L’accertamento automatico delle violazioni al Codice della strada per il passaggio con semaforo rosso – Approfondimenti

L’accertamento della violazione di cui all’articolo 13 del Regolamento (UE) Generale sulla protezione dei dati personali n. 2016/679

Il Garante della privacy, con provvedimento n. 766 del 12 dicembre 2024, ha ordinato al Comune di Portici il pagamento della somma di €. 6.000,00, a titolo di sanzione amministrativa pecuniaria, per non aver fornito agli interessati un’informativa di primo e di secondo livello, oltre a non aver redatto una valutazione d’impatto sulla protezione dei dati personali, in violazione degli articoli 5, par. 1, lett. a), 12, 13 e 35 del Regolamento (UE), disponendo altresì, a titolo di sanzione accessoria, la pubblicazione del provvedimento sul sito web dell’Autorità.

L’intervento del Garante era stato sollecitato da una segnalazione, ai sensi dell’articolo 144, d.lgs. n. 196/2003 (“Codice privacy”), con cui diversi cittadini avevano lamentato una presunta violazione della disciplina in materia di protezione dei dati personali, mediante l’utilizzo di un sistema di videosorveglianza, ai fini dell’accertamento delle infrazioni al decreto legislativo 30 aprile 1992 n. 285 (“Nuovo Codice della Strada”) da parte del Comune di Portici.

In particolare, dalla segnalazione era emersa – in primis – l’assenza di idonea informativa ai sensi dell’articolo 12 e 13 del Regolamento (UE), dal momento che non era stato apposto alcun cartello informativo nei pressi dei luoghi in cui le telecamere erano state posizionate, come sarebbe emerso dalle fotografie allegate alla predetta segnalazione.

In risposta alla richiesta di informazioni del Garante, il Comune di Portici aveva dichiarato, che: 

• la Giunta municipale, al fine di diminuire il tasso di incidentalità dovuta al transito veicolare con lanterna rossa semaforica azionata, aveva stabilito di installare sistemi di rilevazione automatica delle infrazioni sui due impianti semaforici esistenti sul territorio cittadino; 
• in relazione agli indirizzi dell’Amministrazione, si era provveduto ad approvare la procedura per il noleggio del sistema di rilevamento delle infrazioni semaforiche sui due impianti semaforici esistenti in Città. Gli apparecchi di rilevazione memorizzavano e registravano le immagini solo in caso di infrazione relativa a passaggio con luce rossa semaforica, con riprese frontali ovvero lato posteriore del veicolo in infrazione con oscuramento del parabrezza anteriore non rendendo riconoscibili né il conducente né i passeggeri a bordo del veicolo verbalizzato; 
• a seguito di registrazione dell’infrazione, la stessa veniva sottoposta a successiva attività di validazione da parte di pubblici ufficiali (appositamente individuati tra il personale appartenente al Comando P.L. e su postazioni debitamente certificate) che procedeva, sempre in fase di validazione, ad oscurare i dati relativi a soggetti non coinvolti nell’accertamento amministrativo;
• le riprese video individuavano unicamente gli elementi essenziali per la predisposizione del verbale di accertamento delle violazioni, ai sensi del regolamento di attuazione del nuovo Codice della Strada. Solo a seguito di tale attività di validazione, i dati (targa, giorno, ora e luogo dell’infrazione) e le relative immagini in formato criptato venivano importati ad opera sempre del personale della Polizia Locale nel software gestionale in uso al Comando e le targhe successivamente visurate presso gli archivi della Motorizzazione Civile; 

Finanziamenti personali e aziendali



Prestiti immediati

 

• per quanto concerneva l’obbligo di dare preavviso dell’utilizzo degli impianti per l’accertamento delle infrazioni semaforiche, nessuna norma prevedeva l’indicazione di tale attività di accertamento al di fuori dei casi previsti dal decreto-legge n. 121/2002, convertito in legge n. 168/2002. L’obbligo di indicare la presenza dei sistemi di controllo che operano in automatico si rinveniva solo nel decreto precitato. Tale normativa, in parte recepita nell’articolo 201, Codice della strada, fa riferimento solo per l’accertamento delle violazioni di cui agli articoli 142,148 e 176. La disposizione non vale quindi per gli apparecchi che rilevano in passaggio con il rosso. Pertanto, la presenza degli impianti di rilevazione automatica delle infrazioni semaforiche non doveva essere presegnalata da una specifica segnaletica. Diversamente dalla disciplina in tema di violazione dei limiti di velocità, non esiste una prescrizione in tal senso (Cass. Civ. n. 8415 del 27.04.2016). 

L’accertamento della violazione di cui all’articolo 35 del Regolamento (UE) Generale sulla protezione dei dati personali n. 2016/679

Quanto alla valutazione d’impatto sul trattamento dei dati personali in relazione all’impiego dei dispositivi de quibus (articolo 35 del Regolamento), il Comune di Portici aveva ritenuto di non dover redigere tale documento, in considerazione delle seguenti circostanze: 

• il sistema non svolgeva alcuna valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato che il sistema stesso implementa. Il sistema entrava automaticamente in funzione solo se, all’accensione del semaforo rosso e fino al momento dello spegnimento, il conducente di un veicolo commetteva l’infrazione di passaggio con il rosso. Occorreva, quindi, che si verificassero, contemporaneamente, la presenza di luce semaforica rossa e l’infrazione. In queste sole circostanze, veniva rilevata solo la targa del veicolo e non l’immagine degli occupanti del medesimo che, anche laddove fossero risultati visibili, venivano oscurati. Tra l’altro, ai fini della rilevazione della infrazione, il sistema estrapolava “immagini statiche” del momento del superamento dell’impianto semaforico e non un video nell’accezione classica del termine, quali immagini dinamiche. Qualsiasi parte dell’immagine, che conteneva soggetti terzi eventualmente ripresi dalla rilevazione, veniva oscurata attraverso apposite funzioni del sistema e verificata dal personale del Comando di Polizia Municipale. Restava, pertanto, del tutto esclusa qualsiasi attività di profilazione e, più in generale, qualsiasi tipo di trattamento ulteriore delle immagini riprese; 
• il trattamento in nessun modo riguardava alcuna delle tipologie di dati indicate all’articolo 9, paragrafo 1, né dati relativi a condanne penali e a reati di cui all’articolo 10. La rilevazione dell’infrazione generava solo l’inoltro del verbale di accertamento all’intestatario del veicolo; 
• il sistema non realizzava la sorveglianza sistematica su larga scala di una zona accessibile al pubblico, in quanto entrava in funzione solo per intervalli di tempo brevissimi attivati dall’accensione della luce semaforica rossa e immediatamente successivi; in più, l’oscuramento di ogni immagine di persona fisica, addirittura quella che eventualmente avesse ripreso guidatore o passeggeri dell’auto da sanzionare, completava un quadro che consentiva di escludere, con ogni ragionevolezza, l’ipotesi di sorveglianza sistematica.

La difesa del Comune di Portici – Comando di Polizia Locale

Il Comune, in riscontro all’avvio del procedimento del Garante, presentava una memoria difensiva. 

Dichiarava, innanzi tutto, di aver subito posto fine alle violazioni, provvedendo, peraltro, ad installare nei pressi delle postazioni semaforiche appositi cartelli contenenti l’informativa di primo livello, conforme al modello allegato alle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, nonché ai provvedimenti di codesta Autorità”.

Il Comune e, in particolare, il Comando di Polizia Municipale, in totale buona fede, avevano ritenuto che le caratteristiche dell’impianto e del suo funzionamento non determinassero, per esso, gli obblighi di segnalazione preventiva e di informativa di dettaglio previsti dai Provvedimenti del Garante in materia di sistemi di videosorveglianza e dal G.D.P.R. Altrettanto dicasi per gli obblighi, che chiameremmo derivati, di redazione della valutazione d’impatto sulla protezione dei dati personali (articolo 35, G.D.P.R.). Ovviamente, una volta compresa la situazione di carente compliance, il Comune si era immediatamente adoperato per adeguare il sistema de quo alle prescrizioni e agli obblighi di cui alla normativa applicabile.

A seguito della comunicazione del Garante, il Comune già aveva provveduto ad installare presso le cinque postazioni semaforiche, la segnaletica informativa di primo livello conforme alle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, ai provvedimenti del Garante in materia di videosorveglianza.

Infine, il Comune rilevava di aver provveduto a redigere ex post la “Valutazione d’impatto sulla protezione dei dati (articolo 35 G.D.P.R.), relativa al trattamento dei dati personali rilevati dai dispositivi di ripresa foto/video, compresi nel sistema di rilevazione delle infrazioni (approvata con Deliberazione del Consiglio Comunale).

La normativa applicabile in materia di protezione dei dati personali 

In base alla disciplina in materia di protezione dei dati personali, i soggetti pubblici possono trattare i dati personali degli interessati se il trattamento è necessario, in generale, per adempiere a specifici obblighi o compiti previsti da leggi (artt. 6, paragrafo 1, lett. c), del Regolamento). 

Il trattamento è, inoltre, lecito quando sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (articolo 6, paragrafo 1, lett. e) e paragrafo 2 e 3 del Regolamento (UE); articolo 2-ter del “Codice privacy”).

Il titolare del trattamento è tenuto altresì, in ogni caso, a rispettare i principi in materia di protezione dei dati personali, fra cui quelli di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (articolo 5, par. 1, lett. a) del Regolamento).

L’informativa agli interessati

Alla luce del suddetto principio di trasparenza, il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (articolo 12, par. 1, del Regolamento).

In particolare, allorquando siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento, in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono contenere tutti gli elementi obbligatori a norma dell’articolo 13 del Regolamento ed essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale o affissa in un luogo di facile accesso (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video adottate dal Comitato europeo per la protezione dei dati).

Le informazioni di primo livello (cartello di avvertimento) dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento (Linee guida del Comitato, cit., par. 114). 

Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione. Se tali informazioni non fossero indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi) (Linee guida del Comitato, cit., par. 115).

La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Nel corso dell’istruttoria è emerso che dalla data in cui il sistema video in esame era entrato in funzione, il Comune non aveva fornito agli interessati un’informativa di primo e di secondo livello, operando pertanto in violazione del principio di “liceità, correttezza e trasparenza” di cui all’articolo 5, par. 1, lett. a) del Regolamento (UE), nonché degli articoli 12 e 13 del Regolamento (UE).

La valutazione di impatto sulla protezione dei dati personali

In caso di rischi elevati per gli interessati – derivanti, ad esempio, dall’utilizzo di nuove tecnologie e sempre presenti laddove sia effettuata una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (articolo 35, par. 3, lett. c), del Regolamento) – il titolare del trattamento deve effettuare una valutazione d’impatto sulla protezione dei dati, al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (articoli 35 e 36, par. 1, del Regolamento).

Sul punto il Comune di Portici aveva dichiarato che, all’atto dell’installazione dei dispositivi video in esame, non aveva svolto una valutazione di impatto, in quanto aveva ritenuto erroneamente che non fosse necessaria, provvedendo a redigerla successivamente, all’avvio dell’istruttoria da parte del Garante.

Il Comune era certamente soggetto all’obbligo di redigere una valutazione d’impatto sulla protezione dei dati. Ai sensi del citato articolo 35, par. 3, lett. c), del Regolamento, la stessa è sempre richiesta in caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”, che consente la raccolta di numerosissimi dati anche inerenti all’ubicazione e alla circolazione degli interessati; circostanza che ricorreva nel caso di specie.

L’articolo 35 del Regolamento obbliga i titolari a svolgere la valutazione di impatto prima di dare inizio al trattamento, anche considerando che tale strumento è idoneo a comprovare la responsabilizzazione (“accountability”) del titolare nei confronti del trattamento effettuato (cfr. Provvedimento n. 162 del 28 aprile 2022, doc. web. n. 9777974).

Alla luce delle considerazioni che precedono, non avendo redatto una valutazione d’impatto sulla protezione dei dati in data certa anteriore a quella di avvio del trattamento, il Garante ha concluso che il Comune aveva agito in violazione dell’articolo 35 del Regolamento (UE).

Il provvedimento sanzionatorio adottato dal Garante

All’esito dell’istruttoria, il Garante ha ritenuto illecito il trattamento di dati personali effettuato dal Comune di Portici, in violazione degli articoli 5, par. 1, lett. a), 12, 13 e 35 del Regolamento (UE).

La violazione delle predette disposizioni ha reso applicabile la sanzione amministrativa prevista dall’articolo 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’articolo 166, comma 2, d.lgs. n. 196/2003 (“Codice privacy”).

In senso favorevole al Comune, il Garante ha tuttavia considerato: 

• il carattere colposo della violazione, atteso l’erroneo convincimento iniziale da parte del Comune circa la non sussistenza dell’obbligo di tali adempimenti che, infatti, erano stati effettuati non appena avviata l’istruttoria (articolo 83, par. 2, lett. b) del Regolamento);
• che i trattamenti in questione non erano relativi a categorie particolari di dati (articolo 83, par. 2, lett. g).

Alla luce di tali circostanze, il Garante ha ritenuto che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Il Garante – considerato che non risultano precedenti violazioni pertinenti, commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento), nonché il grado di cooperazione manifestato dal titolare con l’autorità di controllo, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, tenendo conto che lo stesso ha tempestivamente provveduto a fornire l’informativa di primo livello mediante affissione dei cartelli in prossimità dei sistemi video installati in cinque punti del territorio cittadino e a pubblicare un’informativa di secondo livello sul sito istituzionale, nonché a redigere la valutazione d’impatto (art. 83, par. 2, lett. f) del Regolamento) – ha ritenuto di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000,00 (seimila/00) per la violazione degli articoli 5, par. 1, lett. a), 12, 13 e 35 del Regolamento (UE), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’articolo 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva, disponendo, altresì, che, ai sensi dell’articolo 166, comma 7, d.lgs. n. 196/2003 (“Codice privacy”) e dell’articolo 16, comma 1, del Regolamento del Garante n. 1/2019, di dover procedere alla pubblicazione dell’ordinanza ingiunzione sul sito Internet.

–> Per approfondire alcuni aspetti consulta gli approfondimenti del Dottor Gaetano Alborino:

–> Scarica l’intera raccolta di approfondimenti a cura del Dott. Gaetano Alborino: VIDEOSORVEGLIANZA E PRIVACY – I provvedimenti sanzionatori del Garante