L’Autorità Garante per la protezione dei dati personali (il “Garante”), con ordinanza di ingiunzione
del 28 aprile 2022, ha comminato ad una società incaricata di gestire il servizio di raccolta dei rifiuti
urbani per il Comune di Taranto (il “Comune”), una sanzione di 200.000 euro, per aver affidato ad un
proprio sub-responsabile alcuni trattamenti di dati personali senza aver richiesto ed ottenuto
preventivamente una autorizzazione scritta, specifica o generale, dal Comune, titolare del
trattamento.
Nello specifico, il Comune a seguito di un diffuso abbandono dei rifiuti all’interno del territorio di
propria competenza aveva conferito ad una società – totalmente partecipata dallo stesso – funzioni
di accertamento e contestazione immediata di eventuali illeciti derivanti dalla violazione delle
norme comunali in materia di smaltimento dei rifiuti. Sia il Comune che la società concordavano
sull’opportunità di installare sistemi di videosorveglianza in corrispondenza di siti considerati
particolarmente sensibili in quanto luoghi in cui l’abbandono illecito dei rifiuti si ripeteva con
maggior frequenza.
Da una segnalazione pervenuta al Garante emergeva che la società aveva diffuso tramite la
pubblicazione sul proprio profilo Facebook, alcuni video e immagini, raccolti attraverso i predetti
sistemi di videosorveglianza, da cui risultavano identificati, o comunque identificabili, i cittadini
trasgressori.
A seguito della segnalazione ricevuta, il Garante avviava un’istruttoria da cui risultava che la società
incaricata aveva iniziato le attività di trattamento nel mese di marzo 2012 ai sensi di una ordinanza
comunale senza che, alla luce della normativa previgente, il rapporto con il Comune fosse
regolamentato, dal mese di novembre 2020, si era avvalsa per la raccolta delle immagini di videosorveglianza di un fornitore (regolarmente designato come responsabile del trattamento) senza la ” previa autorizzazione scritta, specifica o generale, del titolare del trattamento (ndr il Comune)” così come
previsto dall’articolo 28 del GDPR e solo nel gennaio 2022 tra essa e il Comune era stato sottoscritto, ai sensi dell’art. 28 del GDPR, un “accordo per la protezione dei dati personali e nomina a responsabile esterno del trattamento”. E solo in tale accordo il Comune aveva esplicitato che “la società, previa autorizzazione scritta del Comune, potrebbe dover comunicare o rendere disponibili i dati personali di titolarità di quest’ultimo ad uno o più soggetti terzi (quali sub responsabili), al fine di affidare a tali soggetti parte delle attività di trattamento”.
Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.