Da una segnalazione pervenuta all’Autorità Garante è emerso che la società Amiu s.p.a., gestore del servizio di raccolta dei rifiuti urbani per il Comune di Taranto (di seguito, il Comune), ha installato alcune videocamere allo scopo di individuare e sanzionare comportamenti illegali.
Da quanto risulta nella segnalazione, la società avrebbe diffuso, attraverso la pubblicazione nel proprio profilo Facebook, alcuni video (cfr. allegato video delXX) e alcune immagini, raccolte attraverso i sistemi di videosorveglianza installati sul territorio comunale, dalle quali risulterebbero identificati o identificabili alcuni soggetti interessati.
Con riferimento alla citata pubblicazione di alcuni video immagini sui social, la società ha precisato che la pubblicazione è avvenuta aI fine di migliorare l’azione mediatica del sistema di sorveglianza e attuare una maggiore deterrenza del sistema di videosorveglianza installato. Tuttavia essa si sarebbe adoperata per occultare gli elementi che potessero permettere la individuazione delle persone fisiche coinvolte in modo diretto o indiretto. Il tutto al fine di non identificare tali immagini come dato personale e quindi non soggetto all’applicazione della Privacy.
Le contestazioni del Garante hanno riguardato i seguenti aspetti principali:
1) Il trattamento effettuato dalla società in merito al servizio di gestione dei rifiuti solidi urbani, inclusa la videosorveglianza
Come emerso nel corso dell’istruttoria il trattamento dei dati in esame, svolto dalla società per conto del Comune (nei cui confronti è contestualmente adottato uno specifico provvedimento), è stato avviato senza che il ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento (né ai sensi dell’art. 29 del Codice previgente).
Inoltre, risulta accertato che la società si è rivolta, nel mese di novembre 2020, alla società ITS s.r.l., fornitrice del sistema di videosorveglianza (provvedendo a designarla quale “responsabile del trattamento”) senza la “previa autorizzazione scritta, specifica o generale, del titolare del trattamento” in violazione dell’art. 28, par. 2 del Regolamento.
2) La diffusione delle immagini e dei video raccolti su Facebook
Dagli allegati alla segnalazione pervenuta (cfr. in particolare, il video del XX) e da quanto emerso nel corso dell’istruttoria risulta accerta la diffusione di immagini e video riguardanti alcuni cittadini identificati o identificabili.
La pubblicazione di immagini e video di soggetti interessati è stata, tra l’altro, confermata dalla società stessa che ha dichiarato nella nota del XX di aver effettuato la pubblicazione “su Facebook di alcuni video e immagini nei quali risultano identificabili alcuni soggetti interessati” sostenendo, tuttavia, che “tale situazione non risulta conforme a quanto previsto dalle procedure interne in quanto, prima di pubblicare sui social network, il personale autorizzato ha cura di occultare gli elementi che possono permettere la individuazione delle persone fisiche coinvolte in modo diretto o indiretto. Il tutto al fine di non identificare tali immagini come dato personale soggetto all’applicazione della Privacy”. Sul punto, tuttavia, non è stata fornita all’Autorità alcuna documentazione circa l’asserita procedura interna rivolta al personale, in merito all’occultamento delle immagini.
Dal momento che, dagli atti, non risulta indicata la base giuridica che avrebbe legittimato la diffusione dei dati personali, risulta accertata la violazione del principio di “liceità, correttezza e trasparenza” (art. 5, par. 1 lett. a) del Regolamento), l’assenza di idonea base giuridica di cui agli artt. 6 del Regolamento e art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di segnalazione).
3) La mancata designazione del Responsabile della protezione dei dati
Da ultimo, non risulta che la società abbia nominato un responsabile della protezione dei dati.
Sul punto, vista la natura sostanzialmente pubblica dell’attività svolta da codesta società, la quale implica il trattamento di dati personali di migliaia di cittadini nell’ambito della raccolta, trasporto e smaltimento rifiuti anche ai fini dell’accertamento e contestazione degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali, tenuto anche conto del ricorso ad un sistema di videosorveglianza in grado di comportare un “monitoraggio regolare e sistematico degli interessati su larga scala”, si ritiene che codesta società avrebbe dovuto nominare un responsabile della protezione dei dati, figura imprescindibile nel supporto e nella vigilanza sulla correttezza dei trattamenti di dati personali effettuati. Risulta pertanto accertata la violazione dell’art. 37 del Regolamento.
Il Garante ha ritenuto di comminare alla società AMIU S.p.A. la sanzione amministrativa pecuniaria di euro 200.000 (duecentomila).
Di seguito il link alla Ordinanza ingiunzione nei confronti di società Amiu s.p.a. – 28 aprile 2022 [Doc-Web n. 9777996]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9777996