Civile

Garante privacy: affidare un trattamento a soggetti terzi richiede l'adozione di adeguate misure

Il titolare può affidare un trattamento anche a terzi soggetti purchè gli stessi presentino garanzie sufficienti in ordine alla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali

immagine non disponibile

di Enrico De Luca e Martina De Angeli

L'Autorità Garante per la protezione dei dati personali (il "Garante"), con ordinanza di ingiunzione del 28 aprile 2022, ha comminato ad una società incaricata di gestire il servizio di raccolta dei rifiuti urbani per il Comune di Taranto (il "Comune"), una sanzione di 200.000 euro, per aver affidato ad un proprio sub-responsabile alcuni trattamenti di dati personali senza aver richiesto ed ottenuto preventivamente una autorizzazione scritta, specifica o generale, dal Comune, titolare del trattamento.

Nello specifico, il Comune a seguito di un diffuso abbandono dei rifiuti all'interno del territorio di propria competenza aveva conferito ad una società – totalmente partecipata dallo stesso – funzioni di accertamento e contestazione immediata di eventuali illeciti derivanti dalla violazione delle norme comunali in materia di smaltimento dei rifiuti. Sia il Comune che la società concordavano sull'opportunità di installare sistemi di videosorveglianza in corrispondenza di siti considerati particolarmente sensibili in quanto luoghi in cui l'abbandono illecito dei rifiuti si ripeteva con maggior frequenza.
Da una segnalazione pervenuta al Garante emergeva che la società aveva diffuso tramite la pubblicazione sul proprio profilo Facebook, alcuni video e immagini, raccolti attraverso i predetti sistemi di videosorveglianza, da cui risultavano identificati, o comunque identificabili, i cittadini trasgressori.

A seguito della segnalazione ricevuta, il Garante avviava un'istruttoria da cui risultava che la società incaricata
• aveva iniziato le attività di trattamento nel mese di marzo 2012 ai sensi di una ordinanza comunale senza che, alla luce della normativa previgente, il rapporto con il Comune fosse regolamentato ,
• dal mese di novembre 2020, si era avvalsa per la raccolta delle immagini di videosorveglianza di un fornitore (regolarmente designato come responsabile del trattamento) senza la " previa autorizzazione scritta, specifica o generale, del titolare del trattamento (ndr il Comune)" così come previsto dall'articolo 28 del GDPR e
• solo nel gennaio 2022 tra essa e il Comune era stato sottoscritto, ai sensi dell'art. 28 del GDPR, un "accordo per la protezione dei dati personali e nomina a responsabile esterno del trattamento". E solo in tale accordo il Comune aveva esplicitato che "la società, previa autorizzazione scritta del Comune, potrebbe dover comunicare o rendere disponibili i dati personali di titolarità di quest'ultimo ad uno o più soggetti terzi (quali sub responsabili), al fine di affidare a tali soggetti parte delle attività di trattamento".

Nell'elenco dei sub-responsabili, inserito in calce all'accordo, veniva correttamente inserita la citata società.

Al riguardo il Garante ha rimarcato che, ai sensi dell'art. 28 del GDPR, il titolare può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti in ordine alla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali ("responsabili del trattamento").

Il rapporto tra titolare e responsabile deve, in ogni caso, essere regolato da un contratto o altro atto giuridico stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.
Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati "soltanto su istruzione documentata del titolare".

Inoltre, il GDPR disciplina gli obblighi e le altre forme di cooperazione cui è tenuto il responsabile del trattamento quando agisce per conto del titolare e l'ambito delle rispettive responsabilità. Quanto indicato nel contratto o altro atto giuridico si riflette sull'eventuale rapporto tra il responsabile ed il sub responsabile. Su quest'ultimo, infatti, sono imposti gli stessi obblighi contrattuali che legano il titolare al responsabile del trattamento.

Da quanto sopra esposto, secondo il Garante, ne consegue che da marzo 2012 a gennaio 2022, la società ha partecipato al trattamento dei dati personali in esame senza che il suo ruolo fosse opportunamente definito dal titolare (alias il Comune), in aperta violazione dell'art. 28 del GDPR (già art. 29 del Codice previgente). A ciò aggiungasi che la stessa si è rivolta alla società fornitrice del sistema di videosorveglianza senza la preventiva autorizzazione del Comune ("ottenuta" successivamente).

Nell'emettere l'Ordinanza, il Garante ricorda anche che ciascun titolare, anche se soggetto pubblico, nell'effettuare un trattamento di dati personali è sempre tenuto a rispettare i principi fondamentali applicabili in materia, tra cui quelli di "liceità, correttezza e trasparenza" nonché di "limitazione delle finalità".

Alla luce della normativa in vigore, infatti, i dati devono essere sempre raccolti per finalità determinate, esplicite e legittime e anche successivamente alla fase della raccolta il trattamento effettuato non deve essere incompatibile con le finalità determinate in precedenza. Nel caso di specie, la raccolta delle immagini tramite il sistema di videosorveglianza aveva il fine di acquisire i mezzi di prova per l'accertamento e la contestazione di eventuali illeciti amministrativi derivanti dalla violazione delle norme comunali sullo smaltimento dei rifiuti. Pertanto, la pubblicazione delle immagini sul social network non aveva alcuna compatibilità con gli scopi prefissati superando le finalità primarie.

_____


*A cura degli Avv.ti Enrico De Luca e Martina De Angeli, De Luca & Partners

Per saperne di piùRiproduzione riservata ©