L’Autorità Garante per la protezione dei dati personali ha sanzionato AMIU Taranto S.p.A. per aver pubblicato sulle proprie pagine social video di cittadini che violavano la normativa sullo smaltimento dei rifiuti ripresi dalle fototrappole.
Fra le varie motivazioni, spicca il fatto che il trattamento dei dati personali era privo di una idonea base giuridica. Per lo stesso fatto è stato anche sanzionato il Comune di Taranto, per non aver informato i cittadini della presenza delle fototrappole e non aver svolto una DPIA sul trattamento.
Videosorveglianza in azienda: guida pratica per disegnare un processo aziendale compliant
Indice degli argomenti
Filmati ripresi dalle fototrappole: i fatti
AMIU Taranto S.p.A., l’azienda in house del Comune di Taranto per l’igiene urbana, sin dal 2012 ha installato, affidandosi alla società ITS S.r.l., alcune fototrappole nei pressi dei cassonetti per lo smaltimento dei rifiuti solidi urbani. Detto sistema di videosorveglianza è stato predisposto per poter perseguire al meglio i cittadini non rispettosi della normativa di settore: infatti, è indubbio che rende più facilmente identificabili i trasgressori, onde poter elevare i verbali per i loro comportamenti illeciti.
L’Autorità Garante, avviata l’attività ispettiva, ha rilevato che AMIU e il Comune di Taranto, destinatario di un’altra ordinanza ingiunzione resa contestualmente a quella nei confronti della municipalizzata, non avessero rispettato la vigente normativa in materia di protezione dei dati personali, commettendo una serie di violazioni che hanno causato loro l’irrogazione di due sanzioni, rispettivamente di 200mila euro e 150mila euro.
Vediamo quali sono state le ragioni si cui si sono basate entrambe le decisioni del Garante.
Mancanza di un’idonea base giuridica e limitazione della finalità
Secondo l’ordinanza ingiunzione dell’Autorità, l’installazione delle c.d. fototrappole non costituisce di per se stessa una violazione della normativa in materia di protezione dei dati personali, dato che è finalizzata all’accertamento e alla contestazione degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali sullo smaltimento dei rifiuti urbani. Ciò che invece costituisce un illecito è la pubblicazione sulle pagine social della società in house dei video che ritraggono i trasgressori, anche se i loro volti sono stati opportunamente mascherati.
Infatti, come si legge chiaramente nell’ordinanza in esame, la diffusione dei dati personali, riferiti o riferibili agli interessati, raccolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, può avvenire solamente se sia prevista da una norma di legge o, comunque, da un regolamento.
AMIU, durante la fase istruttoria, non ha mai indicato quale sia questa normativa, e, quindi, il trattamento dei dati dei trasgressori è avvenuto in violazione dei principi di liceità, corretta e trasparenza, così come previsto dal combinato disposto di cui all’art. 6 par. 3 lett. B) del GDPR e dal comma 3 dell’art. 2-ter del Codice Privacy.
Dunque, l’azienda non poteva in alcun modo pubblicare le immagini del trasgressore sulla propria pagina Facebook, dato che la loro ostensione indiscriminata non è prevista da alcuna normativa di specie.
Ancora, secondo il Garante, dagli atti pervenuti non risulterebbe che la diffusione sui social network delle immagini, qualificata come ulteriore trattamento di dati personali, non risulta compatibile con le finalità in base ai quali sono stati precedentemente raccolti e trattati, violando così il principio di limitazione della finalità. Per l’Autorità, infatti, bisogna procedere con estrema cautela alla diffusione dei dati personali sui social network, anche se per finalità dimostrative, educative e di deterrenza.
L’identificabilità dell’interessato e il mascheramento del volto
Dunque, chiarita l’illegittimità della pubblicazione dei video che ritraevano i trasgressori nell’atto di violare la normativa sui rifiuti, è opportuno soffermarsi sul fatto che il Garante ha inteso rendere l’ordinanza ingiunzione anche perché il soggetto ritratto nel video oggetto della segnalazione poteva ben essere identificato da alcuni elementi rinvenibili nelle immagini registrate, nonostante il suo volto fosse stato mascherato.
A tal proposito, l’Autorità ha evidenziato che il GDPR tutela i dati personali riferiti o riferibili agli interessati, quindi anche se il soggetto è riconoscibile da altri elementi che non siano necessariamente il suo volto o il suo numero di targa. Nel caso di specie, la persona ritratta poteva ben essere identificata da altri fattori presenti nel video.
Tra l’altro, l’AMIU non ha mai adottato alcuna procedura sul mascheramento dei volti, né autorizzato i propri dipendenti ad eseguire dette operazioni, senza nemmeno formarli adeguatamente. Perciò, il personale eseguiva dette operazioni non solo senza gli opportuni permessi, ma anche sulla scorta della propria esperienza.
I rapporti fra il Comune di Taranto, AMIU e ITS S.r.l.
Il Comune di Taranto aveva adottato il 28 marzo 2012 l’ordinanza sindacale con la quale ha conferito ad AMIU i poteri di accertamento e contestazione degli illeciti amministrativi derivanti dalla violazione della normativa sullo smaltimento dei rifiuti, ma, sino al 14 gennaio 2022, non erano stati disciplinato in alcun modo i ruoli privacy fra i due enti, nonostante tale obbligo fosse previsto anche dalla normativa previgente.
Dunque, AMIU si è rivolta ad ITS (che, invece, è stata regolarmente designata come responsabile del trattamento), in totale autonomia, senza, cioè, avere un’autorizzazione scritta da parte del Comune, così previsto dal GDPR.
Dunque, l’Autorità ha ritenuto di multare anche il Comune, proprio perché non aveva disciplinato le responsabilità in merito al trattamento dei dati personali con AMIU.
La mancata nomina del DPO dell’AMIU
Secondo il Garante, AMIU Taranto S.p.A., esercitando una attività di natura sostanzialmente pubblica che comporta, in nuce, un monitoraggio regolare e sistematico degli interessati su larga scala, avrebbe dovuto nominare un proprio responsabile per la protezione dei dati personali (RPD o DPO, Data Protection Officer).
Tale mancanza costituisce una violazione dell’art. 37 del GDPR e, pertanto, è stata inclusa nel computo della sanzione comminata all’azienda.
L’inesistenza dell’informativa sul trattamento dei dati personali
Altra motivazione sulla quale s’è basata la sanzione comminata al Comune, è il fatto che il civico ente, quale titolare del trattamento dei dati personali dei propri cittadini, non aveva installato nei pressi delle fototrappole i cartelli contenenti l’informativa breve sul trattamento dei dati personali, cartelli che, peraltro, avrebbero dovuto contenere anche le indicazioni per la consultazione di una informativa estesa.
Il Garante ha ricordato anche che nel caso in cui un Comune installi un sistema di videosorveglianza, ha l’obbligo di esporre una informativa breve sul trattamento dei dati, informativa che deve riportare anche le modalità per la consultazione dell’informativa dettagliata.
Informative privacy, prendiamo esempio dal bugiardino dei farmaci: istruzioni per l’uso
L’insussistenza di una valutazione di impatto (DPIA)
Le recenti linee guida del Garante in materia di videosorveglianza prevedono espressamente l’obbligo per i comuni di svolgere la valutazione di impatto ove installino dei simili impianti.
Il Comune di Taranto, quale titolare, non ha svolto alcuna valutazione di impatto e, anche tale mancanza, è stata ritenuta grave ed ha concorso nella determinazione dell’importo della sanzione comminata all’ente.
Conclusioni
Per dovere di cronaca, è giusto premettere che la S.p.A. AMIU Taranto ha annunciato di aver impugnato l’ordinanza del Garante, ritenendo di non dover fare alcun passo indietro sul sistema di deterrenza adottato, nonostante non abbia presentato al Garante nessuna memoria difensiva al termine della fase istruttoria.
Ad ogni modo, dalla lettura di entrambe le ordinanze ingiunzione, è evidente che i due enti siano incorsi in una serie di violazioni dei principi su cui si fonda il GDPR e di alcune prescrizioni che non sono certamente di una complessa interpretazione giuridica del dettato normativo che può essere messa in discussione in sede di opposizione.
È, quindi, opportuno che tutti i Comuni e le società in house di smaltimento dei rifiuti, ove vogliano adottare sistemi invasivi della sfera privata per l’accertamento delle violazioni, rispettino quanto previsto dalla vigente normativa, nel rispetto dei diritti dei propri cittadini.
