Costa cara la gestione dei rifiuti che non tiene conto della privacy
Gestire la spazzatura senza rispettare la privacy degli utenti può costare caro. Lo ha sperimentato una società che effettuava raccolta, trasporto e trattamento di rifiuti urbani per conto di un Comune, che ha ricevuto una sanzione di 200.000 euro da parte dell'Autorità Garante per la protezione dei dati personali.
La vicenda, sulla quale il Garante si è pronunciato con provvedimento n.163 del 28 aprile 2022, è sorta da una segnalazione in cui si lamentava la diffusione, a mezzo di un social network riconducibile alla suddetta società, di immagini che consentivano di identificare indirettamente persone intente ad abbandonare rifiuti. Ma dall'istruttoria che ne è seguita davanti al Garante sono emerse anche altre irregolarità sul fronte della privacy.
Sotto la lente del Garante sono infatti finiti anche i rapporti tra la società in parola e le altre entità che le gravitavano intorno, ossia da un lato il Comune che la controllava integralmente (per lo svolgimento “in house” sia dei suddetti servizi di igiene urbana che per l'accertamento e la contestazione dei connessi illeciti amministrativi) e dall'altro un'ulteriore società che alla prima forniva il sistema di videosorveglianza per la documentazione delle violazioni ambientali.
Il rapporto tra titolare e responsabili del trattamento - La relazione tra il Comune e la società in house è stata inquadrata dall'Autority come rapporto tra il titolare del trattamento e responsabile del trattamento. Come evidenzia l'ordinanza del Garante, tale rapporto deve essere preventivamente formalizzato in un contratto o altro atto giuridico avente forma scritta ai sensi dell'articolo 28 del Regolamento Ue 2016/679. E in mancanza di tale formalizzazione, come riscontrato nel caso di specie, il soggetto non è di fatto autorizzato a gestire i dati personali. Analoga irregolarità, emerge dall'ordinanza, ha interessato il rapporto tra la società in house e l'ulteriore struttura di cui questa si avvaleva per i sistemi di videosorveglianza, da inquadrarsi come relazione tra responsabile del trattamento dei dati e “sub-responsabile” del trattamento stesso. Sempre ai sensi dell’ articolo 28 del Gdpr, tale relazione, ricorda il Garante, deve essere a monte autorizzata dal titolare del trattamento dati ed a valle tempestivamente formalizzata con un atto tra responsabile e sub-responsabile. Condizioni anche queste che nel caso di specie non erano state soddisfatte.
La nomina del Dpo - Altra carenza rilevata dal Garante è la mancata designazione da parte della società in house di un Responsabile della protezione dei dati (c.d. “DPO”), quale esperto previsto dal regolamento Ue che, quando previsto dall’art.37 del Gdpr, deve affiancare le altre figure per garantire il rispetto della relativa disciplina.
E a conferma della necessità di tale nomina nel caso in questione l'Autority ha richiamato il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico” allegato al proprio provvedimento 186/2021, in cui viene chiarito che il trattamento dei dati effettuato dai soggetti privati i quali esercitano funzioni pubbliche è assimilabile a quello effettuato da soggetti propriamente pubblici, e quindi il Dpo è obbligatorio.
La diffusione di immagini sull'abbandono di rifiuti – Il Garante ha poi condannato la diffusione online delle immagini acquisite dai sistemi di videosorveglianza, installati in siti ad alta frequenza di abbandono di rifiuti. Le immagini, che rendevano identificabili le persone registrate dalle telecamere, erano infatti state registrate su iniziativa della società in house con la finalità di individuare e sanzionare comportamenti illegali, ma erano poi state diffuse dalla stessa società tramite il proprio social network a scopo dissuasivo.
Nel caso di specie la diffusione delle immagini in questione costituisce per l'autorità un trattamento illegittimo sotto due profili. In primo luogo perché è stato violato il “principio di liceità” stabilito dal combinato disposto degli articoli 5 e 6 del Regolamento Ue, in base ai quali il trattamento dei dati personali avrebbe potuto essere legittimo solo qualora: 1) fosse stato necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; 2) e che tale necessità fosse stata formalizzata in un preventivo atto giuridico (come una legge o un regolamento). In secondo luogo, la diffusione delle immagini viola anche il principio della “limitazione della finalità di utilizzo” ai sensi dell’art. 5 del Gdpr.
In base a tale principio i dati devono infatti essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”, mentre nel caso sanzionato dal Garante la raccolta delle immagini era finalizzata alla costituzione di mezzi di prova per l'accertamento e la contestazione degli illeciti in tema di rifiuti, e non sono stati dimostrati elementi di compatibilità con l'ulteriore trattamento consistente nella loro pubblicazione su un social network per le finalità dissuasive.