Videocamere e rifiuti: sanzionato un Comune per mancato rispetto della normativa

DPO in pillole: privacy e cybersecurity/ Ecco il vademecum per un impianto a prova di Garante

18 Settembre 2023
Scarica PDF Stampa
Modifica zoom
100%
di LUISA DI GIACOMO*

L’Autorità Garante per la protezione dei dati personali ha inflitto una sanzione di 45.000,00 euro a un Comune in Sicilia a causa dell’installazione di telecamere per il monitoraggio della raccolta differenziata dei rifiuti, effettuata in violazione delle leggi sulla protezione dei dati personali. Non solo, ma anche le due aziende fornitrici esterne del servizio, che avevano ricevuto dal Comune l’incarico di acquistare, installare e gestire le telecamere fisse, nonché di raccogliere e analizzare i filmati relativi alle violazioni nella gestione dei rifiuti, sono state raggiunte dalla sanzione del Garante della Privacy, rispettivamente per 10mila e 5mila euro.

Ma andiamo con ordine, perché la vicenda merita di essere analizzata non solo sotto l’aspetto della videosorveglianza e degli adempimenti correlati, ma ha il pregio di insegnarci anche un’altra lezione che faremmo bene a non dimenticare, e non solo per quanto riguarda le videocamere. L’intervento dell’Autorità è scaturito dalla segnalazione di un cittadino che aveva ricevuto multe per l’impropria disposizione dei rifiuti. Le violazioni sarebbero state rilevate più di un mese dopo la registrazione dei filmati, avvenuta senza un’adeguata informativa ai cittadini sulla presenza delle telecamere nella zona e sul trattamento dei loro dati.

È emerso infatti dall’istruttoria che il Comune aveva posto un cartello solo sul cassonetto, ma questo era poco visibile e soprattutto non aveva le caratteristiche richieste per costituire informativa breve sulla presenza delle telecamere. Inoltre, a seguito di approfondimenti da parte della Autorità, è altresì stato accertato che il Comune non aveva definito i tempi di conservazione dei dati e non aveva designato le due aziende come responsabili esterni del trattamento dati prima di iniziare l’operazione, come richiesto dalla normativa sulla privacy. In conseguenza di ciò, anche le due aziende fornitrici sono state sanzionate, l’una con la somma di 10.000,00 euro per omessa nomina e l’altra per 5.000,00 euro per ritardata nomina.

Sebbene il trattamento dei dati personali tramite telecamere di videosorveglianza da parte di enti pubblici sia ammesso se necessario per adempiere a un obbligo legale, il Garante ha sottolineato che è comunque essenziale rispettare i principi di liceità, correttezza e trasparenza nella gestione dei dati. In particolare, è necessario fornire informazioni complete e accessibili in modo chiaro e comprensibile secondo il Regolamento Generale sulla Protezione dei Dati (GDPR).

Nella valutazione delle sanzioni, il Garante ha tenuto conto del fatto che il trattamento dei dati avrebbe potuto coinvolgere sia i residenti del Comune (circa 53mila persone) sia soggetti non residenti (di cui non è stata quantificata la quantità). Tuttavia, l’Autorità ha considerato il comportamento non intenzionale del Comune e delle aziende, nonché l’assenza di precedenti violazioni da parte loro.

Lezioni da imparare da questo episodio

Prima di andare a ripassare quali sono gli adempimenti da attuare in materia di videosorveglianza pubblica, preme sottolineare alcuni aspetti collaterali della vicenda. Il primo e più lampante è che le inadempienze nell’osservare la normativa GDPR possono costare molto agli enti locali, non solo per le sanzioni del garante, ma anche per l’utilizzo potenzialmente strumentale che i cittadini ne potrebbero fare. Se è vero, come è vero, che l’abitudine di gettare i rifiuti in modo selvaggio debba essere sanzionata e ostacolata con qualunque mezzo, è altresì vero che sottovalutare “la privacy” e relegarla ad un ruolo meno che minoritario, come il solito inutile balzello burocratico, porta al doppio danno che non solo non è possibile sanzionare un comportamento illecito da parte dei cittadini, ma addirittura che ci si trova in automatico dalla parte del torto e pertanto oltre a non incassare la sanzione, l’ente è costretto a pagare a sua volta: come dire, oltre al danno, la beffa.

Secondariamente, la nomina dei fornitori quali responsabili esterni, adempimento che nella maggior parte dei casi è ritenuto non solo inutile, ma addirittura seccante, dovrebbe essere nell’interesse non solo dell’ente, ma altresì delle stesse aziende fornitrici, visto che la mancanza di nomina si riverbera direttamente su di loro e le va a toccare dove fa più male, ovvero nel portafoglio.

Ciò premesso, vediamo gli adempimenti da attuare nel caso in cui un ente voglia dotarsi di un sistema di videosorveglianza a prova di Garante.

1. Autorizzazione e Notifica
Uno dei primi adempimenti essenziali per i comuni ed enti locali che intendono utilizzare la videosorveglianza pubblica è l’ottenimento dell’autorizzazione o la notifica alle autorità competenti, se richiesto dalla legge. Questo passo è fondamentale per garantire la conformità alle leggi sulla privacy locali e nazionali.

2. Finalità Legittime
L’uso delle telecamere deve essere limitato a finalità legittime, come la sicurezza pubblica, la prevenzione del crimine o la tutela del patrimonio. La raccolta e l’elaborazione dei dati devono essere coerenti con gli scopi dichiarati e non devono andare oltre quanto strettamente necessario.

3. Informativa sul trattamento dei dati
Un principio fondamentale nell’uso della videosorveglianza pubblica è il rispetto della privacy delle persone coinvolte. È essenziale informare chiaramente il pubblico sulla presenza delle telecamere mediante segnaletica adeguata e cartelli informativi, che devono contenere le informazioni minime per assurgere al rango di informativa breve, che rimandi a una informativa estesa, ai sensi e per gli effetti dell’art. 13 del GDPR.

4. DPIA – Valutazione dell’Impatto sulla Protezione dei Dati
Il Data Protection Impact Assessment (DPIA) è un adempimento obbligatorio in caso di videosorveglianza che potrebbe comportare un rischio elevato per i diritti e le libertà delle persone. Questa valutazione dettagliata dell’impatto sulla protezione dei dati deve essere condotta e documentata per identificare i rischi per la privacy e le misure per mitigarli.

5. Conservazione dei Dati
I dati raccolti tramite videosorveglianza devono essere conservati solo per il tempo strettamente necessario per le finalità dichiarate. La definizione di un periodo di conservazione dei dati e il rispetto di questa tempistica, che devono essere chiaramente indicati nell’informativa, sono fondamentali, così come la procedura adottata dall’ente per la cancellazione dei dati non più trattati.

6. Diritti degli Interessati
Le persone filmate devono essere consapevoli dei loro diritti. Questi includono il diritto di accesso ai propri dati, il diritto all’oblio e il diritto di opporsi al trattamento dei propri dati personali.

7. Sicurezza dei Dati
Deve essere garantita la sicurezza dei dati raccolti mediante videosorveglianza. Sono necessarie misure adeguate per proteggere i dati da accessi non autorizzati o possibili violazioni della sicurezza.

8. Formazione del Personale autorizzato
Il personale coinvolto nella videosorveglianza deve essere adeguatamente formato e consapevole delle leggi sulla privacy e delle procedure corrette, così come deve essere debitamente nominato autorizzato al trattamento. Va da sé, ma giova ripeterlo, che nel caso in cui ci si serva di fornitori esterni, sarà obbligatorio nominare gli stessi responsabili esterni del trattamento.

9. Registro delle Attività di trattamento
Il trattamento di video sorveglianza deve essere incluso nel registro delle attività di trattamento, che deve essere costantemente aggiornato ogni volta che un nuovo trattamento si aggiunga (o cessi).

10. Regolamento per la videosorveglianza
Tutti gli adempimenti di cui sopra trovano la loro sintesi e vengono armonizzati nel regolamento per la videosorveglianza, che ogni ente deve adottare conformemente al proprio impianto installato (in altre parole: non vale copiare il regolamento del Comune vicino).

Sanzioni per Comuni ed Enti Locali

Il mancato rispetto degli adempimenti in materia di videosorveglianza pubblica, come visto, può comportare una serie di sanzioni per tutti i soggetti coinvolti e non si può non rilevare che le pubbliche amministrazioni e gli Enti locali sono ancora piuttosto indietro nell’adozione delle cautele necessarie per la tutela dei dati dei propri cittadini.
Ad oggi, il 71% delle sanzioni irrogate dal Garante per la protezione dei dati personali dall’entrata in vigore del GDPR riguarda proprio Enti Pubblici e si stima che il 92% delle telecamere installate violi la normativa sulla privacy.
Prima della sanzione siciliana, ricordiamo che altri Comuni (e relative aziende installatrici) sono stati sanzionati per erronea installazione di impianti di video sorveglianza (Taranto, ad esempio, sempre per un impianto dedicato alla sorveglianza dello smaltimento dei rifiuti) e che la Corte dei conti si è rivalsa direttamente sui dirigenti per chiedere il risarcimento dei danni da violazione della privacy per le sanzioni ricevute dal Garante, per i danni richiesti ed ottenuti dagli interessati: il cosiddetto danno erariale (cfr. Regione Calabria e Regione Lazio).
Alla luce di quanto precede e delle nuove sanzioni che il Garante sta continuando a comminare, per gli enti locali non c’è che una strada da seguire: quella che passa attraverso la prevenzione e, naturalmente, attraverso gli adempimenti al GDPR e l’applicazione rigorosa del mai abbastanza decantato principio di accountability.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

 

Cybersecurity - Luisa Di Giacomo* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

 

Redazione