Senza regole privacy: in arrivo sanzioni esemplari anche per i Comuni e le società in house

Il diffuso disinteresse per la protezione dei dati personali in materia di videosorveglianza urbana ha i giorni contati.

Per la prima volta il Garante ha infatti applicato due sanzioni molto severe, per un totale di 350 mila euro, ad un Comune e alla società partecipata che da anni utilizzano fototrappole senza alcuna necessaria preventiva valutazione organizzativa sulla tutela della privacy.

 

 

Lo hanno evidenziato le ordinanze n. 162 e 163 adottate dal Garante per la protezione dei dati personali il 28 aprile 2022.

Il Comune di Taranto da una decina di anni ha deciso di avvalersi di un sistema di controllo dello smaltimento dei rifiuti urbani e per questo ha dato incarico alla sua società in house confidando nella capacità della struttura tecnica ma trascurando qualsiasi valutazione sulla protezione dei dati.

 

È stato sufficiente il reclamo di un cittadino per scatenare l’attività investigativa dell’Autorità di controllo che ha avviato due distinti procedimenti amministrativi rispettivamente a carico del Comune e della partecipata.

 

Al municipio il Garante ha contestato la scarsa trasparenza comunicativa con cartellonistica non aggiornata e poco frequente.

Ma soprattutto la mancanza della valutazione di impatto sulla protezione dei dati richiesta dall’art. 35 Gdpr e della nomina formale della società a responsabile esterno del trattamento, ai sensi dell’art. 28 del regolamento.

 

L’attività istruttoria a carico del municipio si è quindi conclusa con la dichiarazione di non conformità dei trattamenti dei dati personali svolti dal Comune con l’utilizzo delle fototrappole condannando l’amministrazione al pagamento di una severa sanzione amministrativa da 150 mila euro.

 

Ma è andata peggio alla società partecipata che è stata condannata al pagamento di una sanzione di 200 mila euro.

In questo caso l’attività istruttoria dell’organo centrale si è concentrata su due importanti, ulteriori, irregolarità.

Ovvero la diffusione sui social dei dati personali di alcuni trasgressori (come immagini e video catturati dalle telecamere), senza alcun coinvolgimento del municipio e alcuna base giuridica pertinente.

Inoltre, è stata accertata la mancata nomina del responsabile per la protezione dei dati. In pratica la società oltre ad aver catturato immagini per il Comune senza che lo stesso abbia strutturato adeguatamente l’organizzazione privacy (e quindi senza definire il ruolo della società nell’attività di trattamento) non si è preoccupata neppure di nominare il d.p.o. che di fatto è il soggetto deputato a sovrintendere alla regolarità dei processi in materia di protezione dei dati personali.

Questo disinteresse, unitamente alla diffusione di foto e video sui social, ha contribuito ad aggravare e differenziare le misure punitive adottate a carico del titolare del trattamento (il Comune) e il suo responsabile esterno (la società partecipata).

Condividi