g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Orte - 7 aprile 2022 [9773950]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9773950]

Ordinanza ingiunzione nei confronti di Comune di Orte - 7 aprile 2022*

Registro dei provvedimenti
n. 119 del 7 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, un cittadino ha lamentato l’installazione nel territorio del Comune di Orte (di seguito, il “Comune”) “di dispositivi di video/audio ripresa verosimilmente compatibili con le fototrappole che normalmente si utilizzano per la repressione dei reati di illecito smaltimento dei rifiuti”, sebbene “nessun documento in materia [sia] apparso pubblicato all’Albo Pretorio [del] Comune (utilizzo di fototrappole, segnaletica informativa, motivo della raccolta dei dati, gestione degli stessi, ecc…)”.

Il reclamante, “non conoscendo […] la motivazione di tali posizionamenti, ed essendo […] stato videoregistrato più volte […] [ha, inoltre,] presentato formale richiesta di accesso agli atti [ai sensi della l. 241/1990]”, avendo ottenuto dal Comune soltanto “una copia fotostatica dell’offerta tecnica che la società fornitrice delle fototrappole ha consegnato al comune […] al momento dell’aggiudicazione dell’appalto”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), il Comune, in riscontro a una richiesta d’informazioni del Garante (nota prot. n. XX del XX), ha dichiarato, in particolare, che:

“la fornitura, attivazione e messa in opera di fototrappole, da utilizzare per la repressione dei reati di illecito smaltimento dei rifiuti, costituiva offerta migliorativa della ditta aggiudicataria del servizio di igiene urbana […]”;

“tale strumentazione risulta fornita e consegnata all’Ufficio competente. Purtuttavia, ai fini dell’attivazione degli stessi, interpellati gli uffici competenti, e precisamente i Responsabili del Servizio Ambiente e del Servizio Polizia Locale, gli stessi hanno riscontrato l’insussistenza di atti o provvedimenti prodromici all’avvio delle attività preventive e repressive”;

“in particolare, non risultano ancora adottati o approvati, ai fini dell’attivazione del servizio:

il Regolamento comunale sulla videosorveglianza, nella versione che comprenda specificamente l’utilizzo di fototrappole o strumentazione analoga. In materia, […] la bozza di Regolamento, già predisposta dal Servizio Polizia Locale, è stata inviata alla Commissione competente che, al momento dell’approvazione della mozione di sfiducia al Sindaco […], avvenuta con deliberazione di Consiglio Comunale n. 1 del 07.04.2021, con conseguente decadenza di tutto il Consiglio comunale, non l’aveva ancora esaminata […]”;

iniziative afferenti all’avvio effettivo del servizio e [a]lle garanzie correlate allo stesso (apposizione di cartelli informativi, stesura e apposizione di informative sul trattamento dei dati personali da rendere agli interessati, affidamento stesso di ruoli operativi in merito al trattamento dei dati in favore del soggetto fornitore del servizio di igiene urbana), e pertanto a tutt’oggi il [Comune] non è in grado di fornire alcuna informazione in merito alla data, e al numero di utilizzi degli strumenti di cui alla richiesta in oggetto, stante il mancato avvio ufficiale del servizio;

“non risulta […] alcun elemento indicativo di eventuali sanzioni irrogate a danno dei cittadini per effetto dell’utilizzo della strumentazione citata”.

Nel corso dell’istruttoria è, inoltre, emerso che i dati di contatto del responsabile della protezione dei dati (“RPD”) designato il Comune, comunicati al Garante ai sensi dell’art. 37, par. 7, del Regolamento, sono sostanzialmente coincidenti con quelli dello stesso Comune (ovvero “segretariocomunale@comune.orte.vt.it” e “comuneorte@pec.it”).

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, parr. 1, lett. a) ed e), e 2 (in combinato disposto con l’art. 24), 12, par. 1, 13, 25, 28 e 37, par. 7, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

A seguito di tale nota, il Comune, sebbene ampiamente oltre il termine indicato dall’Autorità, ha presentato una memoria difensiva (nota prot. n. XX del XX), dichiarando, in particolare, che “a seguito dell’aggiudicazione del servizio rifiuti da parte della [azienda fornitrice], la medesima ha fornito delle fototrappole come miglioria dell’offerta di gara. Le predette fototrappole sono state inizialmente montate per verificarne l’effettivo funzionamento dopodiché in assenza di un regolamento specifico per l’attivazione del servizio di monitoraggio sul territorio comunale sono state allocate saltuariamente in alcuni punti senza scheda e batteria come forma di dissuasione. Nell’ultimo periodo le stesse sono state smontate definitivamente e sono giacenti presso i locali comunali”.

3. Esito dell’attività istruttoria.

3.1. Responsabilizzazione, protezione dei dati fin dalla progettazione e per impostazione predefinita, e limitazione della conservazione.

Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se esso è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito lo stesso (art. 6, parr. 1, lett. c) ed e), e 3, del Regolamento, nonché 2-ter del Codice; cfr. par. 41 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” e “limitazione della conservazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” e “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) ed e), del Regolamento).

Sul titolare del trattamento, in quanto soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati, grava una “responsabilità generale” sui trattamenti posti in essere (cons. 74 del Regolamento). In base al principio di “responsabilizzazione”, esso è, infatti, competente per il rispetto dei principi di protezione dei dati (art. 5, par 1, del Regolamento) e deve essere in grado di comprovarlo (art. 5, par. 2, del Regolamento). Ciò anche mettendo in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento (art. 24, par. 1, del Regolamento).

In particolare, in considerazione del rischio che incombe sui diritti e le libertà degli interessati, il titolare del trattamento deve - ”fin dalla progettazione” e “per impostazione predefinita” (art. 25 del Regolamento) - adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati, integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati (cfr. “Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, spec. punti 42, 44 e 49). Tale obbligo “vale [anche] per […] il periodo di conservazione […]” dei dati (art. 25, par. 2, del Regolamento).

Nel caso di specie, all’esito dell’istruttoria, è emerso che il Comune – sebbene al solo fine di testare il funzionamento di alcune c.d. “fototrappole” per il contrasto del fenomeno dell’illecito abbandono dei rifiuti - ha trattato dati personali dei soggetti ripresi da quest’ultime, senza, tuttavia, assumere “atti o provvedimenti prodromici all’avvio delle attività preventive e repressive”.

Il Comune, non avendo adottato alcun atto organizzativo in relazione all’impiego dei predetti dispositivi video e non avendo assunto alcuna determinazione in materia di protezione dei dati personali prima di iniziare il trattamento dei dati personali in questione, non ha conseguentemente adottato misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di base in materia di protezione dei dati e, nel corso dell’istruttoria, non ha comprovato di aver rispettato gli stessi (non essendo nemmeno stato in grado di “fornire alcuna informazione in merito alla data, e al numero di utilizzi degli strumenti di cui alla richiesta in oggetto”), agendo in maniera non conforme al principio di responsabilizzazione, in violazione dell’art. 5, par. 2 (in combinato disposto con l’art. 24, parr. 1 e 2) del Regolamento.

Non è stato, pertanto, assicurato, sia al momento di determinare i mezzi del trattamento sia durante il trattamento stesso, che la protezione dei dati personali fosse integrata nel trattamento fin dalla sua progettazione e per impostazione predefinita durante l’intero ciclo di vita dei dati, “incorporan[d]o nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati” e facendo in modo che “[venisse] effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità”, anche con riguardo al periodo di conservazione dei dati, “in tutte le fasi della progettazione delle attività di trattamento, compresi gli appalti, le gare di appalto, l’esternalizzazione, lo sviluppo, il supporto, la manutenzione, il collaudo, la conservazione, la cancellazione ecc.” (“Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita”, cit.), in violazione dell’art. 25 del Regolamento.

Conseguentemente, il Comune non ha nemmeno provveduto a individuare in maniera certa e documentata i tempi massimi di conservazione delle immagini riprese dai dispositivi video in questione, in violazione dell’art. 5, par. 1, lett. e), del Regolamento.

3.2. L’informativa agli interessati.

In ossequio al principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (v. art. 12 del Regolamento).

Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; cfr. FAQ n. 4 del Garante in materia di videosorveglianza, doc. web n. 9496574).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi) (ibidem, cit., par. 115). La segnaletica di avvertimento di primo livello deve, inoltre, contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Le informazioni di primo livello dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi). Non è necessario rivelare l’ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario (ibidem, cit., par. 113).

Nel caso di specie, il Comune non ha, invece, adottato alcuna misura per fornire l’informativa sul trattamento dei dati personali agli interessati sottoposti alla videosorveglianza, non avendo né apposto cartelli contenenti un’informativa di primo livello in prossimità delle aree videosorvegliate né messo a disposizione un’informativa completa sul trattamento dei dati personali (ad esempio, mediante pubblicazione della stessa sul proprio sito web istituzionale), in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento.

3.3. I dati di contatto del responsabile della protezione dei dati.

Con riguardo alla figura del RPD, la normativa in materia di protezione dei dati personali prevede che il titolare del trattamento debba comunicare i dati di contatto del RPD all’autorità di controllo (cfr. art. 37, par. 7, del Regolamento).

Premesso che il Comune ha comunicato al Garante, quali dati di contatto del proprio RPD, gli indirizzi “segretariocomunale@comune.orte.vt.it” e “comuneorte@pec.it”, occorre evidenziare che tali dati non possono considerarsi idonei a consentire una comunicazione diretta tra l’Autorità e il RPD.

Come, infatti, chiarito dal Garante, i titolari del trattamento devono “rendere disponibili, sia nei confronti del pubblico che dell’Autorità, una casella “istituzionale” ad hoc attribuita specificamente al solo RPD, evitando l’utilizzo di caselle che siano direttamente espressione del titolare del trattamento (ad esempio, perché richiamano l’“amministrazione”, la “segreteria” o il “protocollo”)”; peraltro, anche affinché sia “effettivamente indipendente nell’esercizio delle sue funzioni (come richiesto dal cons. 97 del Regolamento)”, il RPD deve poter essere “contattato attraverso canali che riconducano direttamente a lui, senza l’intermediazione di uffici facenti capo al titolare” (“Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” allegato al provv. 29 aprile 2021, n. 186, doc. web n. 9589104; v. anche le “Linee guida sui responsabili della protezione dei dati”, adottate dal Comitato europeo per la protezione dei dati il 13 dicembre 2016, come emendate e adottate in data 5 aprile 2017, in particolare par. 2.6, ove si afferma che “queste disposizioni [del Regolamento] mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile del trattamento) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile del trattamento” e che “anche la confidenzialità riveste pari importanza”).

La comunicazione all’Autorità, da parte del Comune, di dati di contatto del RPD, coincidenti con i propri recapiti istituzionali, configura, pertanto, una violazione dell’art. 37, par. 7, del Regolamento, in quanto il titolare del trattamento non ha comunicato all’Autorità alcun dato di contatto specifico del RPD ma solo quelli propri dell’ente. Ciò, anche tenuto conto che, nel caso di specie, essendo il RPD una persona giuridica esterna all’organizzazione del titolare, risulta ancor più irragionevole la scelta del Comune di consentire all’Autorità di contattare la predetta figura solo in via indiretta, attraverso una casella di posta a sé riconducibile, e, dunque, senza la possibilità di mettere a disposizione un canale di comunicazione ad hoc, in coerenza con la posizione di autonomia che il Regolamento assegna al RPD.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver trattato dati personali mediante dispositivi video, in violazione degli artt. 5, parr. 1, lett. a) ed e), e 2 (in combinato disposto con l’art. 24), 12, par. 1, 13, 25, e 37, par. 7, del Regolamento. Limitatamente alla contestata violazione dell’art. 28 del Regolamento, deve, invece, disporsi l’archiviazione, atteso che, nell’ambito della connessa istruttoria avviata nei confronti dell’azienda fornitrice dei dispositivi video utilizzati dal Comune, questa ha dichiarato che “non esegue, né ha mai eseguito, per conto del Comune di Orte alcuna operazione di trattamento dei dati raccolti con l’utilizzo delle fototrappole”, non avendo “mai stipulato alcuna convenzione con il Comune di Orte avente ad oggetto la gestione delle fototrappole, né quindi sulla protezione dei dati raccolti autonomamente dall’Ente Locale, mediante utilizzo delle fototrappole fornite” (nota del XX).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, lett. d), del Regolamento prevede che il Garante ha i poteri correttivi di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.
Prendendo atto di quanto emerso in fase di istruttoria e tenendo conto della circostanza che, nonostante lo specifico invito rivolto dall’Autorità al Comune, quest’ultimo non ha provveduto a comunicare all’Autorità gli specifici contatto del proprio RPD, diversi dai recapiti istituzionali del Comune, si rende necessario, ai sensi del predetto art. 58, par. 2, lett. d), del Regolamento, ingiungere a quest’ultimo di comunicare all’Autorità tali specifici dati di contatto del RPD, in conformità a quanto previsto dall’art. 37, par. 7, del Regolamento.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune dovrà provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ingiunto ai sensi del citato art. 58, par. 2, lett. d), del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato l’alto grado di responsabilità del titolare del trattamento, che ha sostanzialmente omesso di considerare i profili di protezione dei dati sottesi al trattamento in questione, prima di effettuare lo stesso. Il titolare ha, peraltro, prestato una scarsa collaborazione con l’Autorità nel corso dell’istruttoria, fornendo informazioni ed elementi caratterizzati da vaghezza e imprecisione, ben oltre i termini assegnati ed ha trattato i dati personali di un numero elevato di interessati, sebbene durante un lasso temporale non particolarmente esteso.

Di contro, si è tenuto in considerazione che il Comune ha dichiarato, seppur senza fornire precisi riferimenti temporali, di aver effettuato un limitato utilizzo delle c.d. fototrappole, al solo fine di testarne il funzionamento, di aver successivamente collocato saltuariamente i dispositivi sul proprio territorio, privi di scheda e batteria, come forma di dissuasione, per poi cessare del tutto ogni utilizzo degli stessi. È stato, inoltre, considerato che, sulla base di quanto emerge dalla documentazione in atti, il Comune ha installato un numero di c.d. fototrappole non superiore a sei (cfr. allegato alla nota prot. n. XX). Non risultano, infine, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000 (ventimila) per la violazione degli artt. 5, parr. 1, lett. a) ed e), e 2 (in combinato disposto con l’art. 24), 12, par. 1, 13, 25, e 37, par. 7, del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che l’attività di videosorveglianza in questione ha interessato diversi luoghi del territorio comunale, concretizzando un trattamento di dati personali che “consente [di rilevare] la presenza e il comportamento delle persone nello spazio considerato” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, par. 2.1, cit.), senza che i soggetti ripresi fossero consapevoli di tale circostanza, con conseguente pregiudizio dei propri diritti e delle proprie libertà fondamentali, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune di Orte per violazione degli artt. 5, parr. 1, lett. a) ed e), e 2 (in combinato disposto con l’art. 24), 12, par. 1, 13, 25, e 37, par. 7, del Regolamento, nei termini di cui in motivazione;

ORDINA

al Comune di Orte, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Del Plebiscito, 1 - 01028 Orte (VT), C.F. 00088570569, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune:

a) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di comunicare all’Autorità, ai sensi dell’art. 37, par. 7, del Regolamento, gli specifici dati di contatti del RPD designato dal Comune, diversi dai recapiti dello stesso Comune;

c) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), del Regolamento.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 aprile 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

 

*Il provvedimento è stato impugnato