Pubblica Amministrazione

• GPDP, Docweb 9773590, 7.4.2022 (3)

  Massima (3) – Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di “primo livello” mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle informazioni di “secondo livello”, che devono contenere tutti gli elementi obbligatori a norma dell’art. 13 GDPR ed essere facilmente accessibili per l’interessato

• Docweb 9773590, 7.4.2022 (2)

  Massima (2) – Seppur in presenza di una condizione di liceità del trattamento di dati personali, il titolare è tenuto a rispettare i principi in materia di data protection, fra i quali quelli di liceità, correttezza e trasparenza e limitazione della conservazione, di privacy by default e privacy by design, ed il principio di responsabilizzazione. Pertanto, qualora un Comune intenda adottare “videotrappole” per il contrasto al fenomeno illecito dei rifiuti urbani, viola gli art. 5, par. 2, e art. 24, par. 1 e 2, GDPR qualora non abbia adottato alcun atto organizzativo in relazione all’impiego dei predetti dispositivi video e non abbia assunto alcuna determinazione in materia di protezione dei dati personali prima di iniziare il trattamento dei dati personali in questione, volta ad adottare misure tecniche e organizzative adeguate per attuare in modo efficace i principi di base in materia di protezione dei dati.

• GPDP, Docweb 9773950, 7.4.2022 (1)

  Massima (1) – Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se esso è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito lo stesso, ai sensi dell’art. 6, parr. 1, lett. c) ed e), e 3, GDPR, nonché dell’art. 2-ter del Codice in materia di protezione dei dati personali. Sussiste la predetta condizione di liceità in caso di trattamento dei dati personali posto in essere da un Comune tramite l’uso di “videotrappole” per la repressione degli illeciti. Ciò in quanto tale trattamento rientra nello svolgimento di una attività istituzionale affidata agli enti locali, quale ben può dirsi la gestione dei rifiuti solidi urbani e il contrasto del loro illecito abbandono.

• Sulla (il)liceità dei trattamenti di dati personali posti in essere dai Comuni mediante “videotrappole” per il contrasto all’illecito abbandono dei rifiuti

  GPDP, Docweb n. 9773950 del 7 aprile 2022 | Massime e Commento di Alice Incerti

• GPDP, Docweb 9698724, 22.7.2021 (4)

  Massima (4) – Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati «soltanto su istruzione documentata del titolare» [art. 28, par. 3, lett. a), GDPR].

• GPDP, Docweb 9698724, 22.7.2021 (3)

  Massima (3) – Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, n. 7, GDPR). Sul titolare ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una «responsabilità generale» sui trattamenti posti in essere (v. art. 5, par. 2 c.d. «accountability» e 24 GDPR), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, n. 8) e 28 GDPR).

• GPDP, Decweb 9698724, 22.7.2021 (2)

  Massima (2) – Pur in presenza di un presupposto giuridico, ad ogni modo, il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di «liceità, correttezza e trasparenza», «limitazione della conservazione» e «integrità e riservatezza» in base ai quali i dati sono «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato», «conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati» e  «trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati» [art. 5, par. 1, lett. a), e) e f), GDPR]. Ove un ente locale tratti dati personali degli utenti con parchimetri modernizzati, che richiedano il necessario inserimento del numero di targa al fine di rendere non necessario l’esposizione del tagliando da parte degli interessati, occorre rendere loro un’adeguata e completa informativa (ai sensi dell’art. 13 GPR), definire i tempi di conservazione dei dati personali raccolti e dare in tal senso precise istruzioni alla società designata responsabile del trattamento. Ove non siano state adottate «misure adeguate a garantire che siano trattati solo i dati necessari, con particolare riferimento alla definizione dei tempi di conservazione dei dati personali», va considerato violato il principio di «limitazione della conservazione» e quello di «protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita» di cui agli artt. 5, par. 1, lett. e) e 25 GDPR. 

• GPDP, Docweb 9698724, 22.7.2021 (1)

  Massima (1) – In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici possono trattare i dati solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» [art. 6, par. 1, lett. c) ed e), GDPR]. In tale quadro, la regolazione delle soste e dei parcheggi a pagamento rientra tra le attività istituzionali affidate agli enti locali.

• La Data Protection fra le strade cittadine: le violazioni del GDPR relative alla “modernizzazione” dei parcometri per la gestione della sosta a pagamento

  GPDP, Docweb n. 9698724 del 22 luglio 2021 | Massime e Commento di Martina Voci

• GPDP, Docweb 9752221, 24.2.2022 (3)

  Massima (3) – La circostanza che una regione abbia effettuato un trattamento di dati personali di cui è titolare per dare seguito a una specifica richiesta del Ministero, nell’ambito di un’attività di collaborazione interistituzionale, non può costituire condizione esimente rispetto all’obbligo per il titolare di effettuare una preventiva valutazione d’impatto sulla protezione dei dati.