Garante: Il contratto sottoscritto da una sola parte non e' scritto ai fini del gdpr; gestione della sd card - 9990659

[doc. web n. 9990659]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 100 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il Sig. XX, residente nel Comune di Monterotondo (di seguito, il “Comune”), ha rappresentato che “nel centro del Comune [...] sono stati installati sul suolo pubblico tre distinti compattatori (cassonetti per la raccolta differenziata dei rifiuti domestici) per il conferimento dei rifiuti da parte dei privati cittadini” e che “ogni dispositivo è dotato di telecamere di sorveglianza collegate con il Comune […]”, lamentando che “i tre dispositivi sono sprovvisti di cartelli di segnaletica informativa generale posti prima del raggio d’azione delle telecamere”.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), il Comune, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“il sistema di rilevamento di immagini […] in realtà, non è stato concepito come “impianto di videosorveglianza” bensì come sistema di “alert di sicurezza” mediante rilevamento fotografico in movimento”;

“non si tratta [quindi] di “dispositivi di videosorveglianza impiegati per il controllo delle modalità di conferimento dei rifiuti urbani”;

“le Stazioni Ecologiche […] sono 3 (tre) e sono attive dal mese di dicembre 2020[;] inoltre, in riferimento alla specifica area in cui son state installate (Centro Storico), gli abitanti che ne usufruiscono sono stimabili in un migliaio su 41.000 circa dell’intero comprensorio”;

“la dotazione dell’impianto di “alert di sicurezza”, scelta da APM [ovvero l’“Azienda Speciale a cui il Comune di Monterotondo ha demandato la completa gestione del servizio e della sua messa in sicurezza” – di seguito, “APM” o l’”Azienda”], si è resa indispensabile stante la particolarità dell’area in cui sono allocate, molto frequentata dalla micro-criminalità locale che da diverso tempo, ormai, mette in atto continui episodi di vandalismo ma soprattutto per la messa in sicurezza degli impianti, assai costosi”;

“relativamente alla videosorveglianza il Comune è dotato di uno specifico Regolamento di recente approvazione (Delibera CC n. XX del XX), opportunamente pubblicato sul sito internet comunale”;

“alla luce delle caratteristiche dell'impianto […], non è stato ritenuto necessario apporre alcun cartello informativo. Il Comune, relativamente agli impianti di videosorveglianza, ha installato regolare cartellonistica […], peraltro post[a] anche a ridosso dell’area “Centro Storico” in cui sono allocate le tre Stazioni Ecologiche”;

“il Comune ha pubblicato l’informativa estesa sulla videosorveglianza sul proprio sito internet”;

“all’APM è stata formalizzata una specifica “Autorizzazione preventiva ai sensi dell'art. 8, comma 3 del regolamento per l'esercizio del controllo analogo richieste A.P.M. prot. XX XX, XX” con Delibera di Giunta Comunale n. XX del XX […] nell’ambito della quale figura (previa richiesta prot. XX del XX, assunta al prot. dell'Ente al n. XX del XX) l’autorizzazione specifica per l’attivazione della seguente procedura: “Fornitura, posa in opera e installazione di n. 3 stazioni ecologiche informatizzate per il conferimento differenziato dei rifiuti, mediante affidamento diretto, ai sensi dell’art. 36 c. 2 lett. b) del del D.Lgs. 50/2016 e ss.mm.ii.” […]. L’APM assume il ruolo di “Responsabile […] del Trattamento” e come tale è stato indicato nella nomina […]”;

“il Comune […] ha chiesto ad APM di apporre, cautelativamente, un’adeguata cartellonistica esplicativa del “potenziale” Trattamento […]”.

In una nota di APM, allegata al riscontro fornito dal Comune, l’azienda in questione ha dichiarato, in particolare, che:

“nel mese di dicembre 2020 APM […] previa autorizzazione disposta dalla Giunta Comunale (DGM n. XX del XX), ha reso funzionanti n. 3 Stazioni Ecologiche, per la raccolta differenziata dei rifiuti, […] allocate nel Centro storico comunale”;

“le predette Stazioni Ecologiche sono dotate ciascuna di 4 dispositivi di ripresa “di sicurezza” funzionanti per mezzo di rilevatori di movimento, per consentire una verifica diurna e notturna limitata ad eventi rilevanti […]”;

“le finalità della dotazione di detti dispositivi devo ricondirsi essenzialmente ad una specifica funzione che è quella di “alert di sicurezza” indirizzate a: A) evitare/limitare […] danni all’ambiente urbano circostante e alle persone, conseguente questo ad eventuali fenomeni, quali ad esempio incendio o combustione di rifiuti contenuti all’interno delle stazioni ecologiche; B) evitare quanto più possibile rischi di danni agli utenti conferitori dei rifiuti, questi in conseguenza di eventuali malfunzionamento delle componenti meccaniche delle stazioni ecologiche”;

“i dispositivi installati hanno una capacità di memorizzazione limitata ad un massimo di 24/30 ore superate le quali le immagini si sovrascrivono e le impostazioni […] sono state dimensionate per registrare movimenti della durata di 15’’ (al massimo)”.

In riscontro a un’ulteriore richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), il Comune, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“il Comune […] comunica[to] ad APM di interrompere il trattamento, almeno in attesa della definizione del […] procedimento e che, pertanto, ad oggi, l'impianto è stato spento ed è in procinto di essere rimosso”;

“i dispositivi di ripresa sono dotati di sensore di movimento PIR, sensore crepuscolare,  illuminatore con LED IR a 850 nm. Il sensore PIR permette di registrare una foto in movimento (settaggio effettuato appositamente per fotogrammi della durata di max 15" consecutivi ciascuno) solamente quando viene rilevato un movimento […]. Il sistema PIR non è in grado di distinguere atti di conferimento da atti vandalici, ma si attiva solamente nel campo visivo dell'obiettivo e  quindi in strettissima prossimità della Stazione Ecologica”;

“le immagini vengono registrate per un massimo di 15" su SD card posta all'interno del dispositivo di ripresa (memoria locale). Non è possibile visualizzare istantaneamente quanto ripreso da alcuno. Si evidenzia che, fino ad oggi non c'è mai stata la necessità di visualizzare le immagini registrate in quanto non si sono mai verificati episodi di vandalismo ai danni delle stazioni ecologiche”;

“il dispositivo non permette l'uso di crittografia ma, una volta estratta la SD CARD dal dispositivo, si può accedere alle immagini ivi contenute solo tramite autenticazione mediante account e password. Non sono state adottate ulteriori misure tecniche e/o organizzative da parte dell’Ente”;

“dalla data di installazione dei dispositivi, gli impianti di conferimento non risultano essere  stati interessati da incendi o altri eventi di danneggiamento, presumibilmente vista anche la natura dissuasiva dei dispositivi di ripresa installati”;

“l'aggiornamento dell'informativa è dell'XX” e la stessa è stata pubblicata sul sito web “https://www.comune.monterotondo.rm.it/privacy-polizia-locale”;

con riguardo al contratto sulla protezione dei dati stipulato con APM, “in realtà la data del documento è rappresentata dal numero del protocollo di uscita (XX del XX) mentre si conferma che risulta privo di sottoscrizione da parte di APM. [Il Comune ha] proceduto ad aggiornare anche tale nomina […]”;

Successivamente, con nota del XX (prot. n. XX), il Comune ha depositato in atti una nota di APM (prot. n. XX del XX), con la quale la stessa ha confermato di aver disinstallato i dispositivi video in questione.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver il Comune:

omesso di fornire agli interessati un’informativa sul Trattamento dei Dati personali di primo e di secondo livello, in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento;

fino al XX, omesso di stipulare, in quanto Titolare del trattamento, un contratto sulla protezione dei dati con APM, che agiva in qualità di Responsabile del trattamento, per conto e nell’interesse del Comune, nell’ambito di un’attività da questo esternalizzata, nonché per aver stipulato, in data XX, un contratto sulla protezione dei dati con APM non conforme ai requisiti previsti dalla normativa in materia di protezione dei dati, in violazione dell’art. 28, parr. 3 e 9, del Regolamento;

omesso di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.

Con la medesima nota, il Comune è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

il Trattamento mediante i dispositivi video in questione è stato effettuato “per un periodo accertato che va da marzo 2021 a giugno 2022”, così come emerso da verifiche effettuate da APM;

più in dettaglio, “le Stazioni Ecologiche [in questione] sono 3 (tre) e sono rimaste attive dal mese di marzo 2021 al 9 giugno 2022”;

il Comune “anche alla luce delle caratteristiche dell’impianto posto a tutela delle Stazioni Ecologiche, non ha ritenuto necessario apporre cartelli informativi”, in quanto il “sistema di rilevamento di immagini […] non è stato concepito come “impianto di videosorveglianza” bensì come sistema di “alert di sicurezza” mediante rilevamento fotografico di movimenti a ridosso delle Stazioni Ecologiche (1-1,5mt di distanza dall’impianto)”;

“[…] prima di accedere al Centro Storico vi sono comunque i cartelli informativi (di primo livello), riferiti al sistema di videosorveglianza comunale che rendono certamente edotti i cittadini di transitare in luoghi ove possono essere potenzialmente ripresi da dispositivi video”;

pertanto, “nessuno, quindi, può entrare all’interno del “Centro Storico” (ove sono allocate le Stazioni Ecologiche) senza transitare o imbattersi nella cartellonistica afferente all’informativa di primo livello degli impianti di videosorveglianza comunale;

“l’APM è un’Azienda Speciale sottoposta a rigido “controllo analogo” da parte del Comune […] ed Ente strumentale dello stesso”;

“l’APM, costituita ai sensi dell’art. 114 Tuel come centro di imputazione di rapporti giuridici distinto dall’ente locale e con autonomia imprenditoriale, è un ente strumentale dell’amministrazione, legata a quest’ultima da stretti vincoli relativi alla formazione degli organi, all’indirizzo, al controllo ed alla vigilanza; attraverso l’azienda speciale, infatti, il predetto Ente persegue i propri fini istituzionali, insiti nell’erogazione di un servizio pubblico, secondo principi di economicità, efficacia ed efficienza gestionale”;

“le aziende speciali, così come le società in house, come recentissimamente affermato dalle stesse Sezioni Unite della Corte di Cassazione (Sentenza 25 novembre 2013, n 26283, ribadito con Ordinanza 2 dicembre 2013, n. 26936), possono essere considerate come enti che rappresentano delle vere e proprie articolazioni della Pubblica Amministrazione, atteso che gli organi di queste sono assoggettate a vincoli gerarchici facenti capo alla Pubblica Amministrazione, i cui dirigenti sono dunque legati alla Pubblica amministrazione da un rapporto di servizio come avviene per i dirigenti preposti ai servizi direttamente erogati dall’ente pubblico”;

“la qualificazione dell’azienda speciale quale ente strumentale dell’Ente Locale, quindi, rivela l’esistenza di un collegamento strettissimo e inscindibile tra l’azienda e il Comune”;

“appare evidente che tra il Comune […] e APM vi è stato, a monte, uno specifico contratto in forza del quale si è accordata l’attivazione della modalità di “alert di sicurezza”;

“l’APM, nonostante la mancata sottoscrizione dell’iniziale nomina prodotta in atti o alla luce di quella aggiornata sottoscritta da entrambi i soggetti coinvolti (Prot. n. XX del XX) ha comunque sempre effettuato le attività ad essa assegnate ottemperando ai contratti sottoscritti, nel rispetto della riservatezza degli interessati, secondo le istruzioni ricevute dal Titolare (che, per altro, ne ha il pieno controllo gestionale)”;

"il Responsabile […], quindi, ha sempre osservato tutti gli elementi obbligatori di cui all’articolo 28 del Regolamento ed alle istruzioni fornite dal Titolare […]”;

“il contratto di servizio stipulato a monte con l’APM, pertanto, così come la Delibera […] n. XX del XX […] completano l’eventuale gap dell’iniziale mancata sottoscrizione della prima nomina sopra citata in quanto è indiscutibile che si sia costituito un vincolo tra il Responsabile del Trattamento e il Titolare in quanto, in ogni caso, seppur con un richiamo “sic et simpliciter” alla norma che ne costituisce il contenuto essenziale, sono stati posti formali obblighi vincolanti in capo al Responsabile del Trattamento sin dal 2019 (cfr. Nomina dal Comune ad APM non sottoscritta da quest’ultima per mera dimenticanza - prot. XX del XX)”;

“anche il principio di “Integrità e riservatezza” […] risulta rispettato, in quanto, le riprese, erano potenzialmente accessibili solo a seguito di accesso con username e Password di cui erano dotate esclusivamente le persone autorizzate”;

“in tutti i 16 mesi di esecuzione del Trattamento (foto-ripresa) non c’è mai stata la necessità di visualizzare le immagini [in conseguenza di] episodi di vandalismo ai danni delle 3 stazioni ecologiche”;

“le immagini memorizzate dai sistemi di ripresa venivano memorizzate all’interno di SD CARD ivi allocate, a cui si poteva accedere solamente mediante autenticazione con specifico account e password”;

“la dotazione di ciascuna stazione ecologica di 4 telecamere poste sui lati delle stesse, vale a implementare quantomeno le misure di sicurezza fisica da prendere in considerazione”;

“il pericolo di asporto fisico della scheda SIM in cui venivano memorizzati i dati, non sarebbe potuto [concretizzarsi] così facilmente […, in quanto l’asporto della stessa] non sarebbe potuto avvenire se non dopo aver azionato l’alert dell’altra telecamera […] che avrebbe attenzionato l’operatore in seguito al quale si sarebbe potuto facilmente attivare il blocco della sim”;

“seppur mancante della citata cifratura, la sicurezza del sistema di videosorveglianza installato comprendeva sia la sicurezza fisica di tutti i componenti del sistema che il controllo dell’accesso ai dati di registrazione”;

“i dati registrati dalle telecamere venivano, infatti, salvati sulla scheda di memoria (SD CARD) di cui le telecamere stesse erano dotate e la stessa era installata in un vano inaccessibile della scocca della telecamera. In particolare, alla scheda di memoria era possibile accedervi solo per attività tecnico manutentive che avrebbero in ogni caso comportato diversi e complicati passaggi quali: lo smontaggio della telecamera dall’apposito sistema di fissaggio (mediante scala ed attrezzi dedicati); la successiva apertura del vano batteria; la rimozione del pacco batteria ed infine l’estrazione del supporto di memoria”;

“nel caso di tentativo di manomissione della scheda o degli apparati, era previsto un apposito “sistema di alert” al quale avrebbe fatto seguito un blocco immediato della scheda e, conseguentemente, un’interruzione del trattamento”;

“in tema di misure di sicurezza tecniche il sistema informatico era dotato di accesso solo mediante attivazione di utenze con username e password”;

si è attuata la “protezione della trasmissione di filmati attraverso canali di comunicazione sicuri a prova di intercettazione (ed invero non vi era alcun invio o trasmissione dei filmati. Questi venivano messi a disposizione del Titolare del Trattamento mediante accesso all’applicativo con username e Password nominativi)”;

“il controllo degli accessi ha garantito che solo le persone autorizzate potessero accedere al sistema e ai dati in locali ed uffici protetti da accessi di terzi non autorizzati”.

3. Esito dell’attività istruttoria.

3.1 Il Trattamento di Dati personali posto in essere dal Comune.

Sulla base di quanto emerso nel corso dell’istruttoria, risulta accertato - e non è controverso - che il Comune, Titolare del trattamento, avvalendosi del supporto di APM, che agiva quale Responsabile del trattamento, ha posto in essere un Trattamento di dati personali, dal mese di marzo 2021 al 9 giugno 2022 (v. nota dell’Azienda del XX, prot. n.XX, in atti), mediante l’impiego di dispositivi video installati in prossimi di tre stazioni ecologiche (quattro dispositivi per ciascuna stazione), al fine di prevenire e individuare atti di vandalismo o eventi rilevanti per la sicurezza degli impianti o per l’incolumità degli utenti.

I dispostivi in questione, che si attivavano per effetto di sensori di movimento, avevano una capacità di memorizzazione limitata a un massimo di ventiquattro/trenta ore, superate le quali le immagini si sovrascrivevano automaticamente, potendo registrare di volta in volta, sia di giorno sia di notte, immagini relative a un’area circoscritta a un metro e mezzo di distanza dall’impianto, della durata massima di quindici secondi, su una memoria di tipo “secure digital” (SD), collocata all’interno di ciascun dispositivo video.

3.2 La trasparenza del trattamento

Nel rispetto del principio di “liceità, correttezza e trasparenza”, il Titolare del Trattamento deve adottare misure appropriate per fornire all'interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento).

Allorquando siano impiegati dispositivi video, il Titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul Trattamento dei Dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati, adottate il 29 gennaio 2020, in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; da ultimo, v. le FAQ del Garante in materia di videosorveglianza, doc. web n. 9496574, n. 4; cfr., altresì, provv.ti 11 gennaio 2024, n. 5, doc. web n. 9977020; 20 ottobre 2022, n. 341, doc. web n. 9831369; 28 aprile 2022, n. 162, doc. web n. 9777974, 7 aprile 2022, n. 119, doc. web n. 9773950, 16 settembre 2021, n. 327, doc. web n. 9705650 e 11 marzo 2021, n. 90, doc. web n. 9582791).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del Titolare del Trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (Linee guida del Comitato, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’Unione europea, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi) (Linee guida del Comitato, cit., par. 115). La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello d’informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Ciò premesso, si osserva che, nel corso dell’istruttoria, il Comune ha dichiarato che “alla luce delle caratteristiche dell'impianto posto a tutela delle Stazioni Ecologiche […] non è stato ritenuto necessario apporre alcun cartello informativo”.

Come comprovato in atti, il Comune non aveva, pertanto, fornito un’informativa di primo livello (cartello di avvertimento) agli interessati in merito ai trattamenti di Dati personali effettuati mediante i dispositivi video in questione.

Risulta, a tal riguardo, errata la valutazione effettuata dal Comune in merito all’insussistenza della necessità di fornire un’informativa agli interessati, sul presupposto che il “sistema di rilevamento di immagini [oggetto di reclamo] non è stato concepito come “impianto di videosorveglianza” bensì come sistema di “alert di sicurezza”. Ciò in quanto tale sistema, indipendentemente dalla specifica finalità perseguita, comportava l’acquisizione e la registrazione di filmati ritraenti persone fisiche, attività che configurano senza dubbio un Trattamento di dati personali.

Deve, a tal proposito, osservarsi che il Regolamento definisce il “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)” (art. 4, par. 1, n. 1). L’uso dell’espressione “qualsiasi informazione”, utilizzata anche nell’analoga definizione di cui all’art. 2, lett. a), della Direttiva 95/46, “riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che non è limitata alle informazioni sensibili o di ordine privato, ma comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive […] a condizione che esse siano «concernenti» la persona interessata. Per quanto riguarda tale ultima condizione, essa è soddisfatta qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, l’informazione sia connessa a una determinata persona” (Corte di giustizia dell’Unione europea, sentenza del 20 dicembre 2017, C-434/16, Nowak, punto 34).

Sulla base della giurisprudenza della Corte di giustizia dell’Unione europea in materia di Trattamento di Dati personali mediante dispositivi video, è pacifico che l’immagine del volto di una persona costituisca un dato personale e che la registrazione di tale immagine comporti un Trattamento di Dati personali (v. sentenze del 20 ottobre 2022, Koalitsia "Demokratichna Bulgaria - Obedinenie", C 306/21, punto 32, 14 febbraio 2019, C 345/17, Buivids, punti 31 e 32 e dell’11 dicembre 2014, C 212/13, Ryneš, punti 22 e 25), essendo del tutto irrilevante la circostanza che il Titolare del Trattamento non conosca l’identità della persona in questione o non disponga in proprio di informazioni che possano consentirgli di identificare la stessa (cfr. cons. 26 del Regolamento, ove si precisa che, per stabilire l’identificabilità di una persona, è opportuno considerare tutti i mezzi di cui non solo il Titolare del Trattamento ma anche un Terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente; in giurisprudenza, v. Cass. Civ., sent. n. 17440 del 2 settembre 2015, ove si afferma che “non appare possibile dubitare del fatto che l'immagine costituisca dato personale […] trattandosi di dato immediatamente idoneo a identificare una persona, a prescindere dalla sua notorietà”). È, infatti, astrattamente possibile risalire all’identità di una persona, a partire dall’immagine del volto, in particolare utilizzando informazioni che sono in possesso di terzi (ad esempio, banche dati pubbliche o private) o pubblicamente disponibili (ad esempio, reti sociali), dovendosi considerare che “affinché un dato possa essere qualificato come «dato personale» […] non si richiede che tutte le informazioni che consentono di identificare la persona interessata siano in possesso di una sola persona” (C 434/16, Nowak, cit., punto 31; v. anche sentenza del 19 ottobre 2016, Breyer, C 582/14, punto 43; v. anche provv. 13 aprile 2023, n. 22, del 13 aprile 2023). Ciò trova, peraltro, implicita conferma anche nel cons. 51 del Regolamento, allorquando si afferma che “il Trattamento di fotografie non dovrebbe costituire sistematicamente un Trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica”, da cui discende che l’immagine di una persona, come quella ritratta in una fotografia o in video, costituisce un dato personale, pur non essendo di per sé e in maniera sistematica un dato personale relativo a categorie particolari di cui all’art. 9 del Regolamento.

Quanto all’ulteriore difesa prospettata dal Comune, concernente la circostanza che i cartelli informativi, relativi al distinto sistema di videosorveglianza comunale, potessero considerarsi sufficienti a informare gli interessati del Trattamento posto in essere, deve osservarsi che gli stessi - collocati “a ridosso dell’area Centro Storico” e non in prossimità delle predette stazioni ecologiche - facevano riferimento alla diversa finalità di sicurezza urbana, ovvero alla prevenzione dei fenomeni di criminalità diffusa e predatoria (cfr. art. 5, comma 2, lett. a), del d.l. 20 febbraio 2017 , n. 14), essendo, pertanto, inidonei ad assicurare la trasparenza del distinto e specifico trattamento.

Il Comune non ha, inoltre, comprovato di aver fornito agli interessati un’informativa completa sul Trattamento dei propri Dati personali mediante i dispositivi video in questione, essendosi limitato ad affermare, a fronte delle specifiche richieste di chiarimenti dell’Autorità, che “il Comune ha pubblicato l’informativa estesa sulla videosorveglianza sul proprio sito internet” (nota del XX, cit.) e che “l’aggiornamento dell’informativa è dell'XX” (nota del XX), data successiva a quella di proposizione del reclamo, non, avendo, pertanto l’Ente né dichiarato né tantomeno comprovato che la data in cui tale informativa sarebbe stata messa a disposizione degli interessati fosse riconducibile a prima dell’inizio del trattamento, ovvero prima del mese di marzo 2021. Si osserva, peraltro, che l’informativa prodotta in atti risulta priva di qualsiasi riferimento temporale, non essendo, pertanto, possibile collocare in alcun modo tale documento nel tempo.

Il Trattamento dei Dati personali degli interessati, ripresi mediante i dispositivi video in questione, è stato, pertanto, effettuato in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento.

3.3 I rapporti con il Responsabile del trattamento

Ai sensi dell’art. 28, par. 3, del Regolamento, “i trattamenti da parte di un Responsabile del Trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del 26 diritto dell'Unione o degli Stati membri, che vincoli il Responsabile del Trattamento al Titolare del trattamento, che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di Dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento”, e che preveda tutti gli impegni previsti dal medesimo art. 28, par. 3, del Regolamento (cfr. cons. 81 del Regolamento).

Il contratto o il diverso atto giuridico devono essere “stipulato in forma scritta, anche in formato elettronico” (art. 28, par. 9, del Regolamento).

Nel caso di specie, il Comune, in qualità di Titolare del trattamento, ha esternalizzato ad APM l’attività di installazione e gestione dei dispositivi in questione, affidando alla stessa il Trattamento delle immagini riprese, senza, tuttavia, previamente stipulare un contratto sulla protezione dei dati ai sensi dell’art. 28 del Regolamento.

Il contratto sulla protezione dei dati predisposto dal Comune, acquisito al protocollo dello stesso n. XX del XX, e depositato in atti nel corso dell’istruttoria, risulta, infatti, sottoscritto unicamente dal Comune. Al riguardo, il Comune ha, infatti, dichiarato che APM non ha a sua volta provveduto alla sottoscrizione “per mera dimenticanza”.

Soltanto in data XX, ovvero successivamente all’avvio dell’istruttoria da parte dell’Autorità e pochi giorni prima della data in cui è cessato il Trattamento (v. la nota di APM del XX, prot. n. XX), APM ha sottoscritto un contratto sulla protezione dei dati con il Comune, acquisito al protocollo dell’Ente del XX (n. XX).

Ciò premesso, si osserva che, come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’“articolo 28, paragrafo 9, del [Regolamento]”.

Considerato che “sia il Titolare sia il Responsabile del Trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”, l’autorità di controllo compente “potrà infliggere una sanzione amministrativa pecuniaria sia al Titolare sia al Responsabile del trattamento” (“Linee guida 07/2020 sui concetti di Titolare del Trattamento e di Responsabile del Trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, par. 103).

Pertanto, laddove, come nel caso di specie, sussista “un rapporto titolare-responsabile del Trattamento […] anche in assenza di un [valido] accordo di Trattamento per iscritto” - in quanto il soggetto che tratta i dati effettua in concreto il Trattamento non per proprie finalità ma per conto del soggetto committente, nell’ambito di un’attività da questi esternalizzata e nell’esecuzione di un contratto di servizi o di altro analogo rapporto giuridico in essere tra le parti (cfr. la definizione di “responsabile del trattamento” di cui all’art. 4, par. 1, n. 8, del Regolamento) - “ciò implic[a] […] una violazione dell’articolo 28, paragrafo 3, del [Regolamento]” (ibidem, par. 103).

Il Comune, in qualità di Titolare del trattamento, ha, invece, omesso, fino al 19 aprile 2022, di stipulare un contratto sulla protezione dei dati con APM, che – in quanto azienda speciale ed ente strumentale del Comune, costituita ai sensi della l. 142/1990, anche per la gestione dei servizi di igiene urbana - agiva in concreto in qualità di Responsabile del Trattamento con riguardo alle immagini raccolte mediante i dispositivi video oggetto di reclamo, in violazione dell’art. 28, parr. 3 e 9, del Regolamento.

Ciò posto, si rileva che il contratto sulla protezione dei dati, tardivamente stipulato tra le parti in data XX, non era, comunque, idoneo a soddisfare i requisiti previsti dalla normativa europea in materia di protezione dei dati.

Esso si limitava, infatti, a riportare pedissequamente le previsioni richieste dall’art. 28, par. 3, del Regolamento, senza fare alcun riferimento allo specifico Trattamento di Dati personali affidato dal Titolare al Responsabile (ovvero la gestione delle immagini acquisite mediante i dispositivi video in questione) e senza che il titolare, ovvero il Comune, avesse impartito al responsabile, ovvero ad APM, in sede di contratto sulla protezione dei dati, alcuna specifica istruzione in merito al trattamento, anche con riguardo alle specifiche misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio, che il Responsabile avrebbe dovuto adottare in tale contesto.

Il contratto sulla protezione dei dati stipulato tra il Titolare e il Responsabile “dovrebbe [, invece,] non già meramente ribadire le disposizioni del [Regolamento], bensì prevedere informazioni più specifiche e concrete sul modo in cui saranno soddisfatti i requisiti e sul livello di sicurezza previsto per il Trattamento dei Dati personali oggetto dell’accordo”. Pertanto, “il contratto tra le parti dovrebbe essere redatto tenendo conto della specifica attività di Trattamento dei dati”, disciplinando, in particolare: “l’oggetto del Trattamento […] con specifiche sufficienti affinché l’oggetto principale del Trattamento sia chiaro”; “la durata del trattamento”; “la natura del trattamento: il tipo di operazioni eseguite nell’ambito del Trattamento (ad esempio: «ripresa», «registrazione», «archiviazione di immagini» ecc.) e la finalità del Trattamento […]”, fermo restando che, “tale descrizione dovrebbe essere la più completa possibile, a seconda dell’attività di Trattamento specifica, in modo da consentire a soggetti esterni (ad esempio le autorità di controllo) di comprendere il contenuto e i rischi del Trattamento affidato al relativo responsabile”; “la tipologia di Dati personali [, con la precisazione che] questo elemento dovrebbe essere specificato nel modo più dettagliato possibile”; “le categorie di interessati [, con la precisazione che] anche questo aspetto dovrebbe essere indicato in modo piuttosto specifico” (ibidem, sez. 1.3).

Né è possibile ricavare altrimenti tali elementi da una lettura congiunta tra il contratto sulla protezione dei dati e altri accordi in essere tra le parti, atteso che nel contratto sulla protezione dei dati in questione non vi è alcun richiamo – nemmeno per relationem – all’atto che disciplina il sottostante rapporto di fornitura che legava il Comune all’Azienda. Nella premessa del contratto sulla protezione dei dati si afferma, infatti, del tutto genericamente, che “il Comune di Monterotondo, in qualità di Titolare del Trattamento dei dati si avvale delle Vostre prestazioni sulla base di uno specifico rapporto contrattuale in essere e pertanto, a tale titolo, la Vostra azienda svolge il ruolo di "Responsabile del trattamento", potendosi, pertanto, il contratto sulla protezione dei dati astrattamente riferire a una pluralità di contratti di fornitura di servizi o altri atti giuridici non oggettivamente individuabili.

Pertanto, il contratto sulla protezione dei dati stipulato in data XX tra il Comune e APM non può ritenersi conforme ai requisiti previsti dalla normativa in materia di protezione dei dati, avendo, pertanto, il Comune agito, nel periodo di tempo intercorrente tra il XX e il XX, data in cui i dispostivi video in questione sono stati disattivati, in violazione dall’art. 28, par. 3, del Regolamento.

3.4 La sicurezza del trattamento

L’art. 5, par. 1, lett. f), del Regolamento stabilisce che i Dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di “integrità e riservatezza”).

In applicazione di tale principio, l’art. 32 del Regolamento, concernente la sicurezza del trattamento, prevede che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare del Trattamento e il Responsabile del Trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal Trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a Dati personali trasmessi, conservati o comunque trattati” (par. 2) (cfr. cons. 83 del Regolamento).

Occorre, a tal riguardo, evidenziare che sul Titolare incombe una “responsabilità generale […] per qualsiasi Trattamento di Dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto”, dovendo il Titolare “mettere in atto misure adeguate ed efficaci [e] dimostrare la conformità delle attività di Trattamento con il […] Regolamento, compresa l’efficacia delle misure” adottate (cons. 74 del Regolamento), anche qualora si avvalga di un Responsabile per lo svolgimento di alcune attività di trattamento, al quale deve impartire specifiche istruzioni, anche sotto il profilo della sicurezza (cons. 79 e 81 e artt. 28, par. 3, lett. c) e 32 del Regolamento). Il Titolare rimane, quindi, Responsabile dell’attuazione delle misure tecniche e organizzative adeguate e deve garantire ed essere in grado di dimostrare che il Trattamento è effettuato in conformità al Regolamento (artt. 5, par. 2, e 24 del Regolamento; cfr. le “Linee guida 07/2020 sui concetti di Titolare del Trattamento e di Responsabile del Trattamento ai sensi del GDPR”, cit., par. 2.1.4, punto 41).

Ciò premesso, si rileva che, nel corso dell’istruttoria, il Comune ha dichiarato che “il dispositivo non permette l'uso di crittografia ma, una volta estratta la SD CARD dal dispositivo, si può accedere alle immagini ivi contenute solo tramite autenticazione mediante account e password. Non sono state adottate ulteriori misure tecniche e/o organizzative da parte dell’Ente”.

Nonostante le immagini riprese dai dispositivi video in questione venissero memorizzate in locale su un supporto di memoria astrattamente rimovibile da chiunque, il Comune non ha dunque adottato tecniche di cifratura dei dati (cfr. art. 32, par. 1, lett. a), del Regolamento) o altre tecniche comunque idonee a prevenire il rischio di accesso non Autorizzato alle immagini registrate prima dell’eventuale prelievo del supporto di memoria da parte degli incaricati e del riversamento dei dati su sistema informatico con accesso protetto mediante nome utente e password.

Come, infatti, dichiarato da APM, i filmati registrati nella memoria “venivano messi a disposizione del Titolare del Trattamento mediante accesso all’applicativo con username e Password nominativi”; pertanto, l’autenticazione mediante nome utente e Password riguardava l’applicativo informatico in uso al Comune per la visualizzazione delle immagini e non già la scheda di memoria stessa, che, ove rimossa da terzi non autorizzati, avrebbe consentito l’accesso ai filmati registrati, non cifrati, senza alcuna previa autenticazione.

Quanto alla tesi difensiva, in base alla quale, in caso di eventuali tentativi di prelevare la memoria rimovibile da parte di terzi non autorizzati, il sistema di telecamere avrebbe generato un’allerta, consentendo a un operatore di “attivare il blocco della SIM” e determinare il “blocco del trattamento”, si osserva che ciò non avrebbe in ogni caso avuto effetto sulle immagini già registrate nella predetta memoria, comportando la sola interruzione delle successive attività di registrazione.

Anche la circostanza che tale memoria fosse “installata in un vano inaccessibile della scocca della telecamera”, seppur idonea a mitigare i possibili rischi di accessi non autorizzati, non consentiva comunque di escludere del tutto gli stessi. L’accesso avrebbe, infatti, “comportato diversi e complicati passaggi” ma sarebbe stato comunque astrattamente possibile.

Per tali ragioni, risulta accertato che, in relazione al Trattamento delle immagini raccolte mediante i dispositivi video oggetto di reclamo, il Comune ha omesso di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Titolare del Trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva il mancato rispetto della normativa in materia di protezione dei dati, per aver il Comune trattato dati personali, mediante dispositivi video, in violazione degli artt. 5, par. 1, lett. a) e f), 12, par. 1, 13, 28, parr. 3 e 9, e 32 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 12 e 13 del Regolamento, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

 In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che il Comune ha dichiarato di aver disinstallato i dispositivi video in questione, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

sebbene il Trattamento abbia riguardato un numero considerevole di interessati (stimati dal Comune in 1.000 circa) e si sia protratto per un considerevole lasso temporale, ovvero dal mese di marzo 2021 al 9 giugno 2022, i dispositivi video impiegati dal Comune non erano idonei a comportare un monitoraggio sistematico dell’area sottoposta a controllo (atteso che gli stessi si attivavano solo in caso di rilevazione di movimento, effettuando registrazioni della durata massima quindici secondi) e, come dichiarato dal Comune, le immagini registrate non sono state mai state visionate e utilizzate in conseguenza di eventi rilevanti per la sicurezza degli impianti e degli utenti (cfr. art. 83, par. 2, lett. a), del Regolamento);

ancorché il Comune e APM non avessero formalmente stipulato un contratto sulla protezione dei dati, APM, azienda speciale del Comune, sottoposta a controllo analogo ed ente strumentale dell’Ente, aveva stipulato un contratto di servizio con il Comune, il quale aveva predisposto e sottoscritto un accordo sulla protezione dei dati, che solo per mera dimenticanza non è stato controfirmato da APM (cfr. art. 83, par. 2, lett. a), del Regolamento);

sebbene i filmati venissero salvati su una memoria rimovibile, senza l’adozione di tecniche di cifratura, è ragionevole ritenere che, tenuto conto dell’occasionalità e della brevità delle registrazioni effettuate (durata massima di quindici secondi), nonché della circostanza che le stesse riprendevano aree pubbliche, la probabilità che avvenissero tentativi di rimozione non autorizzata, che avrebbero comportato complesse attività di manomissione dei sistemi, non fosse alta (cfr. art. 83, par. 2, lett. a), del Regolamento);

la violazione ha carattere colposo, essendo originata da errate valutazioni dell’Ente (cfr. art. 83, par. 2, lett. b), del Regolamento);

la violazione non ha riguardato categorie particolari di Dati personali o Dati personali relativi a condanne penali e reati (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal Titolare del Trattamento sia basso (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

il Comune ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, essendosi, altresì, attivato per porre fine alla violazione, prima chiedendo ad APM, a seguito della prima richiesta d’informazioni dell’Autorità, di “apporre, cautelativamente, un cartello/informativa breve sulla videosorveglianza nelle vicinanze delle tre Stazioni Ecologiche […], nonché un’informativa estesa sul Vostro sito istituzionale” (v. nota prot. n. XX del XX, in atti) e poi di “interrompere, cautelativamente, ogni Trattamento riguardante la videosorveglianza e lo smontaggio di tutti i sistemi di ripresa ivi allocati” (v. nota prot. n. XX del XX, in atti) (cfr. art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal Comune (cfr. art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione degli artt. 5, par. 1, lett. a) e f), 12, par. 1, 13, 28, parr. 3 e 9, e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che, come sopra rilevato, il Trattamento si è protratto per un esteso arco temporale, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del Trattamento effettuato dal Comune di Monterotondo per violazione degli artt. 5, par. 1, lett. a) e f), 12, par. 1, 13, 28, parr. 3 e 9, e 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

al Comune di Monterotondo, in persona del legale rappresentante pro-tempore, con sede legale in Piazza A. Frammartino, 4 - 00015 Monterotondo (RM), C.F. 80140110588, di pagare la somma di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 3.000 (tremila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei