Il Garante Privacy, con provvedimento del n. 100 del 22 febbraio 2024, si è soffermato sul rapporto fra un ente locale titolare del trattamento ed un proprio responsabile del trattamento, nonché sul contenuto concreto del contratto sulla protezione dei dati personali in essere fra gli stessi, sanzionando infine l’Ente locale per mancato rispetto del GDPR.
L’Autorità ricorda preliminarmente che ai sensi dell’art. 28, par. 3 GDPR i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico, stipulato in forma scritta o in formato elettronico, che:
- vincoli il responsabile del trattamento al titolare del trattamento
- disciplini:
- la durata del trattamento
- la natura e la finalità del trattamento
- il tipo di dati personali e le categorie di interessati
- gli obblighi e i diritti del titolare del trattamento
- preveda tutti gli impegni previsti dal medesimo art. 28, par. 3, del Regolamento
Nel caso di specie, il Comune, in qualità di titolare del trattamento, ha esternalizzato ad una società esterna l’attività di installazione e gestione dei dispositivi relativi alla raccolta della spazzatura, affidando alla stessa il trattamento delle immagini riprese, senza, tuttavia, previamente stipulare un contratto sulla protezione dei dati ai sensi dell’art. 28 del Regolamento.
Il contratto sulla protezione dei dati predisposto infatti, era stato sottoscritto unicamente dal Comune, e solo dopo l’avvio dell’istruttoria da parte del Garante era stato tardivamente sottoscritto anche dalla società.
Pertanto, laddove, come nel caso affrontato dal Garante, sussista un rapporto titolare-responsabile del trattamento, in assenza di un valido accordo di trattamento, ciò implica una violazione dell’art. 28, paragrafo 3, del GDPR.
In ogni caso, peraltro, l’Autorità rileva che il contratto sulla protezione dei dati, tardivamente stipulato tra le parti, non era, comunque, idoneo a soddisfare i requisiti previsti dal GDPR.
Tale contratto si limitava, infatti, a riportare pedissequamente le previsioni richieste dall’art. 28, par. 3, del Regolamento, senza fare alcun riferimento allo specifico trattamento di dati personali affidato dal titolare al responsabile (ovvero la gestione delle immagini acquisite mediante i dispositivi video in questione) e senza che il titolare avesse impartito al responsabile del trattamento, in sede di contratto sulla protezione dei dati, alcuna specifica istruzione in merito al trattamento, anche con riguardo alle specifiche misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio, che il responsabile avrebbe dovuto adottare in tale contesto.
Il contratto sulla protezione dei dati stipulato tra il titolare e il responsabile non dovrebbe meramente ribadire le disposizioni del GDPR, ma prevedere informazioni più specifiche e concrete sul modo in cui vengono soddisfatti i requisiti e sul livello di sicurezza previsto per il trattamento dei dati personali oggetto dell’accordo.
Pertanto, il contratto tra le parti dovrebbe essere redatto tenendo conto della specifica attività di trattamento dei dati, disciplinando, in particolare:
- l’oggetto del trattamento, con specifiche sufficienti affinché l’oggetto principale del trattamento sia chiaro
- la durata del trattamento
- la natura del trattamento: il tipo di operazioni eseguite nell’ambito del trattamento (ad esempio: «ripresa», «registrazione», «archiviazione di immagini» ecc.)
- la finalità del trattamento, in modo più completo possibile, a seconda dell’attività di trattamento specifica, in modo da consentire a soggetti esterni (ad esempio le autorità di controllo) di comprendere il contenuto e i rischi del trattamento affidato al relativo responsabile
- la tipologia di dati personali, in modo più dettagliato possibile
- le categorie di interessati, in modo specifico.