Videosorveglianza e la checklist di un buon DPA: il “caso” del Comune di Monterotondo
Con il provvedimento n. 100 del 22 febbraio 2024, il Garante per la protezione dei dati personali si è espresso, inter alia, in merito al rapporto fra un ente, titolare del trattamento, ed il suo responsabile del trattamento e sui rapporti che legano i due soggetti, in particolare sul contenuto concreto del contratto posto in essere fra gli stessi ex art. 28 del Regolamento (UE) 679/2016 (GDPR).
Il provvedimento offre spunti interessanti sia sul fronte della videosorveglianza, che in tema di contenuto del contratto stipulato tra titolare e responsabile del trattamento (l’atto di nomina a responsabile del trattamento o, nel gergo inglese, il “Data Processing Agreement”, o più semplicemente DPA) il cui contenuto è chiaramente esplicitato dall’articolo 28 par. 3 del GDPR: “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
Il caso
Il caso analizzato dal Garante ha riguardato il Comune di Monterotondo che, in qualità di titolare del trattamento, ha esternalizzato alla società esterna APM, una azienda speciale, l’attività di installazione e gestione dei dispositivi relativi alla raccolta dei rifiuti (cd. “compattatori”), dotati di telecamere di sorveglianza collegate con il Comune, senza stipulare previamente un contratto sulla protezione dei dati ex art. 28 GDPR.
Tale atto si rendeva necessario in quanto il Comune, e APM, quale suo responsabile del trattamento, risultavano aver posto in essere un trattamento di dati personali, dal mese di marzo 2021 al 9 giugno 2022, realizzato tuttavia – e qui si ravvisa l’altra contestazione mossa dall’Autorità – in assenza di idonea informativa nei confronti degli interessati avendo il Comune erroneamente ritenuto l’impianto associato ai compattatori quale “alert di sicurezza” e non quale strumento di vera e propria “videosorveglianza”, volto a individuare atti di vandalismo o eventi rilevanti per la sicurezza degli impianti o per l’incolumità degli utenti.
Infine, il Comune risultava aver “omesso di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio” violando così l’art. 32 del GDPR.
La contestazione in materia di informativa sulla videosorveglianza
Il Garante riconosce, come primo punto, che, secondo i principi di liceità, correttezza e trasparenza, il titolare è tenuto ad adottare delle misure adeguate, tali da fornire all’interessato, prima di trattare i dati personali, tutte le informazioni richieste dal GDPR, in modo conciso, trasparente, intellegibile e facilmente accessibile (artt. 5 par 1. lett a) e 12 e 13 del GDPR).
Tali principi in materia di informazioni di primo e secondo livello sulla videosorveglianza non erano stati rispettati, infatti il Comune non aveva apposto nessun “cartello di avvertimento” (informazioni di primo livello in prossimità del sito dove aveva luogo la videosorveglianza) ma aveva invece posizionato dei cartelli informativi, che aveva ritenuto “sufficienti” a segnalare agli interessati il trattamento posto in essere, posizionandoli tuttavia in un sito molto distante da quello che effettivamente sarebbe stato interessato. Inoltre, il cartello conteneva delle informazioni relative alla prevenzione dei fenomeni di criminalità diffusa e predatoria, inidonee dunque, ad assicurare la trasparenza di un distinto e specifico trattamento rispetto a quello effettivamente posto in essere.
I requisiti di un “buon” DPA
Il passaggio più corposo delle valutazioni del Garante è tuttavia quello relativo alla definizione del rapporto “contrattuale” fra titolare e responsabile.
Il Comune aveva infatti, come anticipato, esternalizzato l’attività di installazione e gestione dell’impianto ad APM, affidando alla stessa il trattamento delle immagini frutto delle riprese realizzate dall’impianto, senza stipulare alcun contratto sulla protezione dei dati ex art. 28 GDPR, violando così violando i parr. 3 e 9 dell’art. 28 del GDPR. Considerato che tanto il titolare che il responsabile hanno il dovere di garantire l’esistenza di un contratto o di un altro atto giuridico che riporti le istruzioni relative al trattamento, l’Autorità può “infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento”, come precisano anche dalle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR (adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, par. 103).
In un secondo momento, anche quando formalizzato, tale atto non era stato firmato da APM, ma solo dal Comune e la sottoscrizione da parte del fornitore aveva avuto luogo soltanto una volta avviata l’istruttoria.
Il tardivo contratto, siglato successivamente all’inizio dell’istruttoria, presentava inoltre solo “formalmente” gli elementi di cui all’art. 28 GDPR, ma non descriveva in maniera concreta in cosa si sarebbe basato il trattamento dei dati personali.
Il Garante ha pertanto ribadito come l’“atto di nomina” debba contenere tutte le istruzioni e le misure tecniche ed organizzative che il titolare ritiene di impartire al responsabile del trattamento, volte a garantire un livello di sicurezza adeguato al rischio.
L’Autorità ha quindi ricordato come tale contratto debba essere redatto tenendo conto della specifica attività di trattamento dei dati, disciplinando, in particolare:
- l’oggetto del trattamento, con specifiche sufficienti affinché l’oggetto principale del trattamento sia chiaro;
- la durata del trattamento;
- la natura del trattamento: il tipo di operazioni eseguite nell’ambito del trattamento (ad esempio: «ripresa», «registrazione», «archiviazione di immagini» ecc.);
- la finalità del trattamento, in modo più completo possibile, a seconda dell’attività di trattamento specifica, in modo da consentire a soggetti esterni (le Autorità di controllo) di comprendere il contenuto e i rischi del trattamento affidato al relativo responsabile;
- la tipologia di dati personali, in modo più dettagliato possibile;
- le categorie di interessati, in modo specifico;
- un richiamo – anche solo per relationem – all’atto o contratto che disciplina il sottostante rapporto tra le parti.
Conclusioni
A fronte delle violazioni di cui sopra, ma valutando come positivo il livello di cooperazione del Comune e considerato il fatto che la violazione si è si, protratta per un lungo periodo di tempo, ma non ha riguardato categorie particolari di dati personali o dati personali relativi a condanne penali e reati, il Garante ha deciso di adottare un’ordinanza d’ingiunzione con la quale ha ordinato all’ente di pagare la somma di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria.
Ma questo provvedimento, come detto, non è di interesse tanto per la sanzione ricevuta o la fattispecie oggetto dell’ordinanza, quanto per l’importante regola, forse banale, ma ancora oggi molto sopravvalutata dagli operatori, del pubblico così come del privato, per cui il contratto tra titolare e responsabile del trattamento non è un mero passaggio formale, ma un elemento fondante per poter trattare correttamente i dati personali, da personalizzare e adattare alle specificità del singolo trattamento.
È quindi di fondamentale importanza disporre non solo di buoni schemi di nomina da utilizzare con i propri fornitori e partner – tra cui si segnalano anche le “Clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio”, pubblicate dalla Commissione Europea – ma anche ricevere una adeguata formazione (o ricorrere a consulenti e DPO preparati a tal fine) per assicurarsi che gli atti di nomina forniscano informazioni sufficientemente di dettaglio rispetto allo specifico trattamento che vanno a regolare.