ETHICA SOCIETAS-Rivista di scienze umane e sociali
Massimiliano Mancini NOTIZIE Privacy

30.000 EURO DI MULTA DAL GARANTE PER IL COMUNE DI FORMIA (LT) Massimiliano Mancini

SANZIONATO DAL GARANTE IL COMUNE CHE NON AVEVA NOMINATO RESPONSABILE DEL TRATTAMENTO IL GESTORE DEI PARCHEGGI E NON AVEVA ATTUATO LA MINIMIZZAZIONE DEI DATI E LA LIMITAZIONE DELLA CONSERVAZIONE (provv.351 del 29/09/2021)

di Massimiliano Mancini

Abstract: Il Comune di Formia è stato sanzionato con 30.000 euro dal Garante per la protezione dei dati personali poiché non si era occupato del rispetto delle norme del GDPR affidando alla società privata esterna K-city s.r.l. la gestione della sosta a pagamento. In particolare non aveva provveduto alla nomina a Responsabile esterno del trattamento dei dati (RTD/DP) e quindi alla definizione delle privacy polices per tutelare i dati dei fruitori dei parcheggi a pagamento, inoltre avendo previsto delle agevolazioni per i residenti nella città e nei centri vicini richiedeva eccessive informazioni e non aveva definito i tempi di conservazione dei dati.

Keywords: #garanteprivacy #garanteprotezionedatipersonali #sanzioniprivacy #sanzionigaranteprivacy #GDPR #nominaresponsabiletrattamento #RTD #DP #minimizzazionedeidati #limitazionedellaconservazione #ComuneFormia #Formia #regionelazio #MassimilianoMancini #ethicasocietas #ethicasocietasupli

Vista di Formia [foto di Massimiliano Mancini©]
L’eccessiva burocrazia e la scarsa tutela dei dati dei cittadini

Il Comune di Formia, comune costiero in provincia di Latina, aveva previsto un abbonamento al servizio di “sosta autorizzata” nel territorio comunale ma prevedeva l’adempimento burocratico della compilazione di alcuni moduli, contenenti “dati eccedenti” rispetto alla finalità.

Alle richiete del Garante il Comune spiegava che, avendo previsto tre tipologie di abbonamento, con condizioni più favorevoli per i residenti, più esose per i turisti e intermedie per i residenti nei comuni limitrofi, aveva necessità di accertare i dati personali attraverso l’autocertificazione ai sensi dell’art.47 del DPR 445/2000 da parte dei richiedenti.

In questa autocertificazione si richiedeva di dichiarare non solo la residenza, ma anche la proprietà di immobili nel territorio comunale e se si pagassero le imposte locali di IMU  e TARI al comune di Formia.

L’affidamento del servizio di sosta a una società privata

Il Comune di Formia, inoltre, ha affidato il servizio di sosta a pagamento a una società privata, la che “non ha operato, né diversamente le era consentito, alcuna valutazione in ordine all’’opportunità o meno di richiedere tale documentazione, limitandosi ad applicare le disposizioni ricevute dall’amministrazione…“.

L’amministrazione comunale, il sindaco e i dirigenti comunali hanno adempiuto solamente agli atti amministrativi relativi alla gestione dell’affidamento, secondo le norme del diritto nazionale, ma hanno omesso gli adempimenti previsti dalle norme sulla privacy che sono previsti dalle norme europee, sovraordinate a qualsiasi legge o atto nazionale.

La violazione del principio di minimizzazione dei dati

In base alle norme del GDPR il trattamento è lecito solo se, tra l’altro, è “necessario” rispetto alla finalità perseguita (art. 6, par. 1 Reg.UE 2016/679[1] ) e deve riguardare i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), Reg.UE 2016/679[2] ).

Come emerge dagli atti, il Comune non ha evidenziato motivazioni idonee a dimostrare l’effettiva necessità di raccogliere tutte le informazioni richieste ai cittadini per regolare il servizio di abbonamento della sosta (a titolo esemplificativo, l’intero contratto individuale dei lavoratori; copia dell’iscrizione alla Camera di Commercio, stato di famiglia completo di tutti i componenti della famiglia anagrafica), limitandosi a ribadire la necessità di acquisire tale documentazione, né risultano adottate misure organizzative volte a garantire il rispetto del predetto principio di minimizzazione (es. istruzioni rivolte ai cittadini sulla necessità di oscurare, nella documentazione da produrre per richiedere l’abbonamento, i dati non necessari).

Si è accertato quindi che a partire dal mese di settembre 2019, fino al mese di dicembre 2020, il trattamento è avvenuto in violazione del principio di minimizzazione di cui all’art. 5 par. 1, lett. c) del Regolamento.

La violazione del dovere di limitazione della conservazione

Dagli elementi raccolti nell’istruttoria, inoltre, è emerso anche che il Comune non aveva stabilito i termini massimi di conservazione dei dati raccolti.

Risulta pertanto accertato che il trattamento dei dati raccolti, al fine di regolare il servizio della sosta a pagamento nel territorio comunale è avvenuto, a partire dal mese di settembre 2019 e fino al mese di agosto 2020, in violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e) Reg.UE 2016/679[3] ) e in violazione dell’art. 25 del Regolamento.

L’omissione della nomina a Responsabile esterno al trattamento dei dati

Si è accertato che l’affidamento esterno del servizio di gestione dei parcheggi ha omesso la nomina di Responsabile esterno al trattamento dei dati, atto che non ha una valenza formale ma sostanziale, e le privacy policies, ossia le istruzioni e le disposizioni da rispettare nella gestione dei dati acquisiti in conseguenza del servizio appaltato.

Dagli atti è emerso il decreto sindacale di nomina della società K-city s.r.l. quale “responsabile del trattamento”, contenente le apposite istruzioni del titolare (privacy policies), è stato emesso in data successiva all’avvio dell’istruttoria da parte dell’Ufficio del Garante, mentre la società gestiva da tempo il servizio.

Infatti era carente anche l’informativa fornita dalla società appaltatrice del servizio che faceva riferimento genericamente ai trattamenti da essa svolti in qualità di “titolare del trattamento”, e non è attinente al trattamento relativo al servizio di sosta a pagamento svolto, per conto del Comune di Formia, in qualità di “responsabile del trattamento” e non è emersa alcuna informativa specifica da parte del Comune in relazione al trattamento dei dati sotteso al servizio di abbonamento della sosta a pagamento.

La sanzione del Garante al Comune di Formia

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice sulla Privacy di cui al D.Lgs. 196/2003, il 29 settembre 2021, ha applicato al Comune di Formia n. 351 per l’importo di euro 30.000.

Ha disposto inoltre la pubblicazione del provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

L’ORDINANZA INGIUNZIONE: Sanzione per Comune di Formia, GarantePrivacy n.351 del 29/09/21

NOTE

[1] Reg.UE 2016/679 art. 6  (Liceità del trattamento) «1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o
all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
…omissis…».

[2] Reg.UE 2016/679 art. 5 (Principi applicabili al trattamento di dati personali) lett. c «1. I dati personali sono: …omissis…
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);».

[3] Reg.UE 2016/679 art. 5 (Principi applicabili al trattamento di dati personali) lett. b «1. I dati personali sono: …omissis…
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di
archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è,
conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali
(«limitazione della finalità»);».

 

ALTRE SANZIONI PER ENTI PUBBLICI:

3.000 EURO DI MULTA DAL GARANTE PER IL COMUNE DI S.MARCO IN LAMIS (FG)

30.000 EURO DI MULTA DAL GARANTE PER IL COMUNE DI FORMIA (LT)

75.000 EURO DI MULTA DAL GARANTE PER IL MISE E LA REGIONE LAZIO

GLI ALTRI ARTICOLI SULLA PRIVACY DELLO STESSO AUTORE:

IL DIRITTO DI ACCESSO E LA TRASPARENZA NON SONO VALORI ASSOLUTI

DELLE VIOLAZIONI ALLA PRIVACY RISPONDONO I DIPENDENTI DELL’ENTE

RIPRESE ILLECITE POLIZIA SANZIONATA DAL GARANTE

I PIÙ FREQUENTI CASI DI DATA BREACH

IL FINE NON GIUSTIFICA I MEZZI

 

Related posts

DAVIDE VECCHI, PREMIO MARGUTTA 2022 Massimiliano Mancini, Federica D’Arpino

@Direttore

ECOSISTEMA SOTTO SCACCO, Silvia Rossi

@Direttore

SPIETATI CRIMINALI, SOTTO MENTITE SPOGLIE Massimiliano Mancini

@Direttore