Gentilissimi,
scrivo, in qualità di DPO, per porre alla vostra attenzione una questione delicata.
Un Comune si serve di una propria società controllata ( in house ) per la gestione dei rifiuti urbani; tra le attività affidate è prevista anche l'installazione di un impianto di videosorveglianza, con circa 10 telecamere da installare in altrettante differenze aree del Comune al fine di prevenire reati di abbondo dei rifiuti per strada e altri illeciti commessi da parte dei cittadini.
La società in house affida, con apposito contratto, la fornitura degli impianti ad una società.
Nel contratto è prevista l'eventualità di redigere una DPIA (che a mio giudizio, ex art 35 GDPR) nel caso di specie è obbligatoria).
Questione 1: quale è il rapporto (in ambito privacy) tra i soggetti coinvolti?
Questione 2: chi deve condurre una DPIA? necessariamente uno solo dei soggetti coinvolti? In teoria dovrebbe farlo il titolare (La società in house che affida il servizio), ma se non ne ha le capacità, può chiedere al fornitore di redigerla? Oppure è necessariamente obbligo del titolare?
Il mio ragionamento è che solo il fornitore di un prodotto complesso come questo (impianti che registrano) può redigere correttamente una DPIA.
Attendo se possibile riscontro.
Distinti saluti
