gdpr

Garante vs Comune di Portici: Provvedimento del 12 dicembre 2024

Premessa

Il Garante per la Protezione dei Dati Personali ha emesso un provvedimento nei confronti del Comune di Portici. La decisione fa seguito a segnalazioni riguardanti l’uso improprio di un sistema di videosorveglianza per rilevare infrazioni al codice della strada. Il Garante ha riscontrato violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR) in merito alla trasparenza, all’informativa agli interessati e alla mancata valutazione d’impatto. Di conseguenza, è stata inflitta una sanzione amministrativa pecuniaria di 6.000 euro al Comune, con l’obbligo di pubblicazione del provvedimento sul sito web del Garante. Il Comune ha comunque attuato misure correttive.

Indice

Cosa lamentavano i cittadini nella segnalazione iniziale?

Nella segnalazione iniziale, diversi cittadini lamentavano una presunta violazione della disciplina in materia di protezione dei dati personali dovuta all’uso di un sistema di videosorveglianza da parte del Comune di Portici per accertare le infrazioni al Codice della Strada.
Nello specifico, i cittadini segnalavano l’assenza di un’adeguata informativa ai sensi dell’art. 12 e seguenti del Regolamento (UE) 2016/679. Contestavano, infatti, la mancata apposizione di cartelli informativi nelle vicinanze delle telecamere, come evidenziato dalle fotografie allegate alla segnalazione.
La mancanza di segnaletica che avvertisse della presenza di telecamere e fornisse informazioni sul trattamento dei dati personali era, quindi, il punto centrale delle lamentele dei cittadini. Questo tipo di segnaletica è essenziale per garantire la trasparenza del trattamento, informando gli interessati sulle finalità della videosorveglianza, sull’identità del titolare del trattamento e sui loro diritti.
Inoltre, è importante notare che l’informativa di primo livello (il cartello di avvertimento) dovrebbe comunicare i dati più importanti, come le finalità del trattamento, l’identità del titolare e l’esistenza dei diritti dell’interessato, insieme alle informazioni sugli impatti più consistenti del trattamento.
I cittadini, quindi, sollevavano una questione fondamentale riguardante il diritto ad essere informati sul trattamento dei propri dati personali, un principio cardine del GDPR.

Quali principi chiave del GDPR sono stati violati dal Comune di Portici?

Il Comune di Portici ha violato diversi principi chiave del Regolamento Generale sulla Protezione dei Dati (GDPR). In particolare, il Garante ha rilevato violazioni degli artt. 5, par. 1, lett. a), 12, 13 e 35 del Regolamento.

Le violazioni principali riguardano:

  • Il principio di “liceità, correttezza e trasparenza”: Il Comune non ha trattato i dati personali in modo lecito, corretto e trasparente nei confronti degli interessati. Ciò è dovuto alla mancata fornitura di un’adeguata informativa agli interessati riguardo all’utilizzo del sistema di videosorveglianza per l’accertamento delle infrazioni al Codice della Strada. Nello specifico, non sono stati apposti cartelli informativi nei pressi dei luoghi in cui erano posizionate le telecamere, come previsto dall’art. 12 e seguenti del Regolamento.
  • L’obbligo di informativa: Il titolare del trattamento deve fornire all’interessato tutte le informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. In caso di utilizzo di dispositivi video, è necessario fornire sia un’informativa di primo livello (cartello di avvertimento) sia un’informativa di secondo livello contenente tutti gli elementi obbligatori a norma dell’art. 13 del Regolamento. Il Comune di Portici non ha fornito questa informativa dal momento in cui il sistema video è entrato in funzione (XX) fino al XX.
  • L’obbligo di valutazione d’impatto sulla protezione dei dati (DPIA): In caso di rischi elevati per gli interessati, derivanti ad esempio dall’uso di nuove tecnologie e dalla sorveglianza sistematica su larga scala di una zona accessibile al pubblico, il titolare del trattamento deve effettuare una DPIA. Il Comune non ha effettuato questa valutazione prima di iniziare il trattamento dei dati, ritenendo erroneamente che non fosse necessaria. Tuttavia, il Garante ha sottolineato che la DPIA era obbligatoria in quanto il sistema di videosorveglianza realizzava una sorveglianza sistematica su larga scala, raccogliendo numerosi dati relativi all’ubicazione e alla circolazione degli interessati.

In sintesi, il Comune di Portici ha violato i principi di trasparenza e correttezza nel trattamento dei dati personali, non fornendo un’adeguata informativa agli interessati e omettendo di effettuare una valutazione d’impatto preventiva, in violazione degli artt. 5, 12, 13 e 35 del Regolamento.

Come ha risposto il Comune di Portici alle preoccupazioni sollevate dal GarantePrivacy?

In risposta alla contestazione del GarantePrivacy, il Comune di Portici ha intrapreso diverse azioni per allinearsi alla normativa vigente in materia di protezione dei dati personali.

Innanzitutto, il Comune ha dichiarato di essersi attivato immediatamente per sanare le presunte violazioni e minimizzare gli effetti negativi sulla protezione dei dati personali degli interessati. Il sistema di rilevamento delle infrazioni semaforiche EnVES EVO MVD 1505, approvato dal Ministero delle Infrastrutture e dei Trasporti, è stato installato in due località del territorio comunale. Il Comune ha ammesso che il sistema è stato in funzione dal XX al XX in violazione delle norme, fino a quando non sono stati installati dei cartelli informativi conformi alle linee guida europee per la protezione dei dati attraverso dispositivi video.

Le misure adottate dal Comune a seguito della comunicazione del Garante includono:

  • Installazione di segnaletica informativa di primo livello presso le postazioni semaforiche, conforme alle linee guida europee e ai provvedimenti del Garante in materia di videosorveglianza. Questi cartelli riportano informazioni come le finalità del trattamento, l’identità del titolare, i contatti del responsabile della protezione dei dati, i tempi di conservazione, i diritti dell’interessato e un riferimento all’informativa di secondo livello.
  • Pubblicazione sul sito del Comune dell’informativa estesa sul trattamento dei dati personali tramite i dispositivi di rilevazione delle infrazioni al Codice della Strada, disponibile anche presso lo sportello del Comando di Polizia Municipale e, su richiesta, tramite P.e.c. o P.e.o. Nella stessa sezione è stato pubblicato il Regolamento per la gestione e l’utilizzo del sistema di videosorveglianza.
  • Pubblicazione di un fac-simile specifico per l’esercizio dei diritti in materia di protezione dei dati personali, disponibile online e presso lo sportello del Comando di Polizia Municipale.

Inoltre, il Comune ha implementato misure organizzative, tra cui:

  • Disposizioni operative e procedure interne che prevedono il confronto con il DPO (Data Protection Officer) per qualsiasi iniziativa che comporti un trattamento di dati personali.
  • Sessioni di formazione e istruzioni operative specifiche per il personale autorizzato al trattamento dei dati personali.
  • Aggiornamento del Regolamento per la gestione e l’utilizzo del sistema di videosorveglianza e approvazione della DPIA (Data Protection Impact Assessment).

Il Comune ha anche redatto una Valutazione d’impatto sulla protezione dei dati (art. 35 GDPR) relativa al trattamento dei dati personali rilevati dai dispositivi di ripresa foto/video compresi nel sistema di rilevazione delle infrazioni.

Durante l’audizione, il Comune ha precisato di aver adottato immediatamente provvedimenti per correggere le criticità segnalate, spinto dalla necessità di affrontare emergenze legate alla viabilità, incidenti stradali, inquinamento acustico e ambientale. Il Comune ha riconosciuto che inizialmente non era stato immaginato un impatto così rilevante sulla protezione dei dati personali dei cittadini. È stato anche evidenziato che, indipendentemente dalla comunicazione del Garante, il Comandante della Polizia locale e il DPO del Comune avevano già avviato un’attività di messa in regola delle attività legate all’accertamento delle infrazioni stradali.

Nonostante queste azioni, il Garante ha ritenuto che le dichiarazioni del Comune non fossero sufficienti a superare i rilievi notificati e ha confermato l’illiceità del trattamento dei dati personali effettuato, sanzionando il Comune per violazione degli artt. 5, 12, 13 e 35 del Regolamento. Il Garante ha riconosciuto il carattere colposo della violazione e la cooperazione del Comune nel porre rimedio alla situazione, elementi che hanno influito sulla quantificazione della sanzione.

Qual è il ruolo e l’importanza della valutazione d’impatto nel trattamento dei dati?

La valutazione d’impatto sulla protezione dei dati (DPIA) svolge un ruolo cruciale nel trattamento dei dati personali, specialmente quando tale trattamento presenta rischi elevati per gli interessati. L’art. 35 del Regolamento (UE) 2016/679 (GDPR) sottolinea l’importanza di questa valutazione, richiedendola in situazioni in cui si utilizzano nuove tecnologie e quando si effettua una sorveglianza sistematica su larga scala di aree accessibili al pubblico.

La DPIA è uno strumento fondamentale per la responsabilizzazione (accountability) del titolare del trattamento. Essa permette di comprovare che il titolare ha considerato attentamente i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei dati e ha adottato misure adeguate per affrontarli. Effettuare una DPIA significa valutare in anticipo i potenziali impatti sulla protezione dei dati, identificando e mitigando i rischi prima che si verifichino.

Nel caso specifico del Comune di Portici, il Garante ha evidenziato che la valutazione d’impatto era necessaria a causa della sorveglianza sistematica su larga scala realizzata attraverso il sistema di videosorveglianza. Questa sorveglianza permetteva la raccolta di numerosi dati relativi all’ubicazione e alla circolazione degli individui, aumentando il rischio per i loro diritti e libertà. Il Comune, non avendo effettuato la DPIA prima di avviare il trattamento, ha violato l’art. 35 del Regolamento.

La DPIA deve essere svolta prima di iniziare il trattamento dei dati. Questo permette di identificare tempestivamente i rischi e di adottare le misure necessarie per mitigarli. La valutazione non è solo un adempimento formale, ma uno strumento attivo per garantire che il trattamento dei dati sia conforme ai principi di protezione dei dati fin dall’inizio.

La mancata effettuazione di una DPIA, quando necessaria, può portare a sanzioni amministrative pecuniarie, come previsto dall’art. 83 del Regolamento. Nel caso del Comune di Portici, la violazione degli artt. 5, 12, 13 e 35 del Regolamento ha portato a una sanzione di 6.000,00 euro. Questo sottolinea l’importanza di prendere sul serio l’obbligo di effettuare una DPIA e di documentare adeguatamente il processo di valutazione e le misure adottate.

Inoltre, la Linee Guida 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023 del Comitato europeo per la protezione dei dati, punto 60, menzionata nel documento, classifica la gravità della violazione commessa dal titolare del trattamento, in questo caso il Comune, come di grado medio.

Quali misure correttive ha adottato il Comune?

Il Comune di Portici, a seguito dei rilievi mossi dal Garante per la Protezione dei Dati Personali, ha implementato una serie di misure correttive volte a sanare le violazioni riscontrate e a garantire la conformità al Regolamento Generale sulla Protezione dei Dati (GDPR). Queste misure spaziano dall’installazione di segnaletica informativa alla pubblicazione di informative dettagliate, fino all’adozione di procedure interne e alla redazione di una valutazione d’impatto sulla protezione dei dati.

In primo luogo, il Comune ha provveduto all’installazione di segnaletica informativa di primo livello presso le postazioni semaforiche interessate. Questi cartelli, conformi alle linee guida europee e ai provvedimenti del Garante in materia di videosorveglianza, forniscono agli interessati le informazioni essenziali sul trattamento dei dati personali effettuato attraverso il sistema di rilevazione delle infrazioni. Tra le informazioni riportate figurano le finalità del trattamento, l’identità del titolare, i contatti del responsabile della protezione dei dati (DPO), i tempi di conservazione dei dati, l’esistenza dei diritti dell’interessato e un riferimento all’informativa di secondo livello.

Parallelamente, il Comune ha pubblicato sul proprio sito web un’informativa estesa sul trattamento dei dati personali tramite i dispositivi di rilevazione delle infrazioni al Codice della Strada. Questa informativa, disponibile anche presso lo sportello del Comando di Polizia Municipale e, su richiesta, tramite posta elettronica, fornisce agli interessati tutti i dettagli necessari per comprendere le modalità e le finalità del trattamento dei loro dati. Nella stessa sezione del sito web è stato inoltre pubblicato il Regolamento per la gestione e l’utilizzo del sistema di videosorveglianza, che disciplina le attività di trattamento dei dati personali effettuate attraverso il sistema di videosorveglianza.

Per facilitare l’esercizio dei diritti degli interessati in materia di protezione dei dati personali, il Comune ha pubblicato un apposito modulo sul proprio sito web. Questo modulo, disponibile anche presso lo sportello del Comando di Polizia Municipale, consente agli interessati di presentare richieste di accesso, rettifica, cancellazione, limitazione o opposizione al trattamento dei propri dati personali.

Oltre a queste misure di carattere informativo, il Comune ha adottato una serie di misure organizzative volte a garantire la conformità al GDPR. In particolare, sono state definite disposizioni operative e procedure interne che prevedono il coinvolgimento del DPO in qualsiasi iniziativa che comporti un trattamento di dati personali. È stata inoltre prevista la somministrazione di specifiche sessioni di formazione e istruzioni operative al personale autorizzato al trattamento dei dati personali. Infine, è stato aggiornato il Regolamento per la gestione e l’utilizzo del sistema di videosorveglianza ed è stata approvata una Valutazione d’impatto sulla protezione dei dati (DPIA) relativa al trattamento dei dati personali rilevati dai dispositivi di ripresa foto/video compresi nel sistema di rilevazione delle infrazioni.

Il Comune di Portici, riconoscendo l’importanza della valutazione d’impatto (DPIA), ha provveduto a redigere tale documento, come richiesto dall’art. 35 del GDPR, al fine di valutare i rischi specifici associati al trattamento dei dati personali mediante il sistema di videosorveglianza e di individuare le misure più appropriate per mitigarli.

Nonostante l’adozione di queste misure correttive, il Garante ha ritenuto che le violazioni degli artt. 5, 12, 13 e 35 del Regolamento fossero comunque sussistenti, e ha pertanto sanzionato il Comune. Tuttavia, il Garante ha tenuto conto del carattere colposo della violazione e della cooperazione del Comune nel porre rimedio alla situazione, elementi che hanno influito sulla quantificazione della sanzione.

È importante notare che il Comune ha dichiarato di aver adottato immediatamente dei provvedimenti volti a correggere le criticità segnalate e contestate, e che, indipendentemente dalla comunicazione del Garante, il Comandante della Polizia locale e il DPO del Comune avevano già predisposto un’attività di messa in regola delle attività legate all’accertamento delle infrazioni stradali. Questo dimostra un impegno da parte del Comune a garantire la protezione dei dati personali dei cittadini, anche se inizialmente non era stata pienamente compresa la portata degli obblighi derivanti dal GDPR.

Quale sanzione pecuniaria ha inflitto il Garante?

Il Garante per la Protezione dei Dati Personali ha inflitto al Comune di Portici una sanzione amministrativa pecuniaria di 6.000,00 euro. Questa sanzione è stata comminata a seguito della constatazione di illeicità nel trattamento dei dati personali effettuato dal Comune, in violazione degli artt. 5, par. 1, lett. a), 12, 13 e 35 del Regolamento.

La decisione di sanzionare il Comune è motivata dal mancato rispetto del principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento), in quanto l’ente non aveva provveduto a fornire un’informativa adeguata agli interessati riguardo al trattamento dei loro dati, omettendo anche di predisporre una valutazione d’impatto prima di avviare il trattamento.

Tuttavia, nella determinazione dell’ammontare della sanzione, il Garante ha tenuto conto di una serie di fattori attenuanti:

  • Il carattere colposo della violazione: il Comune inizialmente riteneva erroneamente di non essere tenuto agli adempimenti richiesti, provvedendo poi a sanare la situazione non appena avviata l’istruttoria.
  • L’assenza di precedenti violazioni pertinenti commesse dal Comune.
  • Il grado di cooperazione manifestato dal Comune con l’Autorità di controllo, volto a porre rimedio alla violazione e ad attenuarne i possibili effetti negativi. Il Comune ha tempestivamente provveduto a fornire l’informativa di primo livello mediante l’affissione di cartelli informativi e a pubblicare un’informativa di secondo livello sul proprio sito istituzionale, oltre ad aver redatto la valutazione d’impatto.
  • Il fatto che i trattamenti in questione non riguardassero categorie particolari di dati.

Nonostante la sanzione pecuniaria, il Garante ha riconosciuto gli sforzi del Comune nel correggere le criticità riscontrate, evidenziando come l’ente avesse adottato tempestivamente misure volte a conformarsi alla normativa in materia di protezione dei dati personali.

Il Garante ha anche disposto la pubblicazione dell’ordinanza ingiunzione sul proprio sito internet.

GarantePrivacy-10102334-1.0Download

Un podcast con accento straniero

I commenti sono chiusi.