Attenzione alle fototrappole!! Sanzione di 150.000,00 Euro a Comune di Taranto

Rispondi
Giancarlo Favero
Messaggi: 146
Iscritto il: dom gen 24, 2021 6:45 am

Attenzione alle fototrappole!! Sanzione di 150.000,00 Euro a Comune di Taranto

Messaggio da Giancarlo Favero »

Oltre alla sanzione di 150.000,00 Euro al Comune di Taranto, è stata irrogata una sanzione di 200.000,00 Euro alla municipalizzata AMIU S.p.A. che ha materialmente installato le fototrappole, come già segnalavo in questo post:

viewtopic.php?f=2&t=10036

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/home/docw ... eb/9777974

Grazie e buona lettura,

Giancarlo Favero

Ordinanza ingiunzione nei confronti di Comune di Taranto - 28 aprile 2022*

Registro dei provvedimenti
n. 162 del 28 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

1. Premessa

Da una segnalazione pervenuta all’Autorità nel mese di XX è emerso che, la società Amiu s.p.a. (di seguito, la società), gestore del servizio di raccolta dei rifiuti urbani per il Comune di Taranto (di seguito, il Comune), ha installato alcune videocamere allo scopo di individuare e sanzionare comportamenti illegali.

Da quanto risulta documentato nella segnalazione, la società avrebbe diffuso, attraverso la pubblicazione nel proprio profilo Facebook, alcuni video e alcune immagini, raccolte attraverso i sistemi di videosorveglianza installati sul territorio comunale, dalle quali risulterebbero identificabili alcuni soggetti interessati.

2. L’attività istruttoria

Con nota dell’XX, in risposta alla richiesta di informazioni dell’Autorità (prot. n. XX del XX), la società ha dichiarato che:

− “Con Ordinanza Sindacale n. 22 del 28/03/2012 è stato disposto […] il conferimento al personale [della società], totalmente partecipata [dal Comune], delle funzioni di accertamento e contestazione immediata degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali sullo smaltimento dei rifiuti […]”;

− “dato il dilagante fenomeno dell’abbandono dei rifiuti, al fine di contenere questi atti di inciviltà, l’Amministrazione del Comune […] e [… la società], hanno condiviso la volontà di installare nei siti più sensibili, dove gli abbandoni si ripetono, dei sistemi di videosorveglianza/fototrappole”;

− “il Comune […] con Decreto Sindacale Prot. […] del XX, ha conferito l’incarico di ausiliari ecologici a dei Dipendenti [… della società]”;

− “in tale Decreto, sono indicate anche le modalità di trasmissione degli illeciti: ‘trasmetterà i verbali di accertamento delle infrazioni, con irrogazione della sanzione, alla Direzione Polizia Locale di Taranto che curerà i conseguenziali adempimenti relativi alla verifica del pagamento in misura ridotta ovvero all'attivazione del procedimento ex art 18 L.n. 689/81 […]”.

In allegato a tale nota la società ha fornito un modello di verbale di accertamento di illecito amministrativo redatto su carta cointestata della società e del corpo di polizia locale del Comune, nel quale esplicitamente si fa riferimento alla circostanza che “l’accertamento è stato rilevato mediante immagini registrate da apposita telecamera di videosorveglianza mobile […]” (all. 4), un esempio di cartello informativo che rileverebbe la presenza di una telecamera (all. 6); nonché alcune immagini pubblicate sul profilo Facebook della società (all. 7).

In merito a questi ultimi due allegati sopracitati, si osserva che il cartello informativo che rileverebbe la presenza di una telecamera (all. 6) non indica le modalità con le quali gli interessati (ovvero non solo i soggetti ai quali viene contestata una violazione amministrativa, ma tutte le persone fisiche che entrano nel raggio di azione delle telecamere) possono ricevere un’informativa completa sul trattamento di secondo livello (cfr. artt. 5, 12, 13, 14 del Regolamento; parr. 117-119 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati personali, adottate il 29 gennaio 2020). Né è emerso, dagli atti, che il Comune, abbia provveduto a redigere tale informativa e portarla a conoscenza degli interessati, ad esempio mediante pubblicazione della stessa sul proprio sito web istituzionale. Inoltre, dalle immagini pubblicate sul profilo Facebook della società (allegato 7, pag. 2 e 3 della nota dell’XX), risulta accertata la mancata presenza di cartellonistica contenente l’informativa in alcune aree sottoposte a videosorveglianza.

In risposta ad una richiesta di informazioni dell’Autorità il Comune, con nota del XX, ha dichiarato, tra l’altro, “dall'analisi della documentazione a disposizione delle singole ripartizioni non sussiste alcun accordo e/o atto formale per il trattamento dei dati personali fra questo comune e l’AMIU SPA in ordine alla vigilanza del servizio ambientale mediante i sistemi di videosorveglianza comunque denominati. Esiste, invece, solo il disciplinare per l'istituzione e definizione dei compiti dell’Ispettore Ambientale di cui alla DGC n. 241 del 25-06-2021, che si allega in copia, che all’art.12 disciplina gli aspetti della riservatezza in capo agli ispettori ambientali da autorizzare […] non sussistono formali istruzioni o accordi o deleghe tra Comune e Amiu SPA in merito al trattamento dei dati personali inerenti i sistemi di videosorveglianza utilizzati dalla predetta società, salvo quanto previsto dal citato disciplinare per l'istituzione e definizione dei compiti dell’Ispettore Ambientale”.

Con nota del XX, in risposta a una ulteriore richiesta di informazioni dell’Autorità (prot. n. XX del XX), la società ha trasmesso l’“accordo ai sensi dell’art. 28 del REG UE 2016/679”, sottoscritto con il Comune in data 14 gennaio 2022. Ne deriva che la società ha partecipato al trattamento in esame, a partire dal 28 marzo 2012 e fino al 14 gennaio 2022, senza che il suo ruolo, sotto il profilo della protezione dei dati personali fosse stato correttamente definito dal Comune, in violazione dell’art. 28 del Regolamento.

Da ultimo si osserva che, dagli atti, non risulta sia stata svolta la valutazione di impatto sulla protezione dei dati di cui all’art. 35 del Regolamento, che è sempre richiesta in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico e qualora vengano utilizzate nuove tecnologie (tra le quali rientrano anche le cd. fototrappole intelligenti utilizzate dalla società).

Per tali ragioni, con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il Comune a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con la nota sopra menzionata l’Ufficio ha rilevato che il Comune ha posto in essere, per il tramite della società, un trattamento dei dati personali dei cittadini attraverso un sistema di videosorveglianza in assenza di idonea informativa, che deve essere conferita “nel momento in cui i dati personali sono ottenuti”, con conseguente violazione del principio di “liceità, correttezza e trasparenza”, di cui all’art. 5, par. 1, lett. a) del Regolamento e degli artt. 12, 13 e 14 del Regolamento, in mancanza di idonea disciplina del rapporto con la società quale “responsabile del trattamento”, prima dell’inizio del trattamento stesso, in violazione dell’art. 28 del Regolamento (già art. 29 del Codice previgente) nonché in assenza di valutazione di impatto, in violazione dell’art. 35 del Regolamento.

Con la nota del XX il Comune ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate, limitandosi, in sostanza, ad allegare, l’“accordo per la protezione dei dati personali e nomina a responsabile esterno del trattamento” della società sottoscritto il 14 gennaio 2022 (all. 3), una comunicazione alla società riguardante il rispetto di alcuni obblighi, tra cui quello di apporre, nelle zone sottoposte a videosorveglianza, la cartellonistica ivi rappresentata contenente l’informativa al trattamento dei dati personali e di fornire al Comune una ricognizione complessiva delle telecamere installate e delle misure tecniche e organizzative adottate (all. 4), una diffida alla società di “diffondere le immagini oggetto di videoripresa su qualsiasi canale (sito web, social network o altro)” nel rispetto dell’accordo sottoscritto (all. 5), una nota di risposta della società riguardante l’impegno a rispettare i predetti obblighi e adempimenti richiesti dal Comune del XX (all. 7).

3. Esito dell’attività istruttoria

Ai sensi della disciplina in materia di protezione dei dati personali, il trattamento di dati personali effettuato da soggetti pubblici (come il Comune di Taranto) è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” [art. 6, par. 1, lett. c) ed e)]. La gestione dei rifiuti solidi urbani rientra tra le attività istituzionali affidate agli enti locali.

3.1 Il principio di “liceità, correttezza e trasparenza” e l’informativa agli interessati

Pur in presenza di una condizione di liceità, ad ogni modo, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza”, in base al quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” (art. 5, par. 1, lett. a) del Regolamento).

Dalla documentazione in atti emerge che, dal mese di XX (mese in cui è stato sottoscritto il contratto di fornitura del sistema di videosorveglianza con la società ITS s.r.l - all. 5 alla nota dell’XX della società), il trattamento risulta essere effettuato in violazione dell’obbligo che impone al titolare del trattamento di rendere agli interessati una preventiva informativa, secondo quanto previsto dagli artt. 12, 13 e 14 del Regolamento.

3.2 Nomina del responsabile del trattamento

Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del Regolamento e artt. 28 e 29 del Codice).

In particolare, il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento; cfr. anche provvedimento n. 81 del 7 marzo 2019, doc. web 9121890; provvedimento n. 160 del 17 settembre 2020, doc. web 9461168; provvedimento n. 294 del 22 luglio 2021, doc. web 9698724, provvedimento n. 351 del 29 settembre 2021, doc. web 9716256).

Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento).

Il Regolamento ha disciplinato anche gli obblighi e le altre forme di cooperazione cui è tenuto il responsabile del trattamento quando agisce per conto del titolare e l’ambito delle rispettive responsabilità (v. artt. 30, 33, par. 2 e 82 del Regolamento).

In base all’art. 24 del Regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, spetta in primo luogo proprio al titolare del trattamento mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Dette misure devono inoltre essere riesaminate e aggiornate, qualora necessario.

Da quanto emerso nel corso dell’istruttoria il servizio della gestione dei rifiuti solidi urbani è stato affidato, in data 28 marzo 2012, alla società, con la quale è stato sottoscritto un “accordo per la protezione dei dati personali e nomina a responsabile esterno del trattamento” solamente in data 14 gennaio 2022.

Ne consegue che a partire dal 28 marzo 2012 e fino al 14 gennaio 2022, la società ha partecipato al trattamento dei dati personali in esame senza che il suo ruolo fosse opportunamente definito dal titolare, in violazione dell’art. 28 del Regolamento (già art. 29 del Codice previgente).

3.3. La Valutazione di Impatto

Dagli atti non risulta che sia stata svolta la valutazione di impatto sulla protezione dei dati, che è sempre richiesta quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, a causa, ad esempio, del monitoraggio sistematico dei loro comportamenti, del gran numero dei soggetti interessati o per l’uso innovativo o l’applicazione di soluzioni tecnologiche od organizzative (cfr. Linee guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017).

Risulta pertanto accertata la violazione dell’art. 35 del Regolamento che obbliga i titolari a svolgere la valutazione di impatto prima di dare inizio al trattamento, anche considerando che tale strumento è idoneo a comprovare la responsabilizzazione (accountability) del titolare nei confronti del trattamento effettuato.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dal titolare del trattamento, nonché dalle successive valutazioni, è stata accertata la non conformità dei trattamenti svolti dal Comune aventi ad oggetto il trattamento dei dati effettuato nell’ambito della gestione dei rifiuti solidi urbani.

In via preliminare si rappresenta che, seppure la condotta oggetto dell’istruttoria da parte del Comune sia iniziata prima della data di piena applicazione del Regolamento, al fine della determinazione della norma applicabile sotto il profilo temporale deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel prevedere come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», asserisce la ricorrenza del principio del tempus regit actum. L’applicazione di tale principio determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso che ci occupa, tale momento - considerando la natura permanente della condotta contestata - deve essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta essersi protratta almeno fino al 14 gennaio 2022, ossia in epoca successiva al 25 maggio 2018, data in cui il Regolamento è divenuto pienamente applicabile.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, in quanto esso è avvenuto in maniera non conforme ai principi generali del trattamento, in assenza di idonea informativa, in mancanza di regolazione del ruolo svolto dalla società in qualità di “responsabile del trattamento”, e in assenza di valutazione di impatto, in violazione degli artt. 5, 12, 13, 14, 28 e 35 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 3, del Codice.

Per completezza, si rappresenta che, circa la pubblicazione su Facebook da parte della società delle immagini raccolte dal sistema di videosorveglianza, tenuto conto che avviene sulla pagina ufficiale della società, atteso che la pubblicazione è un trattamento ultroneo rispetto alla raccolta per finalità di contestazione degli illeciti amministrativi e considerato che dall’istruttoria non sono emersi elementi che riconducano tale ulteriore trattamento ad un’iniziativa del Comune, si ritiene che la stessa sia da ricondurre alla sola ed esclusiva responsabilità della società, le cui valutazioni in ordine alla liceità del trattamento svolto saranno oggetto di autonomo provvedimento.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento)

Per quanto concerne alcune violazioni sopra contestate, tenuto conto delle dichiarazioni rese dal titolare del trattamento, si osserva il permanere di alcune criticità.

In primo luogo, in merito all’informativa da fornire agli interessati, con la nota del XX il Comune ha inviato all’Autorità una comunicazione (all. 4) trasmessa il XX alla società, contenente anche l’invito ad apporre, nelle zone sottoposte a videosorveglianza, la cartellonistica allegata contenente l’informativa al trattamento dei dati personali, nonché la nota di risposta della società riguardante l’impegno a rispettare tale adempimento del XX (all. 7). In tale nota in verità la società dichiara “si è dato corso all’acquisto della cartellonistica da installare nelle aree sorvegliate secondo quanto indicato nell’allegato 1 della Vs comunicazione in oggetto”. Non vi è prova, pertanto, dell’effettiva apposizione della cartellonistica sopra citata contenente idonea informativa agli interessati.

Per quanto concerne, inoltre, la valutazione di impatto di cui all’art. 35 del Regolamento, analogamente, nella comunicazione (all. 4) inviata il XX dal Comune alla società, è stata richiesta la trasmissione dell’elenco delle videotrappole installate, nonché della descrizione delle misure tecniche e organizzative adottate, riscontrate con la nota di risposta della società del XX (all. 7) ma non risulta essere stata effettuata la valutazione di impatto sul trattamento in esame.

Ciò premesso, si ritiene necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di ingiungere al Comune, entro trenta giorni dalla notifica del presente provvedimento, di:

1. assicurare che sia fornita idonea informativa agli interessati, anche mediante l’avvenuta installazione di cartellonistica nelle aree sottoposte a videosorveglianza (artt. 13 e 14 del Regolamento);

2. eseguire la valutazione di impatto sulla protezione dei dati (art. 35 del Regolamento).

Ai sensi dell’art. 157 del Codice, il Comune dovrà provvedere a comunicare a questa Autorità quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento nei precedenti punti 1) e 2), e di fornire comunque riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento iniziato dal mese di marzo 2012 ed è ancora in corso, ha avuto a oggetto i dati, potenzialmente, di tutti i cittadini coinvolti nella gestione del servizio dei rifiuti solidi urbani, in violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5 del Regolamento, in assenza del conferimento dell’informativa agli interessati, in mancanza di valutazione di impatto sulla protezione dei dati e in assenza di definizione del rapporto con la società coinvolta nel trattamento quale “responsabile del trattamento”.

Tale violazione è stata portata a conoscenza dall’Autorità mediante una segnalazione ed il Comune, ad oggi, non ha adottato tutte le misure per attenuare i rischi possibili per gli interessati.

Di contro, si evidenzia il comportamento non doloso della violazione e l’assenza di precedenti violazioni a carico del Comune.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 150.000 per la violazione degli artt. 5, 12,13, 14, 28 e 35 del Regolamento quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Tenuto conto del numero degli interessati, del mancato conferimento dell’informativa e della mancata definizione del ruolo del responsabile del trattamento, si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) del Regolamento e dell’art. 144 del Codice, rileva l’illiceità del trattamento dei dati personali effettuato dal Comune di Taranto, per la violazione degli artt. 5, 12, 13, 14, 28 e 35 del Regolamento, nei termini di cui in motivazione

ORDINA

al Comune di Taranto, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Municipio n. 1 – 74121 – CF 80008750731 – di pagare la somma di euro 150.000 a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Taranto:

- di pagare la somma di euro 150.000 – in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate al paragrafo 5 del presente provvedimento, entro e non oltre 30 giorni dalla data di ricezione dello stesso. L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;

- ai sensi dell’art. 58, par. 1, lett. a), del Regolamento, e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel predetto par. 5, e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre 30 giorni dalla ricezione del presente provvedimento. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 aprile 2022

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Rispondi