa per numero di violazioni con 83 interventi dell’Autorità Garante (in testa c’è la Spagna con più di 250 sanzioni, segue la Romania con 57) ed è al terzo posto per multe complessive con quasi 80 milioni di euro [fonte dati IlSole24Ore] 1.
INQUADRAMENTO DEI REGOLAMENTI
L’art. 1 delle Preleggi prevede espressamente i regolamenti al secondo posto della gerarchia delle fonti del diritto, ossia tra le fonti secondarie dell’ordinamento2.
L’art. 14 del D.P.R 1199/1971, nel disciplinare i ricorsi amministrativi, definisce i regolamenti come “atti amministrativi generali a contenuto normativo”3. Essi si presentano, pertanto, come atti formalmente amministrativi, in quanto il soggetto che li emana è la pubblica amministrazione, ma sostanzialmente normativi, in quanto dal punto di vista contenutistico hanno le caratteristiche tipiche degli atti normativi, in quanto essi sono fonti del diritto, seppur secondarie.
In seguito alla riforma del titolo V, l’art. 117 comma 6 della costituzione attribuisce direttamente la potestà regolamentare:
- allo Stato, nelle materie di competenza esclusiva statale;
- alle Regioni nelle materie di competenza concorrente e residuale e, in caso di esplicita delega, anche nelle materie di competenza esclusiva statale;
- agli enti locali (Comuni, Provincie e Città metropolitane) in ordine alla disciplina e alla organizzazione delle funzioni pubbliche loro attribuite4.
LA POTESTÀ REGOLAMENTARIA COMUNALE IN MATERIA DI PRIVACY
La potestà regolamentaria dei Comuni trova il fondamento nella legge (Cost. art.117 c.6) quindi nei casi in cui lo Stato e le Regioni non hanno potestà legislativa non vi è, di conseguenza, nemmeno potestà regolamentaria.
La Costituzione consente che si possano stipulare trattati internazionali che limitino la socranità dello Stato (Cost. art.115), come avviene nel caso del Trattato di Lisbona, firmato il 13 dicembre 2007, che, tra l’altro, ha stabilito che i Regolamenti europei entrino direttamente in vigore nell’ordinamento giuridico dello Stato membro senza bisogno di alcuna norma nazionale di attuazione o conversione in legge e, soprattutto, agendo in limitazione di sovranità, essi sono sovraordinati a qualsiasi altra norma nazionale.
Quindi se nemmeno la legge può disciplinare la materia del trattamento dei dati personali potrebbe mai farlo un regolamento e allora con quale autorità il Comune può emettere regolamenti sulla videosorveglianza che è una forma di trattamento dei dati personali?
REGOLAMENTI SULLA VIDEOSORVEGLIANZA EVIDENTEMENTE ILLEGITTIMI
Mancando la legittimazione giuridica alla potestà regolamentaria di tutti gli enti pubblici territoriali (Regioni, Province e Comuni) ne consegue che tutti i Regolamenti sulla materia del trattamento dei dati -e quindi anche sulla videosorveglianza- sono nulli per difetto assoluto di attribuzione e da annullare in autotutela!
Infatti la mancanza di una fonte di legge che attribuisca il potere regolamentario in materia di protezione dei dati personali e videosorveglianza, materia sottratta alla potestà degli Stati membri, fa scaturire la tipica figura del difetto assoluto di attribuzione che determina nullità insanabile dell’atto (art. 21-septies L.241/906) e, quindi, l’obbligo per l’amministrazione che eventualmente lo avesse adottato di revocare l’atto in autotutela.
Anche allorquando si ritenga che la potestà regolamentaria del Comune, sussitendo in astratto ma mancando in concreto -com’é oggettivamente ratione materiae per la limitazione di sovranità operata dal Regolamento Europeo 2016/679- configuri, nei casi dell’adozione di Regolamenti sulla videosorveglianza, la situazione di “carenza di potere in concreto” (Cons. Stato Sez. VI, 27-01-2012, n. 372; Cons. Stato Sez IV, 26 agosto 2014, n. 4281), l’atto sarebbe annullabile e non nullo ma, comunque, illegittimo.
I “PATTI PER LA SICUREZZA”
Altro documento abusato sono gli atti adottati tra gli enti locali e le amministrazioni dello Stato ai sensi della legge 48/2017 “Conversione in legge, con modificazioni, del decreto-legge 20 febbraio 2017, n. 14, recante disposizioni urgenti in materia di sicurezza delle città”. I “patti per la sicurezza” definiscono, come prevede la stessa legge7, le forme di partecipazione e collaborazione al modello di sicurezza integrata da realizzarsi, tra l’altro, con lo scambio di informazioni tra la polizia locale e le forze di polizia presenti sul territorio.
Evidentemente la legge, non avendone competenza per le superiori norme europee, nulla dice sui sistemi di videosorveglianza, quindi non solo nessun patto tra enti locali e alcun potere dello Stato, ancor meno con le prefetture, potrà legittimare i ssitemi di videosorveglianza e tantomeno derogare alle norme del Regolamento EU 2016/679, ancor meno essere il fondamento giuridico dei Regolamenti sulla videosorveglianza, che restano illegittimi come in tutti gli altri casi, ma piuttosto la legittimità di questi accordi dovrebbe basarsi su una valutazione preliminare della legittimità e proporzionalità dei sistemi di videosorveglianza attraverso la preventiva redazione della valutazione d’impatto sul trattamento dei dati personali-DPIA (art.35 c.3 p.c Reg.UE 2016/679).
OLTRE CHE ILLEGITTIMI ANCHE ILLECITI
Il Regolamento UE 2016/679 fissa obblighi precisi per poter utilizzare lecitamente i sistemi di videosorveglianza, a cominicare dall’obbligo di dover svolgere sempre e comunque la valutazione d’impatto sul trattamento dei dati personali-DPIA (art.35 c.3 p.c Reg.UE 2016/6798).
Il Comitato Europeo per la Protezione dei Dati/European Data Protection Board (CEPD/EDPB), organismo dell’UE (art.68 Reg.UE 2016/6799) incaricato dell’interpretazione e dell’applicazione del Regolamento UE 2016/679, il 29 gennaio 202010 ha pubblicato il testo di riferimento sulla videosorveglianza in ogni forma, le Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video11, nelle quali ha dettagliato gli obblighi per tutti i soggetti pubblici e privati, ribadendo innanzitutto l’obbligo di svolgere la valutazione d’impatto sul trattamento dei dati personali-DPIA come condizione di liceità per l’esercizio di sistemi di videosorveglianza ma anche per l’installazione, nell’ottica del principio della privacy by design.
Questo obbligo vale per qualsiasi sistema di videosorveglianza su area pubblica, sia con sistemi fissi, come nei casi di:
- telecamere di contesto (a puntamento fisso eventualmente anche con obiettivo zoom motorizzato);
- telecamere di osservazione (dette anche dome ossia muovibili nella direzione di puntamento);
- telecamere di riconoscimento veicoli, eventualmente anche con sistemi di lettura automatica targhe OCR;
- barriere ZTL/Area pedonale, con rilevamento e accertamento del transito non utorizzato dei veicoli;
sia con sistemi mobili, come nei casi di:
- body cam, sistemi di videoregistrazione indossabile;
- fototrappole, sistemi di videoregistrazione mobile per il rilevamento di violazioni;
- sistemi di rilevamento della velocità (come ad es. autovelox, telelaser, ecc.), che eseguano registrazioni audiovisive della violazione e del veicolo trasgressore;
- sistemi di rilevamento delle violazioni amministrative (come ad es. scout, palmari per il sanzionamento, sistemi di rilevamento della sosta abusiva, ecc.), che eseguano registrazioni audiovisive della violazione e del veicolo trasgressore;
- sistemi di rilevamento della copertura assicurativa e della regolare revisione, installati sia su postazione fissa che su veicoli.
La valutazione d’impatto sul trattamento dei dati-DPIA deve valutare e misurare il rischio che le nuove tecnologie sempre più avanzate possano interferire con la libertà di movimento e con le scelte degli interessati alla loro riservatezza12.
Si deve poi considerare che i sistemi di videosorveglianza possono essere utilizzati non solo per fini di sicurezza ma, anche contemporaneamente, per altre finalità, come per esempio nel caso del marketing o delle analisi delle prestazioni lavorative. trasformandosi in questo modo in un sistema “intelligente” che combina ingenti quantità di dati con un aumento del rischio di utilizzo illecito.
Quindi ne consegue non solo che l’eventuale Regolamento sulla videosorveglianza sia illegittimo, ma, se manca la valutazione d’impatto sul trattameno dei dati personali-DPIA, l’atto regolamentario sia una esplicita denuncia e accertamento dell’illecità del sistema di videosorveglianza.
LE CONSEGUENZE PER LE AMMINISTRAZIONI
L’adozione del Regolamento sulla videosorveglianza, che per le motivazioni illustrate sn qui, appare di tutta evidenza che sia sempre illegittimo, può configurare situazioni di danno ai cittadini, che possono agire in giudizio contro l’amministrazione con la configurabilità di un danno erariale da parte degli amministratori che hanno adottato l’atto e dei dirigenti/funzionari che hanno curato l’istruttoria e valutato la legittimità dell’atto a cominciare dal segretario generale dell’ente.
Inoltre l’omissione della valutazioni d’impatto sul trattamento dei dati-DPIA, determina a carico degli enti pubblici così come dei soggetti privati, tra le altre cose, una sanzione sino a dieci milioni di euro (art.83 c.4 Reg.UE 2016/67913), una somma rilevante, anche se applicata in misura ridotta.
COME POSSONO DIFENDERSI I CITTADINI DAGLI ABUSI DEI COMUNI
All’inutilità dei Regolamenti sulla videosorveglianza, che sono illegittimi, si contrappone la necessità e l’obbligo della valutazione d’impatto sul trattamento dei dati personali-DPIA, che non è un atto meramente formale, ma deve contenere:
- la valutazione di un tecnico esperto esterno e indipendente (il DPO/RDP è incompatibile) che valuti e argomenti, secondo il principio dell’accountability, la sussistenza, tra l’altro, della:
-
- proporzionalità, bilanciando l’utilizzo dei mezzi in funzione del fine ultimo (art.5 c.1 TUE14 art.5 c.4 TUE15), valutando che i sistemi di ripresa nn siano semplicemente utili ma che non sia possibile ricorrere ad altro sistema meno invasivo16;
- minimizzazione dei dati, limitando il trattamento ai soli dati personali che siano indispensabili, pertinenti, come aspetto qualitativo, e adeguati, in senso quantitativo, per il perseguimento delle finalità per cui sono raccolti e trattati (art.5 c.1 p.c Reg.UE 2016/67917);
- limitazione della conservazione dei dati per un tempo strettamente necessario al conseguimento della finalità per le quali sono stati raccolti (art.5 c.1 p.e Reg.UE 2016/67918);
- trasparenza del trattamento a cominciaere dal segnale di avvertimento di accesso alle aree videosorvegliate e completezza dell’informativa fissato come cardine dei diritti dell’interessato dal GDPR (art.12 c.7 Reg.UE 2016/67919).
-
- la quantificazione del rischio secondo criteri oggettivi e misurabili, anche facendo ricorso alla norma UNI 31000;
- il parere del DPO/RDP;
- l’aggiornamento continuo della valutazione;
- l’approvazione da parte dell’organo collegiale dell’amministrazione.
In tutti i casi in cui i cittadini rilevino adozione di Regolamenti sulla videosorveglianza e l’omisisone della valutazione d’impatto sul trattamento dei dati personali-DPIA, si può rivolgere segnalazione o reclamo al Garante per la protezione dei dati personali, seguendo l’apposita procedura indicata sul sito, salvo ulteriore azione giudiziaria per il risarcimento del danno subito.
NOTE
- IlSole24Ore online: https://www.ilsole24ore.com/art/gdpr-italia-seconda-europa-violazioni-10-cyber-minacce-2022-AElH4mAB.
- Codice Civile, Disposizioni sulla legge in generale, art. 1 (Indicazione delle fonti) “Sono fonti del diritto: 1) le leggi; 2) i regolamenti; [3) le norme corporative; abrogato]4) gli usi.” .
- D.P.R. 24 novembre 1971, n. 1199, Semplificazione dei procedimenti in materia di ricorsi amministrativi, art. 14 (Decisione del ricorso straordinario) c.3 “Qualora il decreto di decisione del ricorso straordinario pronunci l’annullamento di atti amministrativi generali a contenuto normativo, […omissis…]”.
- Costituzione, art. 117 c.6 “La potestà regolamentare spetta allo Stato nelle materie di legislazione esclusiva, salva delega alle Regioni. La potestà regolamentare spetta alle Regioni in ogni altra materia. I Comuni, le Province e le Città metropolitane hanno potestà regolamentare in ordine alla disciplina dell’organizzazione e dello svolgimento delle funzioni loro attribuite”.
- Costituzione, art.11 “L’Italia […omissis…] consente, in condizioni di parità con gli altri Stati, alle limitazioni di sovranità necessarie ad un ordinamento che assicuri la pace e la giustizia fra le Nazioni; promuove e favorisce le organizzazioni internazionali rivolte a tale scopo”.
- L.241/90, art.21-septies (Nullità del provvedimento) “1. È nullo il provvedimento amministrativo che manca degli elementi essenziali, che è viziato da difetto assoluto di attribuzione, che è stato adottato in violazione o elusione del giudicato, nonché negli altri casi espressamente previsti dalla legge”.
- decreto-legge 14/2017 coordinato con la legge di conversione 48/2017, art.1 (Oggetto e definizione) “1. La presente Sezione disciplina, anche in attuazione dell’art. 118, terzo comma, della Costituzione, modalità e strumenti di coordinamento tra Stato, Regioni e Province autonome di Trento e Bolzano ed enti locali in materia di politiche pubbliche per la promozione della sicurezza integrata. 2. Ai fni del presente decreto, si intende per sicurezza integrata l’insieme degli interventi assicurati dallo Stato, dalle Regioni, dalle Province autonome di Trento e Bolzano e dagli enti locali, nonché da altri soggetti istituzionali, al ¿ne di concorrere, ciascuno nell’ambito delle proprie competenze e responsabilità, alla promozione e all’attuazione di un sistema unitario e integrato di sicurezza per il benessere delle comunità territoriali”.
- Regolamento UE 2016/679 GDPR, art. 35 c.3: «La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: […]c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.».
- Regolamento UE 2016/679 GDPR, art. 68 (Comitato europeo per la protezione dei dati) c.1: «Il comitato europeo per la protezione dei dati («comitato») è istituito quale organismo dell’Unione […]».
- Arrivate alla versione 2.1 con l’ulteriore correzione di un errore materiale il 26 febbraio 2020.
- Nel testo originale denominate “Guidelines 3/2019 on processing of personal data through video devices”.
- EDPB-European Data Protection Board. Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video. Versione 2.1 26 febraio 2020. Punto 1 «L’uso intensivo di dispositivi video influisce sul comportamento dei cittadini. Un ricorso significativo a tali strumenti in numerosi ambiti della vita delle persone eserciterà su queste ultime un’ulteriore pressione per impedire il rilevamento di quelle che potrebbero essere percepite come anomalie. Di fatto, queste tecnologie possono limitare le possibilità di muoversi e di utilizzare servizi in maniera anonima nonché, in linea generale, la possibilità di passare inosservati. Le conseguenze per la protezione dei dati sono enormi.».
- Reg. UE/2016/679 GDPR, art.83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie) c.4 «In conformità del paragrafo 2 la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11 da 25 a 39, 42 e 43…omissis…».
- Trattato sull’Unione europea (versione consilidata), art. 5 c.1: «La delimitazione delle competenze dell’Unione si fonda sul principio di attribuzione. L’esercizio delle competenze dell’Unione si fonda sui principi di sussidiarietà e proporzionalità.».
- Trattato sull’Unione europea (versione consilidata), art. 5 c.4: «In virtù del principio di proporzionalità, il contenuto e la forma dell’azione dell’Unione si limitano a quanto necessario per il conseguimento degli obiettivi dei trattati.».
- EDPB-European Data Protection Board. Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video. Versione 2.1 26 febraio 2020. Punto 1.5 «La videosorveglianza non è di per sé indispensabile se esistono altri mezzi per raggiungere lo scopo che ci si prefigge. Altrimenti si rischia di modificare le norme culturali con la conseguenza di ammettere come regola l’assenza di privacy.».
- Regolamento UE 2016/679 GDPR, art. 5 (Principi applicabili al trattamento dei dati) c.1: «I dati personali sono: […] c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalit per le quali sono trattati (“minimizzazione dei dati”);».
- Regolamento UE 2016/679 GDPR, art. 5 (Principi applicabili al trattamento dei dati) c.1: «I dati personali sono: […] e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; […] fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);».
- EDPB-European Data Protection Board. Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video. Versione 2.0 29 gennaio 2020. Punto 2 Ambito di applicazione “7. La sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi […]. Ciò si riflette nel RGPD […] all’articolo 37 paragrafo 1 lettera b) che impone ai responsabili del trattamento di designare un responsabile della protezione dei dati se la tipologia di trattamento per sua natura richiede il monitoraggio regolare e sistematico degli interessati.”.
PER SAPERNE DI PIÙ ISCRIVETEVI ALLA CONFERENZA GRATUITA IN OCCASIONE DELLA SESSIONE SPECIALE UPLI A “LE GIORNATE DELLA POLIZIA LOCALE” A RICCIONE
15 SETTEMBRE ORE 9:30-13:00 (posti limitati)
>>CLICCARE QUI<<
ALTRE SANZIONI PER ENTI PUBBLICI:
2.000 EURO DI SANZIONE DAL GARANTE AL COMUNE DI COLLEGNO (TO)
7.500 EURO DI SANZIONE DAL GARANTE PER LA ASL DI FROSINONE
20.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI ORTE (VT)
150.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI TARANTO
3.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI MONTE S.ANGELO (FG)
3.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI S.MARCO IN LAMIS (FG)
30.000 EURO DI MULTA DAL GARANTE PER IL COMUNE DI FORMIA (LT)
75.000 EURO DI MULTA DAL GARANTE PER IL MISE E LA REGIONE LAZIO
GLI ALTRI ARTICOLI SULLA PRIVACY DELLO STESSO AUTORE:
USO ILLEGITTIMO DELLE FOTOTRAPPOLE E INAMMISSIBILITÀ DA PARTE DI AZIENDE PRIVATE
IL DIRITTO DI ACCESSO E LA TRASPARENZA NON SONO VALORI ASSOLUTI
DELLE VIOLAZIONI ALLA PRIVACY RISPONDONO I DIPENDENTI DELL’ENTE
RIPRESE ILLECITE POLIZIA SANZIONATA DAL GARANTE
I PIÙ FREQUENTI CASI DI DATA BREACH
IL FINE NON GIUSTIFICA I MEZZI