>> CLICCA QUI per scaricare il provvedimento del Garante
L’istruttoria del Garante
A fronte della segnalazione del cittadino, è stata avviata un’istruttoria nel corso della quale è stata disposta un’attività ispettiva in collaborazione con il Nucleo speciale Privacy della Guardia di Finanza.
Durante lo svolgimento di detta attività, è stato accertato che i dati personali dei cittadini che hanno usufruito del servizio offerto dalla società non erano adeguatamente protetti, alla luce delle disposizioni vigenti in materia. L’attività ispettiva, infatti, ha dimostrato che effettivamente vi erano irregolarità, non di poco rilievo, lungo tutta la filiera del trattamento dei dati personali degli automobilisti: ad esempio, per il rilascio del tagliando che attesta l’avvenuto pagamento è richiesto l’inserimento della targa dell’autoveicolo.
La prima problematica che viene rilevata ha a che fare con il rapporto che intercorre tra il Comune e la società, in quanto, la stessa ha agito senza che il suo ruolo, in qualità di sub-responsabile, fosse adeguatamente definito prima dell’inizio del trattamento. Si ricorda, a tal fine, che la società era stata incaricata di realizzare un sistema centralizzato che si occupasse di raccogliere informazioni dai parcometri. In tal senso, l’Ufficio, nel corso dell’attività, ha accertato la violazione dell’art. 28 del Regolamento (UE) 2016/679, il c.d. GDPR, in quanto il comune, in qualità di titolare del rapporto, non aveva fornito istruzioni valide per il trattamento dei dati personali, né aveva provveduto a nominare la stessa responsabile del trattamento.
La seconda problematica rilevata dall’Ufficio riguarda il rispetto dell’art. 30 del GDPR, rubricato “Registri delle attività di trattamento”, che sono indispensabili per valutare la conformità del trattamento dei dati alla disciplina vigente in materia e che non erano stati redatti dalla società responsabile del trattamento nei momenti che sarebbero stati utili per non incorrere in violazione dell’art. 30 del Regolamento.
Il Garante ha concluso, quindi, la su istruttoria affermando che, pur essendo previsto dalla disciplina che i soggetti pubblici possono trattare i dati per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, il soggetto pubblico, titolare del trattamento (come nel caso di specie, il comune di Roma) è comunque tenuto a rispettare i principi in materia di protezione dei dati, mentre, di contro, nel caso di specie, sono state accertate le suddette violazione delle disposizioni dettate in materia di trattamento dei dati personali.
La decisione del Garante privacy
Per quanto concerne la violazione dell’art. 28 del Regolamento, rubricato “Responsabile del Trattamento”, il Garante ha preliminarmente ricordato che il titolare del trattamento dei dati personali degli utenti dei parchimetri è il Comune di Roma, il quale, in virtù di tale qualifica, deve stabilire le modalità e le finalità del trattamento dei dati personali; mentre, il responsabile del trattamento, ossia la società che gestisce i parchimetri, ha il compito di trattare i dati personali per conto del titolare e i suoi obblighi, nei confronti del titolare, debbono essere sanciti e specificati in un apposito contratto o altro atto giuridico. Infine, il Garante ha segnalato che, in tema di responsabile del trattamento, il GDPR ha altresì previsto che possono essere nominati, da parte del responsabile, anche dei soggetti quali sub-responsabili del trattamento, previa autorizzazione scritta del titolare: in tal caso, il soggetto sub-responsabile è vincolato agli obblighi contrattuali vigenti tra titolare e responsabile.
Alla luce di questa disciplina, il Garante ha accertato che la società e il comune di Roma hanno agito in violazione della citata norma, poiché il rapporto tra i due non risultava correttamente disciplinato in quanto era stato redatto un contratto che non conteneva gli elementi previsti e richiesti a tal fine dall’art. 28, par. 3 e 4 del Regolamento. Non essendo, dunque, stato stipulato un accordo conforme alle disposizioni normative, il Garante ha ritenuto che i dati sono stati trattati illecitamente, in quanto il responsabile non era stato adeguatamente autorizzato.La società che gestiva i parchimetri ha, infatti, svolto i suoi compiti senza però che il suo ruolo di responsabile del trattamento fosse correttamente disciplinato.
In secondo luogo, il Garante ha ritenuto che tutta la procedura di trattamento, risulta effettuata in assenza di un’idonea base giuridica e quindi in violazione altresì dell’articolo 5, par. 1 e 6 GDPR. In particolare, la prima disposizione prevede che “i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”; la seconda, invece, prevede le condizioni di liceità in presenza delle quali il trattamento sarà, appunto, considerato lecito: in particolare, il trattamento per essere lecito deve trovare fondamento in un’idonea base giuridica.
Nel caso di specie, il Garante ha ritenuto che non è sufficiente, ai fini della valutazione sulla sussistenza di una idonea base giuridica legittimante il trattamento da parte della società che gestisce i parchimetri, la circostanza che il trattamento fosse previsto del contratto per l’erogazione di un servizio di pubblico interesse di trasporto. A tal proposito, infatti, il Garante ha evidenziato come, se è pur vero che l’art. 6, par. 1, lett. e) del GDPR ammette il trattamento qualora esso sia necessario “per l’esecuzione di un interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, tale disposizione legittimi però soltanto il trattamento effettuato dal “titolare del trattamento” (Roma Capitale), che è investito da un compito di interesse pubblico, ma non legittima altri soggetti a trattare i dati per tale finalità di pubblico interesse (quindi, nel caso di specie, non legittima la società che gestisce i parchimetri).
Infine, il Garante ha accertato la ulteriore illiceità del trattamento da parte della società responsabile della gestione dei parchimetri, nella misura in cui non sono stati adottati i registri delle attività di trattamento.
Trattamento sanzionatorio del Garante
In conclusione, il Garante ha provveduto ad infliggere alla società la sanzione pecuniaria (nel caso di specie nella misura di euro 30.000), nonché la sanzione accessoria della pubblicazione dell’ordinanza-ingiunzione sul sito web del Garante.
Per approfondimenti in tema di trattamento dei dati, consigliamo l’Ebook:
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento