Videosorveglianza: stangata di 200.000,00 Euro ad Amiu S.p.A. di Taranto

Rispondi
Giancarlo Favero
Messaggi: 159
Iscritto il: dom gen 24, 2021 6:45 am

Videosorveglianza: stangata di 200.000,00 Euro ad Amiu S.p.A. di Taranto

Messaggio da Giancarlo Favero »

E direi che bene ha fatto il Garante ad irrogare una sanzione così pesante, perché questi signori hanno violato praticamente tutto ciò che era violabile in materia di Videosorveglianza e non solo.

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9777996

Grazie e buona lettura,

Giancarlo Favero

Ordinanza ingiunzione nei confronti di società Amiu s.p.a. - 28 aprile 2022

Registro dei provvedimenti
n. 163 del 28 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

1. Premessa

Da una segnalazione pervenuta all’Autorità nel mese di XX è emerso che la società Amiu s.p.a. (di seguito, la società), gestore del servizio di raccolta dei rifiuti urbani per il Comune di Taranto (di seguito, il Comune), ha installato alcune videocamere allo scopo di individuare e sanzionare comportamenti illegali.

Da quanto risulta nella segnalazione, la società avrebbe diffuso, attraverso la pubblicazione nel proprio profilo Facebook, alcuni video (cfr. allegato video delXX) e alcune immagini, raccolte attraverso i sistemi di videosorveglianza installati sul territorio comunale, dalle quali risulterebbero identificati o identificabili alcuni soggetti interessati.

2. L’attività istruttoria

Con nota dell’XX, in risposta alla richiesta di informazioni dell’Autorità (prot. n. XX dell'XX), la società ha dichiarato, tra l’altro, che:

- “opera nel settore dei servizi pubblici locali, ed in particolare in quello della gestione del ciclo dei rifiuti. Fra i suoi obiettivi vi è la salvaguardia dell'ambiente e del territorio, per il cui conseguimento svolge attività in materia di igiene e decoro urbano, raccolta, trasporto e smaltimento rifiuti”;

- “è una società in house con controllo 100% del Comune di Taranto”;

- “nonostante l’impegno profuso dalle forze dell’ordine ed in particolare dalla Polizia Municipale in materia di tutela ambientale e decoro urbano, l'ampiezza del territorio rapportato con le dotazioni organiche non permette una efficace e capillare attività di controllo. Con Ordinanza Sindacale n.22 del 28/03/2012 è stato disposto pertanto il conferimento al personale dell'AMIU Taranto SPA, totalmente partecipata dall’Ente, delle funzioni di accertamento e contestazione immediata degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali sullo smaltimento dei rifiuti. Tale conferimento riguarda anche il divieto di abbandono dei rifiuti, ai sensi dell’art.255 del D.Lgs. 152/2006”;

- “dato il dilagante fenomeno dell’abbandono dei rifiuti, al fine di contenere questi atti di inciviltà, l’Amministrazione del Comune di Taranto e AMIU Taranto S.p.A., hanno condiviso la volontà di installare nei siti più sensibili, dove gli abbandoni si ripetono, dei sistemi di videosorveglianza/fototrappole”;

- “il Comune di Taranto […] con Decreto Sindacale […] del 15/03/2021, ha conferito l’incarico di ausiliari ecologici a dei Dipendenti di AMIU Taranto S.p.A.”;

- “in tale Decreto, sono indicate anche le modalità di trasmissione degli illeciti: trasmetterà i verbali di accertamento delle infrazioni, con irrogazione della sanzione, alla Direzione Polizia Locale di Taranto che curerà i conseguenziali adempimenti relativi alla verifica del pagamento in misura ridotta ovvero all'attivazione del procedimento ex art. 18 L.n. 689/81 […]”;

- “Con riferimento alla citata pubblicazione di alcuni video immagini sui social, si precisa quanto segue: AI fine di migliorare l’azione mediatica del sistema di sorveglianza e attuare una maggiore deterrenza del sistema di videosorveglianza installato, la Direzione AMIU Taranto S.p.A. pubblica alcune immagini sui social avendo cura di occultare gli elementi che possono permettere la individuazione delle persone fisiche coinvolte in modo diretto o indiretto. Il tutto al fine di non identificare tali immagini come dato personale e quindi non soggetto all’applicazione della Privacy”.

La società ha allegato alla nota citata alcuni documenti tra cui l’ordinanza sindacale del 28 marzo 2012, con la quale sono state conferite, al personale della società, le funzioni di accertamento e contestazione degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali sullo smaltimento dei rifiuti, nonché per le violazioni di cui al T.U. n. 152/2006 in materia di conferimento dei rifiuti (all. 1); l’atto di nomina, quale responsabile esterno ai sensi dell’art. 28 del Regolamento della società ITS s.r.l., fornitrice del sistema di videosorveglianza in esame sottoscritto in data 9 novembre 2020 (all.5); alcune immagini pubblicate sul profilo Facebook della società (all. 7).

Con nota del XX, in risposta a una ulteriore richiesta di informazioni dell’Autorità (prot. n. XX del XX la società ha dichiarato “con riferimento alla citata pubblicazione su Facebook di alcuni video e immagini nei quali risultano identificabili alcuni soggetti interessati […] prendiamo atto della spiacevole situazione legata ad un mero errore di disattenzione del personale autorizzato al mascheramento dei soggetti prima della pubblicazione. Tale situazione non risulta conforme a quanto previsto dalle procedure interne in quanto, prima di pubblicare sui social network, il personale autorizzato ha cura di occultare gli elementi che possono permettere la individuazione delle persone fisiche coinvolte in modo diretto o indiretto. Il tutto al fine di non identificare tali immagini come dato personale soggetto all’applicazione della Privacy. Le immagini in questione sono state prontamente rimosse dalla pagina Facebook”.

Accertata dunque, anche sulla base di quanto ammesso dalla stessa società, la diffusione di dati personali (come la pubblicazione di immagini e video, concernenti soggetti interessati, tramite social network), raccolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, si osserva che la stessa può avvenire solo se prevista da una norma di legge o di regolamento (art. 2-ter, commi 3 e 4 lett. b del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di segnalazione). Visto che dagli atti non emergono condizioni di liceità poste a fondamento del trattamento in esame, risulta accertata la violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a), nonché dell’art. 6 del Regolamento e art. 2-ter del Codice.

Tenuto, altresì, conto che le immagini raccolte tramite il sistema di videosorveglianza in esame sono trattate, originariamente per finalità di accertamento degli illeciti, come concordato con il Comune, titolare del trattamento, risulta che l’ulteriore trattamento derivante dalla diffusione delle immagini tramite il canale Facebook della società, per asserite finalità cd. di moral suasion, sono in contrasto con il principio di limitazione delle finalità di cui all’art. 5, par. 1, lett. b) del Regolamento.

Alla nota citata la società ha altresì allegato l’“accordo ai sensi dell’art. 28 del REG UE 2016/679” con il Comune nel quale, tra l’altro, la società ITS s.r.l., fornitrice del sistema di videosorveglianza, risulta qualificata correttamente, di intesa con il Comune, come sub-responsabile. Tale accordo, che ha ad oggetto anche il trattamento mediante il sistema di videosorveglianza in esame, risulta sottoscritto in data 14 gennaio 2022.

Ne deriva che la società ha partecipato al trattamento in esame, a partire dal 28 marzo 2012 e fino al 14 gennaio 2022, senza che il suo ruolo, sotto il profilo della protezione dei dati personali fosse stato definito, nonché che la prima nomina della società ITS s.r.l. quale “responsabile del trattamento” (in luogo, invero, di sub-responsabile del trattamento) è avvenuta senza “previa autorizzazione scritta, specifica o generale, del titolare del trattamento” in violazione dell’art. 28 del Regolamento.

Infine, dagli atti è emerso che la società non ha provveduto a nominare un responsabile della protezione dei dati, né sono emerse motivazioni che possono aver indotto la società e non ritenere necessaria tale nomina, in violazione dell’art. 37, par. 1, lett. b) del Regolamento (cfr. anche il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” allegato al provvedimento dell’Autorità n. 186 del 29 aprile 2021 -doc. web. 9589104-ove si prevede, al par. 3, l’opportunità di nominare un RPD per le società concessionarie dei servizi di trasporto pubblico locale o di raccolta dei rifiuti, allorché utilizzano sistemi che comportano il trattamento, su larga scala, di dati di dipendenti e utenti, associato a un monitoraggio regolare o sistematico; le Linee guida sui responsabili della protezione dei dati” del Gruppo di Lavoro Articolo 29 adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017; Faq sul Responsabile della Protezione dei dati (RPD) in ambito privato del 26 marzo 2018 -doc. web n. 8036793).

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, ha notificato alla società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando la società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Con la nota sopra menzionata, l’Ufficio ha rilevato che la società ha effettuato il trattamento dei dati personali in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “limitazione della finalità” dei dati, in violazione dell’art. 5, par. 1, lett. a) e b) del Regolamento; senza che il suo ruolo, quale “responsabile del trattamento” fosse stato precedentemente definito dal Comune, titolare del trattamento e, dunque, in assenza di una condizione di liceità (artt. 5 e 6 del Regolamento), in assenza di un idoneo presupposto normativo anche in merito alla pubblicazione su Facebook di immagini e video raccolte tramite il sistema di videosorveglianza, in violazione degli artt. 2-ter del Codice e 6 del Regolamento; in violazione dell’art. 28 del Regolamento e in assenza di nomina del responsabile della protezione dei dati di cui all’art. 37 del Regolamento.

La società non ha presentato memorie difensive.

3. Esito dell’attività istruttoria

Ai sensi della disciplina in materia di protezione dei dati personali, il trattamento di dati personali effettuato da soggetti pubblici (come il Comune di Taranto) è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” [art. 6, par. 1, lett. c) ed e)]. La gestione dei rifiuti solidi urbani rientra tra le attività istituzionali affidate agli enti locali.

Pur in presenza di una condizione di “liceità”, ad ogni modo, il titolare del trattamento è tenuto a rispettare gli ulteriori principi in materia di protezione dei dati, fra i quali quelli di “correttezza e trasparenza”, in base al quale i dati devono essere trattati, oltre che in modo lecito, anche “corretto e trasparente nei confronti dell'interessato” e nel rispetto de principio di “limitazione della finalità”, secondo cui i dati devono essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (art. 5, par. 1, lett. a) e b) del Regolamento).

3.1 Il trattamento effettuato dalla società in merito al servizio di gestione dei rifiuti solidi urbani, inclusa la videosorveglianza

Ai sensi dell’art. 28 del Regolamento, il titolare può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti in ordine alla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”).

Il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 1 e 3 del Regolamento).

Come emerso nel corso dell’istruttoria il trattamento dei dati in esame, svolto dalla società per conto del Comune (nei cui confronti è contestualmente adottato uno specifico provvedimento), è stato avviato senza che il ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento (né ai sensi dell’art. 29 del Codice previgente), in quanto l’ordinanza sindacale del 28 marzo 2012 con la quale sono state conferite, al personale della società, le funzioni di accertamento e contestazione degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali sullo smaltimento dei rifiuti, non soddisfa le caratteristiche dell’atto giuridico volto a regolamentare il rapporto con il Responsabile, non contenendo né gli elementi previsti dall’art. 29 del Codice previgente né gli elementi previsti dall’art. 28 del Regolamento.

Anche ai sensi dell’art. 29 c. 4, 4 bis e 5 del Codice previgente, infatti “I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare”, “I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante” e “Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis”. Non essendo stata individuata come responsabile del trattamento e non essendo stati indicati da parte della società specifici presupposti che abbiano legittimato il trattamento dei dati personali, si deve concludere che lo stesso è stato effettuato in assenza delle condizioni di liceità e quindi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie (cfr. provvedimento n. 161 del 17 settembre 2020, doc. web. 9461321; provvedimento n. 281 del 17 dicembre 2020, doc. web 9525315; provvedimento n. 292 del 22 luglio 2021, doc. web. 9698558; provvedimento n. 293 del 22 luglio 2021, doc. web. 9698597; provvedimento n. 352 del 29 settembre 2021, doc. web. 9713902; Linee guida “sui concetti di titolare e responsabile del trattamento nel GDPR” n. 07/2020, in particolare nota 35).

Inoltre, risulta accertato che la società si è rivolta, nel mese di novembre 2020, alla società ITS s.r.l., fornitrice del sistema di videosorveglianza (provvedendo a designarla quale “responsabile del trattamento”) senza la “previa autorizzazione scritta, specifica o generale, del titolare del trattamento” in violazione dell’art. 28, par. 2 del Regolamento.

Solo successivamente, nell’ “accordo ai sensi dell’art. 28 del REG UE 2016/679”, sottoscritto tra la società Amiu s.p.a. e il Comune in data 14 gennaio 2022, il titolare del trattamento ha esplicitato che “la società, previa autorizzazione scritta del Comune, potrebbe dover comunicare o rendere disponibili i dati personali di titolarità di quest’ultimo ad uno o più soggetti terzi (quali sub responsabili), al fine di affidare a tali soggetti parte delle attività di trattamento” (punto 6). Nell’elenco dei sub-responsabili ad oggi previsti, inserito in calce all’accordo, viene correttamente inserita la citata società ITS srl.

3.2 La diffusione delle immagini e dei video raccolti su Facebook

Dagli allegati alla segnalazione pervenuta (cfr. in particolare, il video del XX) e da quanto emerso nel corso dell’istruttoria risulta accerta la diffusione di immagini e video riguardanti alcuni cittadini identificati o identificabili.

Giova chiarire che al fine di considerare identificabile una persona “è opportuno considerare tutti i mezzi [di cui] un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente” (cons. 26 del Regolamento). Con “identificare” non si intende “solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione” (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216). La diffusione di immagini di persone fisiche, anche nel caso in cui il cui volto non sia visibile o sia stato preventivamente oscurato, può, in taluni casi, comunque consentire l’identificazione delle stesse, allorquando taluni elementi di contesto, considerati in associazione tra di loro, riconducano a uno specifico interessato (es. abbigliamento, modello automobile, etc.).

La pubblicazione di immagini e video di soggetti interessati è stata, tra l’altro, confermata dalla società stessa che ha dichiarato nella nota del XX di aver effettuato la pubblicazione “su Facebook di alcuni video e immagini nei quali risultano identificabili alcuni soggetti interessati” sostenendo, tuttavia, che “tale situazione non risulta conforme a quanto previsto dalle procedure interne in quanto, prima di pubblicare sui social network, il personale autorizzato ha cura di occultare gli elementi che possono permettere la individuazione delle persone fisiche coinvolte in modo diretto o indiretto. Il tutto al fine di non identificare tali immagini come dato personale soggetto all’applicazione della Privacy”. Sul punto, tuttavia, non è stata fornita all’Autorità alcuna documentazione circa l’asserita procedura interna rivolta al personale, in merito all’occultamento delle immagini.

Dal momento che, dagli atti, non risulta indicata la base giuridica che avrebbe legittimato la diffusione dei dati personali, risulta accertata la violazione del principio di “liceità, correttezza e trasparenza” (art. 5, par. 1 lett. a) del Regolamento), l’assenza di idonea base giuridica di cui agli artt. 6 del Regolamento e art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di segnalazione).

3.3. Il principio di limitazione della finalità

La raccolta delle immagini con il sistema di videosorveglianza in esame è finalizzata all’acquisizione dei mezzi di prova per l’accertamento e la contestazione degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali sullo smaltimento dei rifiuti, nonché per le violazioni di cui al T.U. n. 152/2006 in materia di conferimento dei rifiuti. Dagli atti non risultano forniti elementi che dimostrino la compatibilità dell’ulteriore trattamento (pubblicazione su Facebook) con le finalità in base alle quali i dati sono stati precedentemente raccolti e trattati, con conseguente violazione del principio di “limitazione della finalità” di cui all’art. 5 par. 1, lett. b) del Regolamento.

Giova rammentare che considerata la capacità diffusiva – e dunque, potenzialmente altamente lesivo per gli interessati – dei cd. social network, in generale, è opportuno adottare un atteggiamento prudenziale nell’utilizzare gli stessi, attraverso la pubblicazione di immagini o video di cittadini chiaramente identificati o identificabili, per fini “dimostrativi ed educativi”, rivolti alla collettività, ricorrendo, se del caso, esclusivamente agli strumenti di comunicazione istituzionali a ciò preposti.

3.4. La mancata designazione del Responsabile della protezione dei dati

Da ultimo, non risulta che la società abbia nominato un responsabile della protezione dei dati.

Sul punto, vista la natura sostanzialmente pubblica dell’attività svolta da codesta società, la quale implica il trattamento di dati personali di migliaia di cittadini nell’ambito della raccolta, trasporto e smaltimento rifiuti anche ai fini dell’accertamento e contestazione degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali, tenuto anche conto del ricorso ad un sistema di videosorveglianza in grado di comportare un “monitoraggio regolare e sistematico degli interessati su larga scala”, si ritiene che codesta società avrebbe dovuto nominare un responsabile della protezione dei dati, figura imprescindibile nel supporto e nella vigilanza sulla correttezza dei trattamenti di dati personali effettuati. Risulta pertanto accertata la violazione dell’art. 37 del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate non risulta possibile superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento.

Dalle verifiche compiute sulla base degli elementi acquisiti, nonché dalle successive valutazioni, è stata accertata la non conformità dei trattamenti svolti dalla società, in nome e per conto del Comune di Taranto, aventi ad oggetto la regolazione del servizio di gestione dei rifiuti solidi urbani.

In via preliminare si rappresenta che, seppure la condotta oggetto dell’istruttoria da parte della società sia iniziata prima della data di piena applicazione del Regolamento, al fine della determinazione della norma applicabile sotto il profilo temporale deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel prevedere come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», asserisce la ricorrenza del principio del tempus regit actum. L’applicazione di tale principio determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso che ci occupa, tale momento - considerando la natura permanente della condotta contestata - deve essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta essersi protratta almeno fino al 14 gennaio 2022, ossia in epoca successiva al 25 maggio 2018, data in cui il Regolamento è divenuto pienamente applicabile.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla società a partire dal mese di marzo 2012, in quanto esso è avvenuto in maniera non conforme ai principi generali del trattamento, in assenza di una condizione di liceità, ricorrendo ad un “sub-responsabile del trattamento” senza la “previa autorizzazione scritta, specifica o generale, del titolare del trattamento” e in assenza di designazione del responsabile della protezione dei dati, in violazione degli artt. 5, 6, 28, 37 del Regolamento e art. 2-ter del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 3, del Codice.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento iniziato dal mese di marzo 2012 ed ancora in corso, ha avuto a oggetto i dati, potenzialmente, di tutti i cittadini i cui dati personali sono stati trattati nell’ambito della gestione del servizio dei rifiuti solidi urbani, in violazione del principio di “liceità, correttezza e trasparenza” e “limitazione della finalità” di cui all’art. 5 del Regolamento, in assenza di una condizione di liceità, ricorrendo ad un “sub-responsabile del trattamento” senza la “previa autorizzazione scritta, specifica o generale, del titolare del trattamento” e in assenza di designazione del responsabile della protezione dei dati.

Tale violazione è stata portata a conoscenza dall’Autorità mediante una segnalazione; non risulta che la società abbia adottato adeguate misure per assicurare la conformità dei trattamenti posti in essere alla normativa in materia di protezione dei dati personali né ha collaborato nel corso del procedimento, non presentando nemmeno le memorie difensive.

Di contro, si evidenzia il comportamento non doloso della violazione e l’assenza di precedenti violazioni a carico della società.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 200.000 per la violazione degli artt. 5, 6, 28, 37 del Regolamento e art. 2-ter del Codice quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) del Regolamento e art. 144 del Codice, rileva l’illiceità del trattamento effettuato dalla società, per la violazione degli artt. 5, 6, 28 e 37 del Regolamento e art. 2-ter del Codice, nei termini di cui in motivazione

ORDINA

Alla società Amiu s.p.a., in persona del legale rappresentante pro-tempore, con sede legale in Taranto, piazza Sandro Pertini n. 4, 74100 – CF 00170540736 - di pagare la somma di euro 200.000 (duecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla società Amiu s.p.a. di pagare la somma di euro 200.000 (duecentomila) – in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 aprile 2022

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Rispondi