Sulla (il)liceità dei trattamenti di dati personali posti in essere dai Comuni mediante “videotrappole” per il contrasto all’illecito abbandono dei rifiuti
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo
Massima (1) – Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se esso è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito lo stesso, ai sensi dell’art. 6, parr. 1, lett. c) ed e), e 3, GDPR, nonché dell’art. 2-ter del Codice in materia di protezione dei dati personali. Sussiste la predetta condizione di liceità in caso di trattamento dei dati personali posto in essere da un Comune tramite l’uso di “videotrappole” per la repressione degli illeciti. Ciò in quanto tale trattamento rientra nello svolgimento di una attività istituzionale affidata agli enti locali, quale ben può dirsi la gestione dei rifiuti solidi urbani e il contrasto del loro illecito abbandono.
Massima (2) – Seppur in presenza di una condizione di liceità del trattamento di dati personali, il titolare è tenuto a rispettare i principi in materia di data protection, fra i quali quelli di liceità, correttezza e trasparenza e limitazione della conservazione, di privacy by default e privacy by design, ed il principio di responsabilizzazione. Pertanto, qualora un Comune intenda adottare “videotrappole” per il contrasto al fenomeno illecito dei rifiuti urbani, viola gli art. 5, par. 2, e art. 24, par. 1 e 2, GDPR qualora non abbia adottato alcun atto organizzativo in relazione all’impiego dei predetti dispositivi video e non abbia assunto alcuna determinazione in materia di protezione dei dati personali prima di iniziare il trattamento dei dati personali in questione, volta ad adottare misure tecniche e organizzative adeguate per attuare in modo efficace i principi di base in materia di protezione dei dati.
Massima (3) – Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di “primo livello” mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle informazioni di “secondo livello”, che devono contenere tutti gli elementi obbligatori a norma dell’art. 13 GDPR ed essere facilmente accessibili per l’interessato.
Provvedimento: GPDP, Docweb n. 9773950 del 7 aprile 2022
Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9773950
Keywords: fototrappole, sistemi di videosorveglianza, liceità, correttezza, trasparenza, limitazione della conservazione, informativa, trattamento di dati personali, titolare del trattamento, responsabile del trattamento, accountability, privacy by design, privacy by default, obbligo legale, interesse pubblico, pubblici poteri
Riferimenti normativi: artt. 4, 5, par. 1, lett. a) ed e), 12, 13, 14, 24, 25, cons. 74, del G.D.P.R.; artt. 2-ter, 28, 29 del Codice in materia di protezione dei dati personali.
Data del commento: 9 ottobre 2022
Massime e Commento di Alice Incerti
1. Il caso
Un cittadino ha lamentato l’installazione nel territorio del Comune di Orte di «dispositivi di video ed audio ripresa verosimilmente compatibili con le fototrappole che normalmente si utilizzano per la repressione dei reati di illecito smaltimenti dei rifiuti», in assenza dell’approvazione di alcun atto o provvedimento prodromico all’avvio di attività preventive e repressive da parte dei competenti uffici comunali, quale in primis il regolamento comunale sulla videosorveglianza.
2. Le questioni
Il caso in esame pone diverse questioni giuridiche: (i) la prima riguarda la liceità o meno del trattamento di dati personali effettuato da un ente pubblico territoriale (nella specie, un Comune), tramite strumenti di videoripresa, note come “videotrappole”, per la contestazione e la repressione di illeciti; (ii) la seconda questione riguarda le modalità di applicazione del principio di responsabilizzazione, o accountability, nel caso di utilizzo di videotrappole, comportanti il trattamento dei dati personali di coloro che vengono ripresi dagli strumenti di registrazione video; (iii) un’ulteriore questione attiene alle corrette modalità da porre in essere per l’assolvimento degli obblighi informativi – di “primo livello” e di “secondo livello” – richiesti dalla normativa in materia di protezione dei dati personali nel caso di specie.
2.1. Liceità del trattamento di dati personali effettuato dal Comune mediante “videotrappole”
Il Garante, nel provvedimento ad esame, ha ricordato che il trattamento dei dati personali effettuato da soggetti pubblici, come il Comune di Orte, è generalmente lecito se necessario «per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio dei poteri pubblici di cui è investito il titolare del trattamento» [art. 6, parr. 1, lett. c) ed e), e 3, GDPR; art. 2-ter cod. privacy]. Nel caso di specie, il Garante ha dunque confermato la sussistenza della predetta condizione di liceità, in quanto a giustificare il trattamento dei dati personali posto in essere dal Comune in questione, tramite “videotrappole” per la repressione degli illeciti, è lo svolgimento di una attività istituzionale affidata agli enti locali, quale ben può dirsi la gestione dei rifiuti solidi urbani e il contrasto del loro illecito abbandono.
A riguardo, occorre sottolineare che, seppur in presenza di una condizione di liceità del trattamento di dati personali, il titolare del trattamento (nel caso di specie, il Comune di Orte) è comunque tenuto a rispettare i generali principi in materia di data protection, fra i quali i ben noti principi di «liceità, correttezza e trasparenza» e «limitazione della finalità» in base al quale i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato» e «conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati» (art. 5, par. 1, GDPR), nonché il principio di accountability, che richiede l’adozione di misure tecniche e organizzative per rispettare e per dimostrare di aver rispettato la disciplina in materia di protezione dei dati personali di cui al GDPR (artt. 5, par. 2, e 24 GDPR).
2.2. Responsabilizzazione, protezione dei dati fin dalla progettazione e per impostazione predefinita e limitazione della conservazione
Analizzando il caso in questione, il trattamento effettuato dal Comune di Orte è risultato illecito non già con riguardo alla base giuridica (o al fondamento legittimo) del trattamento, ma sotto altri aspetti, tra i quali v’è da considerare la violazione del principio di accountability (o responsabilizzazione), per aver proceduto con le attività di trattamento senza l’assunzione di «atti o provvedimenti prodromici all’avvio delle attività preventive e repressive» atti a regolamentare le modalità e le finalità del trattamento dei dati personali degli interessati da parte del titolare del trattamento stesso.
Com’è noto, il titolare del trattamento, in quanto soggetto sul quale ricadono tutte le decisioni circa le finalità e le modalità di trattamento dei dati personali degli interessati, è soggetto ad una generale responsabilità sui trattamenti di dati posti in essere. In ragione del principio di responsabilizzazione (accountability). È, infatti, tenuto al rispetto dei principi generali in materia di protezione dei dati personali e deve essere in grado di comprovarlo. Ciò avviene, nei fatti, mettendo in atto tutte le misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento di dati personali in questione è stato effettuato conformemente alla disciplina vigente. In particolare, in considerazione del rischio che incombe sui diritti e le libertà degli interessati, il titolare del trattamento deve – “fin dalla progettazione” (privacy by design) e “per impostazione predefinita” (privacy by default) – adottare misure tecniche e organizzative adeguate ad attuare i principi generali in materia di data protection, includendo nel trattamento le necessarie garanzie per soddisfare il disposto normativo e tutelare i diritti e le libertà degli interessati.
Tale obbligo, peraltro, come rimarca l’Autorità nel provvedimento in esame «vale [anche] per (…) il periodo di conservazione (…)» dei dati.
Nel caso di specie, all’esito dell’istruttoria compita dagli uffici dell’Autorità, è emerso che il Comune di Orte – sebbene inizialmente al solo fine di testare il funzionamento di alcune c.d. “fototrappole” per il contrasto del fenomeno dell’illecito abbandono dei rifiuti – ha trattato dati personali dei soggetti ripresi da quest’ultime, senza, tuttavia, assumere «atti o provvedimenti prodromici all’avvio delle attività preventive e repressive», ovvero in assenza di alcuna misura tecnica e organizzativa adeguata a garantire la data protection degli interessati. Come sottolinea il Garante nel provvedimento in esame, il Comune, non avendo adottato alcun atto organizzativo in relazione all’impiego dei predetti dispositivi video e non avendo assunto alcuna determinazione in materia di privacy prima di iniziare il trattamento dei dati personali in questione, non ha conseguentemente adottato misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di base in materia di protezione dei dati e, nel corso dell’istruttoria compiuta, non ha comprovato di aver rispettato gli stessi dati raccolti, agendo quindi in maniera non conforme al principio d’accountability.
Risulta quindi come non sia stato assicurato, sia al momento di determinare i mezzi del trattamento sia durante il trattamento stesso, che la protezione dei dati personali fosse integrata nel trattamento fin dalla sua progettazione (privacy by design) e per impostazione predefinita (privacy by default) durante l’intero ciclo di vita dei dati personali, non avendo in alcun modo individuato, come sottolinea il Garante, «le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati».
Secondo il Garante, inoltre, il Comune di Orte, in qualità di titolare del trattamento, non ha altresì provveduto a predefinire che il trattamento venisse posto in essere per il tempo strettamente necessario a conseguire la specifica e lecita finalità perseguita, non avendo nemmeno provveduto a individuare in maniera certa e documentata i tempi massimi di conservazione delle immagini riprese dai dispositivi video in questione.
2.3. Informativa di “primo livello” e di “secondo livello” agli interessati
In ossequio ai più soprarichiamati principi di liceità, correttezza e trasparenza e di responsabilizzazione, il titolare del trattamento (il Comune di Orte, nel caso di specie) era tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni inerenti al trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, oltre che con un linguaggio semplice e chiaro.
In particolare, nell’ipotesi in cui, come nel caso in questione, siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa c.d. di primo livello mediante l’apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, è tenuto a fornire agli interessati anche le cc.dd. «informazioni di secondo livello» riportanti tutti gli elementi nell’art. 13 del Reg. UE n. 2016/679, che devono «essere facilmente accessibili per l’interessato».
Nel provvedimento che in questa sede si commenta il Garante sottolinea come le informazioni definite “di primo livello” (quindi contenute nel cartello di avvertimento) «dovrebbero riportare i dati più importanti per l’interessato, quali ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento» (GPDP, Provv. 7 aprile 2022, docweb n. 9773950, cit.), unitamente a quelle informazioni che potrebbero risultare inaspettate per l’interessato (ad esempio, l’eventualità della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, ed il periodo di conservazione). In assenza di tali indicazioni, l’interessato dovrebbe poter confidare nel fatto che sia attuata solo una sorveglianza in tempo reale dell’area, senza alcuna registrazione di dati e senza trasmissione a soggetti terzi delle immagini o dei video raccolti.
La segnaletica di avvertimento “di primo livello” deve, inoltre, come suggerito dall’Autorità, contenere un univoco riferimento al “secondo livello” di informazioni, rinviando, ad esempio, come accade molto spesso, ad un sito web sul quale è possibile consultare il testo dell’informativa estesa.
Il Garante sottolinea poi come il cartello di avvertimento debba essere posizionato in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima d’accedere nella zona controllata, non risultando invece necessario rivelargli l’ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto del controllo effettuato. In tal modo, l’interessato è posto nelle condizioni di «stimare quale zona sia coperta da telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario» (GPDP, Provv. 7 aprile 2022, docweb n. 9773950, cit.).
Nel caso di specie, il Comune di Orte non ha, invece, adottato alcuna misura tesa a rendere l’informativa sul trattamento dei dati personali agli interessati in astratto sottoposti all’attività di controllo, non avendo né apposto cartelli contenenti un’informativa “di primo livello” in prossimità delle aree videosorvegliate né messo a disposizione un’informativa completa sul trattamento dei dati personali, violando quindi i ben noti principi generali in materia di data protection.
3. Precedenti
Sui trattamenti di dati personali derivanti dall’utilizzo di fototrappole e sistemi di videosorveglianza, si vedano i provvedimenti seguenti: (i) GPDP, Docweb n. 9777996 del 28 aprile 2022, ordinanza ingiunzione nei confronti della società Amiu s.p.a. (ove l’istruttoria ha colto altri aspetti, tra i quali quelli relativi agli adempimenti concernenti l’obbligo di designazione del responsabile del trattamento, la diffusione su Facebook di immagini e video raccolti, il principio di limitazione delle finalità e la designazione del DPO); (ii) GPDP, Docweb n. 9777974 del 28 aprile 2022, ordinanza ingiunzione nei confronti del Comune di Taranto (con riguardo all’obbligo di rendere l’informativa agli interessati, di nominare il responsabile del trattamento ex art. 28 GDPR e di effettuare la valutazione di impatto); GPDP, Docweb n. 9794895 del 9 giugno 2022, ordinanza ingiunzione nei confronti del Comune di Policoro (ove il Garante ha affrontato le questioni concernenti gli obblighi di informativa in applicazione dei principi di “correttezza” e “trasparenza”, la corretta applicazione dei principi di “limitazione della conservazione” e “responsabilizzazione”, nonché la questione relativa al conflitto di interessi del DPO).
Sui sistemi di videosorveglianza, si veda anche il provvedimento GPDP, Docweb n. 1712680 dell’8 aprile 2010, provvedimento in materia di videosorveglianza.
4. Bibliografia
Sulla liceità del trattamento, si vedano in particolare F. Bravo, Le condizioni di liceità del trattamento, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, pp. 110 ss.; D. Poletti, Comm. sub. art. 6 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta(a cura di), Codice della privacy e data protection, Milano, 2021, pp. 191 ss.; F. Cardarelli, Comm. sub. art. 6 GDPR, in R. D’Orazio-G. Finocchiaro -O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 1011 ss.
Sul trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, si vedano in particolare G. Mulazzani, Il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, cit., pp. 194 ss.; F. Cardarelli, Comm. sub. art. 2-ter Codice Privacy, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 1011 ss.
Sui principi applicabili al trattamento dei dati personali, si vedano in particolare G. Malgeri, Comm. sub. art. 5 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 176 ss.
Con riferimento al principio d’accountability si vedano, in particolare, G. Finocchiaro, Il principio di accountability, in Giur. it., 2019, 12, pp. 2778-2783; F. Pizzetti-L. Greco, Comm. sub. art. 24 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 398 ss.
Quanto al principio di privacy by design e privacy by default si rinvia, invece, a F. Bravo, L’ «architettura» del trattamento e la sicurezza dei dati e dei sistemi, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, pp. 775-854; F. Bravo, Data Management Tools and Privacy by Design and by Default, in R. Senigaglia-C. Irti-A. Bernes (ed. by), Privacy and Data Protection in Software Services, Springer, 2022, pp. 85-95; M. Ratti, Comm. sub. art. 25 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 410 ss.Sul principio di trasparenza ed il diritto dell’interessato d’essere informato, si vedano in particolare A. Ricci, I diritti degli interessati, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, cit., pp. 392 ss.; G. Marino, I diritti degli interessati, in G. Cassano-V. Colarocco-G.B. Gallus-F.P. Micozzi (a cura di), Il processo di adeguamento al GDPR, cit., pp. 59 ss.; A. Genovese, Comm. sub. art. 12 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 276 ss.; L. Liguori, Comm. sub. artt. 13-14 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 288 ss.
