Prima di posizionare sistemi di videoripresa sulle strade è opportuno che il municipio valuti preventivamente ed in maniera trasparente il corretto trattamento dei dati personali dotandosi di regolamento, informative e valutazione di impatto. In caso contrario basta infatti anche la semplice segnalazione di un cittadino per accendere i riflettori dell’Autorità e fare scattare sanzioni esemplari.
Lo ha chiarito il Garante per la protezione dei dati personali con l’ordinanza ingiunzione numero 119 del 7 aprile 2022. Un cittadino ha presentato reclamo al Garante ai sensi dell’articolo 77 del Gdpr dopo aver verificato l’avvenuta installazione nel suo Comune di numerose telecamere in assenza di qualsiasi segnale e notizia . In riscontro alla richiesta di informazioni da parte dell’Autorità centrale, il Comune ha dichiarato che le videocamere posizionate nel centro abitato sono state fornite dalla ditta aggiudicataria del servizio di igiene urbana e l’installazione è avvenuta senza particolari formalità anche a causa dell’avvenuta decadenza dell’intero consiglio comunale che non è riuscito ad approvare tempestivamente il regolamento sulla videosorveglianza. Molto interessante l’esito dell’attività istruttoria che si è conclusa con l’applicazione di una pesante sanzione amministrativa di 20 mila euro. L’utilizzo di impianti di videosorveglianza da parte di soggetti pubblici, specifica l’ordinanza, «è generalmente ammesso se esso è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito lo stesso. Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza e limitazione della conservazione, in base ai quali i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato e conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Sul titolare del trattamento, in quanto soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati, grava una responsabilità generale sui trattamenti posti in essere. In base al principio di responsabilizzazione, esso è, infatti, competente per il rispetto dei principi di protezione dei dati e deve essere in grado di comprovarlo. Ciò anche mettendo in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento». Ma tutte queste valutazioni, unitamente alla scelta delle necessarie misure tecniche ed organizzative adeguate ad attuare i principi di cui sopra, devono essere effettuate fin dalla progettazione dell’impianto e per impostazione predefinita. Nel caso sottoposto all’esame del collegio il Comune ha invece installato dispositivi di videosorveglianza senza assumere alcun provvedimento formale ed organizzativo necessariamente prodromico all’avvio del trattamento dei dati personali. Il municipio infatti, specifica il provvedimento centrale, «non avendo adottato alcun atto organizzativo in relazione all’impiego dei predetti dispositivi video e non avendo assunto alcuna determinazione in materia di protezione dei dati personali prima di iniziare il trattamento dei dati personali in questione, non ha conseguentemente adottato misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di base in materia di protezione dei dati e, nel corso dell’istruttoria, non ha comprovato di aver rispettato gli stessi, agendo in maniera non conforme al principio di responsabilizzazione, in violazione dell’articolo 5, par. 2 del Regolamento. Non è stato, pertanto, assicurato, sia al momento di determinare i mezzi del trattamento sia durante il trattamento stesso, che la protezione dei dati personali fosse integrata nel trattamento fin dalla sua progettazione e per impostazione predefinita durante l’intero ciclo di vita dei dati, incorporando nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati e facendo in modo che venisse effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità, anche con riguardo al periodo di conservazione dei dati, in tutte le fasi della progettazione delle attività di trattamento, compresi gli appalti, le gare di appalto, l’esternalizzazione, lo sviluppo, il supporto, la manutenzione, il collaudo, la conservazione, la cancellazione ecc. in violazione dell’articolo 25 del Regolamento. Conseguentemente, il Comune non ha nemmeno provveduto a individuare in maniera certa e documentata i tempi massimi di conservazione delle immagini riprese dai dispositivi video in questione, in violazione dell’articolo 5, par. 1, lett. e , del Regolamento». Nessuna informativa è stata apposta sul territorio municipale, conclude il severo documento, e sono pure errati i dati di contatto comunicati al Garante circa il responsabile della protezione dei dati. Il dpo , infatti, deve poter essere contattato direttamente, senza l’intermediazione degli uffici del titolare del trattamento. Infine, nessuna responsabilità può essere ascritta in questo caso al fornitore esterno dei sistemi di videosorveglianza visto che il soggetto privato in questo caso si è limitato a consegnare fisicamente i dispositivi senza interferire con il trattamento dei dati personali.
Garante Privacy, ordinanza ingiunzione numero 119 del 7 aprile 2022