Accertamento delle violazioni al semaforo con telecamera: bisogna rispettare la privacy

Avv. Lucio Di Biase
Accertamento delle violazioni al semaforo con telecamera: bisogna rispettare la privacy

Immagine estratta da https://it.freepik.com/

La segnalazione

Chiunque può rivolgere, ai sensi dell’art. 144 del GDP, una segnalazione che il Garante della Protezione dei Dati personali può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’art. 58 del Regolamento UE 679/2016.

Per questo alcuni cittadini hanno segnalato al Garante una presunta violazione della disciplina in materia di protezione dei dati da parte di un ente comunale, per avere utilizzato un sistema di videosorveglianza ai fini dell’accertamento delle infrazioni al codice della strada, senza predisporre l’idonea informativa richiesta dalla legge.

I segnalanti hanno lamentato e documentato, in particolare, che, nei pressi dei degli impianti semaforici sui quali cui erano state posizionate le telecamere per la rilevazione automatica delle infrazioni, non era stato apposto alcun cartello informativo.

La difesa del Comune

Il Comune si difendeva precisando che:

  • gli apparecchi di rilevazione utilizzati memorizzavano e registravano le immagini solo in caso di infrazione relativa a passaggio con luce rossa semaforica, con riprese frontali ovvero lato posteriore del veicolo in infrazione con oscuramento del parabrezza anteriore non rendendo riconoscibili né il conducente, né i passeggeri a bordo del veicolo;
  • a seguito di registrazione dell’infrazione, i pubblici ufficiali incaricati della validazione provvedevano ad oscurare i dati relativi a soggetti non coinvolti nell’accertamento amministrativo;
  • le riprese video individuano unicamente gli elementi essenziali per la predisposizione del verbale di accertamento delle violazioni ai sensi del regolamento di attuazione del nuovo Codice della Strada;
  • solo a seguito dell’attività di validazione i dati trattati (targa, giorno, ora e luogo dell’infrazione) e le relative immagini in formato criptato proprietario erano oggetto di importazione ad opera del personale della Polizia Locale nel software gestionale in uso al Comando e le targhe successivamente visurate presso gli archivi della Motorizzazione Civile;
  • la conservazione dei dati alfanumerici contenuti nelle targhe da parte del sistema era limitata ai soli casi in cui sussisteva l’infrazione di passaggio con rosso semaforico e per i tempi di conservazione previsti dalla legge.

Quanto, poi, all’obbligo di dare preavviso dell’utilizzo degli impianti per l’accertamento delle infrazioni semaforiche, nessuna norma, a parere dell’ente comunale, prevedeva l’informativa per l’attività di accertamento tramite apparecchi che rilevano in passaggio con il rosso al semaforo e , pertanto, la presenza degli impianti di rilevazione automatica delle infrazioni semaforiche non doveva essere presegnalata da una specifica segnaletica.

Infine, quanto alla valutazione d’impatto sul trattamento dei dati personali in relazione all’impiego dei dispositivi de quibus (art. 35 del Regolamento), il Comune riteneva di non essere tenuto a redigere tale documento.

Ciononostante, il comune si attivava successivamente nel tentativo di sanare l’attività di trattamento per renderla pienamente conforme alla disciplina vigente e attenuare gli effetti negativi della violazione dei dati personali nei confronti degli interessati, in particolare installando (tra l’altro) presso le postazioni semaforiche la segnaletica informativa di primo livello conforme alle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, ai provvedimenti del Garante in materia di videosorveglianza, mettendo a disposizione l’informativa estesa presso lo sportello del Comando di Polizia Municipale ed eventualmente, a richiesta, inviata tramite P.e.c. o P.e.o.) e provvedendo alla redazione della “Valutazione d’impatto sulla protezione dei dati” (art. 35 GDPR) relativa al trattamento dei dati personali rilevati dai dispositivi di ripresa foto/video compresi nel sistema di rilevazione delle infrazioni del Comune.

L’attività istruttoria

All’esito dell’istruttoria avviata, il Garante ha chiarito che, allorquando siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso”).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (Linee guida del Comitato, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi) (Linee guida del Comitato, cit., par. 115).

La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Al contrario, nel caso di specie il sistema video era entrato in funzione senza che fossero fornite agli interessati informative di primo e di secondo livello; il Comune, pertanto, aveva operato in violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a) del Regolamento, nonché degli artt. 12 e 13 del Regolamento.

La valutazione di impatto

Nel caso di specie, il Comune, ritenendola erroneamente non necessaria, non aveva svolto alcuna valutazione di impatto, salvo provvedervi solo dopo l’avvio dell’istruttoria da parte del Garante.

Nell’occasione è stato chiarito che, in caso di rischi elevati per gli interessati – derivanti, ad esempio, dall’utilizzo di nuove tecnologie e sempre presenti laddove sia effettuata una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (v. art. 35, par. 3, lett. c), del Regolamento) – il titolare del trattamento deve effettuare una valutazione d’impatto sulla protezione dei dati, al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento).

Il Comune, dunque, era certamente soggetto all’obbligo di redigere una valutazione d’impatto sulla protezione dei dati, considerato che, ai sensi del citato art. 35, par. 3, lett. c), del Regolamento, la stessa è sempre richiesta in caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”, che consente la raccolta di numerosissimi dati anche inerenti all’ubicazione e alla circolazione degli interessati, circostanza che ricorre nel caso di specie.

Valutazione che il titolare deve svolgere prima di dare inizio al trattamento, anche considerando che tale strumento è idoneo a comprovare la responsabilizzazione (accountability) del titolare nei confronti del trattamento effettuato (cfr. Provvedimento n. 162 del 28 aprile 2022, doc. web. n. 9777974).

Alla luce delle considerazioni che precedono, non avendo redatto una valutazione d’impatto sulla protezione dei dati in data certa anteriore a quella di avvio del trattamento, il Comune aveva agito in violazione dell’art. 35 del Regolamento.

Il provvedimento del Garante

Il Garante, pertanto, ritenendo le dichiarazioni difensive dell’ente incolpato (seppure meritevoli di considerazione) insufficienti a consentire l’archiviazione del procedimento, con provvedimento n. 766 del 12 dicembre 2024 ha dichiarato che il trattamento da parte del Comune è stato effettuato in violazione degli artt. 5, par. 1, lett. a), 12, 13 e 35 del Regolamento.

Conseguentemente, tenuto conto del fatto che la violazione aveva carattere meramente colposo, i trattamenti non erano relativi a dati sensibili, non si registravano precedenti e che il Comune aveva subito collaborato adeguandosi alla normativa, ha ritenuto di grado medio l’entità della violazione ed ha applicato una sanzione pecuniaria nella misura di euro 6.000,00.

Articoli

Altri articoli

LUCIO DI BIASE

AVVOCATO

Mobile: (+39) 335 325 917

E-mail: info@studiolegaledibiase.it

Iscritto all’Ordine degli Avvocati di Lanciano, negli ultimi venti l’Avv. Lucio Di Biase anni ha aiutato privati, professionisti, imprese, cooperative ed enti pubblici a risolvere i loro problemi legali prestando attività di consulenza e assistenza nelle principali aree del diritto civile e nel relativo contenzioso su tutto il territorio nazionale.
Dal 17/02/2014 all’11/03/2021 è stato consulente e legale esterno dell’ Azienda Territoriale per l’Edilizia Residenziale (ATER) di Lanciano (CH) per il recupero dei crediti nei confronti degli assegnatari di alloggi di ERP a titolo di canoni di locazione degli immobili strumentali di proprietà dell’Ente e per il rilascio forzoso dei medesimi.

.

Post in primo piano

Categorie