[doc. web n. 10029393]

Provvedimento del 20 giugno 2024

Registro dei provvedimenti
n. 375 del 20 luglio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

L’Autorità ha appreso da fonti pubbliche che il Comune di Forlì (di seguito, il “Comune”) aveva messo a disposizione dei cittadini un’applicazione informatica, denominata “Falco – Città protetta”, sviluppata dalla FMI S.r.l. (di seguito, “FMI” o la “Società”), che consentiva ai cittadini inviare segnalazioni alla Polizia locale in merito a situazioni di degrado o che destavano un certo livello di allarme sociale, comunque non tale da richiedere una chiamata di emergenza al 112.

Una volta ricevuta una segnalazione, il personale della Polizia locale addetto alla visione delle immagini di videosorveglianza, provenienti dalle telecamere installate sul territorio comunale per finalità di tutela della sicurezza urbana, poteva monitorare la situazione nella specifica area interessata dalla segnalazione ed eventualmente inviare una pattuglia in loco per effettuare verifiche, essendo, peraltro, temporaneamente acquisita la posizione GPS e il numero di telefono del dispositivo del segnalante.

Da una pagina informativa pubblicata sul sito web della FMI (https://www.fmi.fc.it/falco/), risultava, inoltre, che, a seguito della ricezione di una segnalazione, la Polizia locale avrebbe potuto anche inviare dei droni nell’area interessata per effettuare gli opportuni controlli.

In relazione al trattamento dei dati personali degli interessati, il Comune si qualificava come titolare del trattamento, indicando la FMI quale responsabile del trattamento (v. l’informativa sul trattamento dei dati personali al tempo pubblicata sul sito web istituzionale del Comune, all’indirizzo https://www.fmi.fc.it/privacy-falco/#1651136340326-95cb6497-1535), mentre la FMI si qualificava a sua volta quale titolare del trattamento (v. la diversa informativa al tempo pubblicata sul sito web della Società, all’indirizzo https://www.fmi.fc.it/privacy-falco).

2. L’attività istruttoria.

Dall’attività istruttoria avviata dall’Ufficio nei confronti del Comune di Forlì, all’esito della quale il Garante ha adottato il provv. 20 giugno 2024, n.374 (in www.gpdp.it), a cui si rinvia integralmente per la complessiva ricostruzione della vicenda e della caratteristiche tecniche del sistema “Falco”, è emerso che il Comune medesimo, in qualità di titolare del trattamento, ha affidato alla FMI, quale responsabile del trattamento, talune operazioni di trattamento di dati personali, nell’ambito della manutenzione e del supporto alla gestione dei sistemi di videocontrollo degli accessi alle zone a traffico limitato e rilevazione del movimento merci (v. deliberazione di Giunta Comunale n. 333/2017), della gestione del sistema di videosorveglianza comunale (v. deliberazione di Consiglio Comunale n. 111 del 19/12/2018), nonché del funzionamento e manutenzione del sistema “Falco”, nella cornice del progetto “Città Protetta 2020 – 2° e 3° stralcio” (v. deliberazione di Giunta Comunale n. 200 del 23/06/2021).

Sulla base delle risultanze istruttorie del procedimento avviato nei confronti del Comune, l’Ufficio, con nota del 10 maggio 2023 (prot. n. 0075080), ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver:

- omesso di stipulare un accordo sulla protezione dei dati con il Comune, in violazione dell’art. 28, par. 3, del Regolamento;

- agito in violazione dell’art. 32 del Regolamento, in relazione alla configurazione delle modalità di accesso al sistema informatico di gestione delle segnalazioni.
Con la medesima nota, la Società è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota dell’8 giugno 2023 (prot. n. 1216/2023), la Società ha presentato una memoria difensiva, dichiarando, in particolare, che:

“l’applicazione non è mai effettivamente uscita dalla fase di test durante la quale uno degli aspetti propedeutici era proprio l’analisi circa il corretto trattamento dei dati personali”;

“dalla reportistica del software non risulta trattata dalla Polizia Locale nessuna segnalazione. La polizia locale non ha trattato alcun dato derivante dalla App Falco per la gestione delle segnalazioni, proprio perché in attesa di maggiori istruzioni operative riguardo all’impatto privacy. Questo risulta anche dalla comunicazione della Sezione Centrale Operativa del Corpo di Polizia Locale di Forlì, in data 13 luglio 2022 […]”;

“[…] l’applicazione Falco è stata riattivata ai soli fini di testare le ulteriori modifiche richieste dal Comune […] dopo la conclusione della fase sperimentale prevista al 31/05/2022, senza procedere al trattamento dei pochissimi dati pervenuti unicamente su base volontaria e utilizzati solo per testare le funzionalità dell’applicazione. Questa ulteriore fase di test è stata poi sospesa in data 11/07/2022 […]”;

già “in data 26 aprile 2022, la […] FMI […] aveva chiesto [al] Comune di “essere inquadrata come responsabile esterno ex art. 28 GDPR, con conseguente necessità di sottoscrivere le apposite nomine””;

con “email del 9 giugno 2022 […] si sollecitava nuovamente [il] Comune […] a sottoscrivere la nomina come resp. del trattamento”;

FMI “riceve l’incarico da responsabile del trattamento […] deliberato dal Comune […] il 31 agosto 2022 per tutti i servizi connessi alla videosorveglianza cittadina […]. Per quanto riguarda lo specifico sistema Falco non si sono registrati ulteriori sviluppi formali in quanto tale applicazione è stata sospesa dall’11/07/2022 […]”;

“[…] tuttavia, poiché il sistema Falco è offline dal mese di luglio 2022, la nomina a responsabile del trattamento per l’App Falco non è mail arrivata”;

“FMI aveva previsto la fine della sperimentazione della App Falco il 31/5/2022, come esplicitamente citato nella Privacy Policy”;

“nella email di FMI del 9 giugno 2022, si chiedeva alla Polizia Locale di fornire con urgenza l’elenco delle segnalazioni da attivare, questo è assolutamente probante che l’app fosse ancora in stato di test, poiché se in una app di invio segnalazioni, il tipo di segnalazioni da inviare deve ancora essere definito, è evidente che la app non è pronta né definitiva”;

“nella email del 27 giugno 2022, il resp. della Centrale Operativa della Polizia Locale scrive “a seguito degli accordi intercorsi e delle modifiche apportate all'applicazione Falco, si chiede di ricevere la nuova versione del manuale operativo per predisporre le verifiche, i controlli ed il monitoraggio delle segnalazioni effettuate dai cittadini. Il tutto in previsione dell'aggiornamento formativo del personale di cui alla individuazione dei nominativi ai quali assegnare le username e passwords”. Questo evidenzia le seguenti circostanze: […] prima del rilascio del sistema FALCO in versione definitiva, La Polizia Locale avrebbe dovuto fornire ad FMI i nominativi dei singoli utenti che avrebbero dovuto accedere al sistema, cosa fino ad allora non possibile per motivi organizzativi interni alla Polizia Locale ed alla necessità di individuare chi, tra gli agenti disponibili, poteva interessarsi di gestire Falco”;

“con mail del 30 giugno 2022 […] il Resp. della Centrale Operativa forniva l’elenco degli agenti ad FMI, mettendoci in grado di creare gli utenti nominali per la gestione del sistema Falco”;

“fino al 30 giugno 2022, il test della app Falco, perché di fase di test si tratta non essendo ancora mature o addirittura realizzate alcune funzionalità dell’app, la Polizia Locale usava un utente generico destinato alla fase di test. Prima di entrare in effettivo funzionamento, tutti gli agenti di P.L. avrebbero avuto il loro utente personale; l’utente generico sarebbe stato eliminato definitivamente, con la conclusione della fase di test”;

“tramite email di giovedì 7 luglio 2022 […] è stato inviato alla resp. delle C.O. della Polizia Locale di Forlì il nuovo manuale del sistema Falco che sanciva la realizzazione delle modifiche richieste nel frattempo, prolungando quindi la fase di test almeno fino a quella data”;

“l’11 luglio 2022 (due giorni lavorativi dopo l’invio del manuale) il Comune […] ordinava a FMI di sospendere Falco e FMI provvedeva in merito nella stessa giornata”;

pertanto, “gli utenti non erano stati configurati fino al 30 giugno poiché il Comune non aveva fornito i nominativi da attivare per motivi organizzativi interni e comunque essendo in fase di test, per la verifica delle funzionalità era necessario un utente generico ai fini di semplificazione del bugfixing”;

“l’utente di test era sì generico, ma sarebbe stato cancellato quando la app fosse stata pronta e messa in effettivo utilizzo”.

3. Esito dell’attività istruttoria.

3.1 I trattamenti di dati personali posti in essere nell’ambito del progetto “Falco”.

All’esisto dell’istruttoria, come sopra ricostruita, è emerso che, nell’ambito del c.d. progetto “Falco”, la FMI ha realizzato un sistema informatico costituito da una componente del tipo “Web su server centralizzato” e, dal lato dell’utente, da una specifica applicazione informatica per dispositivi mobili, che il Comune, in veste di titolare del trattamento, ha messo a disposizione dei cittadini (v. nota prot. n. 0083196/2022 del 18 luglio 2022, agli atti dell’autonomo ma connesso procedimento avviato nei confronti del Comune).

L’applicazione informatica denominata “Falco” consentiva agli utenti di verificare la loro presenza in un’area sottoposta a videosorveglianza da parte del Comune, nonché di inviare segnalazioni relative a possibili situazioni di degrado o di generico potenziale rischio - non tali da rendere necessaria una chiamata di emergenza -, mettendo in evidenza per gli operatori della Polizia locale, preposti alla visione delle immagini di videosorveglianza, gli specifici filmati trasmessi dalla telecamera presente sul luogo oggetto di segnalazione.

Quanto all’applicazione lato server del sistema Falco, la stessa veniva messa a disposizione della Polizia Locale per il tracciamento di tutte le segnalazioni anonimizzate inviate tramite la predetta applicazione, al fine di individuare quali zone presentassero maggiori o minori segnalazioni nel tempo, facilitando l’analisi del Comando di Polizia Locale in merito alle zone del territorio comunale da presidiare maggiormente. Era possibile solo risalire temporaneamente (per sette giorni) al numero di telefono associato alle coordinate geografiche della segnalazione ed al c.d. timestamp, per permettere alle Centrali Operative di richiamare eventualmente l’utente autore della segnalazione. Trascorsi sette giorni, il numero di telefono associato alle coordinate veniva cancellato dagli archivi, rimanendo disponibili, per soli fini statistici, le coordinate gps statiche della segnalazione ed il timestamp in cui la stata era stata effettuata.

Sul piano temporale:

l’applicazione “Falco” è stata messa a disposizione nei negozi online “Google Play Store” in data 20 dicembre 2021 e “Apple Store” in data 26 gennaio 2022, in una versione che consentiva all’utente di inviare una segnalazione alla Polizia locale, senza che fosse prevista la possibilità di classificare la stessa con impostazioni predefinite; inoltre, l’utente poteva attivare la funzionalità “tastiera” del telefono preimpostata con il numero 112; le segnalazioni potevano essere volontariamente anonimizzate dall’utente, premendo un apposito tasto, ed erano in ogni caso automaticamente anonimizzate, mediante la cancellazione del numero di telefono associato alla posizione geografica statica del terminale da cui proveniva la segnalazione, dopo sette giorni dalla data di invio della stessa (v. relazione della FMI sub all. 9 alla nota prot. 0003022/2023 dell’11 gennaio 2023, agli atti dell’autonomo ma connesso procedimento avviato nei confronti del Comune);

in data 6 aprile 2022, l’applicazione è stata modificata come segue: è stata prevista la possibilità di specificare la tipologia di segnalazione da un elenco predefinito di voci (abbandono rifiuti, atti vandalici e graffiti, incidente stradale, violenza domestica, bullismo, altra segnalazione); è stata eliminata la possibilità per l’utente di anonimizzare la propria segnalazione prima del termine di sette giorni; è stata introdotta la possibilità di allegare una fotografia, ma solo se scattata ex novo, ovvero senza la possibilità di scegliere una foto già salvata nel terminale dell’utente (ibidem);

dalla fine del mese di aprile 2022 l’applicazione è stata disattivata, per poi essere riattivata agli inizi del mese di giugno 2022 (v. relazione del RPD del Comune sub all. 5 alla nota prot. n. 0083196/2022 del 18 luglio 2022);

in data 11 luglio 2022, a seguito dell’avvio dell’istruttoria da parte dell’Autorità, l’applicazione è stata rimossa dai negozi online (v. relazione della FMI citata) e tutte le segnalazioni pervenute sono state anonimizzate.

È, inoltre, emerso che durante il normale utilizzo dell’applicazione, veniva inviata ogni 3,5 secondi una richiesta al server contenente un c.d. token firmato digitalmente, associato al numero di telefono dell’utente e alla posizione statica del dispositivo, che sarebbe stato “scartato (eliminato dalla memoria del server) dopo una verifica della firma e della data di scadenza dello stesso, in quanto il suo fine è esclusivamente evitare che i robot contattino in maniera massiva il web service”, senza che lo stesso venisse “mai memorizzato nemmeno transitoriamente su un data base, nemmeno di cache o di appoggio”; la coordinata geografica statica non veniva “mai salvata in nessun caso[;] ricevuta la richiesta al webservice, [veniva] confrontata con l’elenco delle aree videosorvegliate (poligoni geometrici salvati nel database) e calcolato se risulta all'interno di una di esse oppure no. Il risultato di questa verifica [veniva] inviato all’app e le coordinate [venivano] eliminate senza essere mai memorizzate in nessun database, né di appoggio né di transito” (v. relazione della FMI sub all. 9 alla nota prot. n. 0003022/2023 dell’11 gennaio 2023).

Così riassunte le caratteristiche principali del sistema Falco, si osserva che la FMI, agendo in qualità di responsabile del trattamento per conto del Comune, anche nel più generale contesto della gestione del sistema di videosorveglianza comunale e dei dispositivi video di controllo degli accessi alla ZTL, ha violato talune disposizioni del Regolamento, come di seguito illustrato.

3.2 La mancata definizione dei rapporti con titolare del trattamento

Ai sensi dell’art. 28, par. 3, del Regolamento, “i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del 26 diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento, che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”, e che preveda tutti gli impegni previsti dal medesimo art. 28, par. 3, del Regolamento (cfr. cons. 81 del Regolamento).

Il contratto o il diverso atto giuridico devono essere “stipulato in forma scritta, anche in formato elettronico” (art. 28, par. 9, del Regolamento).

Come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’“articolo 28, paragrafo 9, del [Regolamento]”. Considerato che “sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”, l’autorità di controllo compente “potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, par. 103).

Pertanto, laddove, come nel caso di specie, sussista “un rapporto titolare-responsabile del trattamento […] anche in assenza di un [valido] accordo di trattamento per iscritto” - in quanto il soggetto che tratta i dati effettua in concreto il trattamento non per proprie finalità ma per conto del soggetto committente, nell’ambito di un’attività da questi esternalizzata e nell’esecuzione di un contratto di servizi o di altro analogo rapporto giuridico in essere tra le parti (cfr. la definizione di “responsabile del trattamento” di cui all’art. 4, par. 1, n. 8, del Regolamento) - “ciò implic[a] […] una violazione dell’articolo 28, paragrafo 3, del [Regolamento]” (ibidem).

Ciò premesso, si evidenzia che, come emerso nell’ambito del separato ma connesso procedimento avviato nei confronti del Comune, quest’ultimo ha nel tempo affidato alla FMI l’esecuzione di una serie di servizi, ovvero:

con deliberazione di Giunta Comunale n. 333/2017, le attività di manutenzione e supporto alla gestione dei sistemi automatici di videocontrollo delle infrazioni al Codice della Strada per accessi alla ZTL e quelli di rilevazione del movimento merci;

con deliberazione di Consiglio Comunale n. 111 del 19/12/2018 e con successivo contratto n. 91 del 6/6/2019, alla gestione del sistema di videocontrollo del Comune e connesse alla vigilanza urbana. In tale contratto veniva individuata FMI quale “titolare del trattamento per gli ambiti di propria competenza”;

con deliberazione di Giunta Comunale n. 200 del 23/06/2021, la manutenzione degli impianti e delle apparecchiature tecniche dei sistemi di videosorveglianza da realizzarsi nell’ambito del progetto “Città Protetta 2020 – 2° e 3° stralcio”, che include anche l’applicazione “Falco”.

Sebbene la FMI, nell’ambito della fornitura di una pluralità di servizi in favore del Comune, abbia trattato e tratti dati personali per conto e nell’interesse dello stesso, agendo, pertanto, in qualità di “responsabile del trattamento” (art. 4, par. 1, n. del Regolamento), la FMI ha omesso di stipulare con il Comune un contratto sulla protezione dei dati personali, così come richiesto dall’art. 28 del Regolamento.

A tal riguardo, si osserva che, in data 26 aprile 2022, la stessa FMI aveva chiesto al Comune di “essere inquadrata come responsabile esterno ex art. 28 [del Regolamento], con conseguente necessità di sottoscrivere le apposite nomine” (cfr. la relazione del RPD, all. 5 alla nota prot. n. 0083196/2022). In data 28 aprile 2022, il RPD del Comune e il consulente esterno dello stesso evidenziavano, inoltre, la necessità che “FMI [fosse] inquadrata come responsabile esterno del trattamento” (ibidem). Ed ancora, in data 4 maggio 2022, il RPD inviava “una comunicazione al referente FMI, in risposta alla sua richiesta di invio delle nomine ex art. 28, evidenziando che solo a seguito del recepimento del regolamento di [videosorveglianza] […] e di tutti gli atti conseguenti, in particolare disciplinare e dpia, [il Comune avrebbe] potuto procedere con le nomine”. Soltanto in data 31 agosto 2022, la Società ha “ricev[uto] l’Incarico da responsabile del trattamento […] deliberato dal Comune […] il 31 agosto 2022 per tutti i servizi connessi alla videosorveglianza cittadina […]”, fermo restando che “per quanto riguarda lo specifico sistema Falco non si sono registrati ulteriori sviluppi formali in quanto tale applicazione è stata sospesa dall’11/07/2022 […]”.

Risulta, pertanto, accertato che la Società, che in quanto società a completa partecipazione pubblica, affidataria di molteplici servizi da parte del Comune, ha agito e agisce di fatto in qualità di responsabile del trattamento per conto dello stesso, ha omesso di stipulare un accordo sulla protezione dei dati con il Comune, titolare del trattamento, in violazione dell’art. 28, par. 3, del Regolamento, in relazione ai trattamenti di dati personali posti in essere sia mediante il sistema Falco sia mediante il sistema di videosorveglianza comunale e altri dispositivi video.

3.3 La sicurezza del trattamento

L’art. 5, par. 1, lett. f), del Regolamento stabilisce che i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di “integrità e riservatezza”).

In applicazione di tale principio, l’art. 32 del Regolamento, concernente la sicurezza del trattamento, prevede che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2) (cfr. cons. 83 del Regolamento).

Dalla documentazione acquisita agli atti nel separato ma connesso procedimento avviato nei confronti del Comune, risulta che gli operatori della Polizia locale del Comune, “in assenza di credenziali personali per la consultazione delle segnalazioni effettuate dagli utenti, in carenza di specifica disposizione di servizio del Vice Comandante […]”, accedevano ai dati raccolti mediante l’applicazione Falco “utilizzando la password generica fornita da FMI”, non disponendo, pertanto, di specifiche e personali credenziali di autenticazione per accedere al sistema informatico (v. nota della Polizia locale del Comune del 13 luglio 2022, in atti).

Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, che comportava l’acquisizione e la gestione delle segnalazioni effettuate dagli utenti, con raccolta di dati personali, relativi al segnalante, come il numero di telefono e la posizione del dispositivo, si ritiene che le predette modalità di accesso al sistema informatico non risultino adeguate sotto il profilo della sicurezza (cfr. provv. 10 giugno 2021, n. 236, doc. web n. 9685947).

L’utilizzo di utenze non nominali, da parte di più soggetti, impedisce, infatti, di attribuire le azioni compiute in un sistema informatico a un determinato soggetto, con pregiudizio, anche per il titolare e il responsabile del trattamento, che sono di fatto privati della possibilità di controllare l’operato dei soggetti che agiscono sotto la propria autorità.

Inoltre, allorquando un’utenza non nominale, come quella in questione, venga utilizzata da più soggetti, possono determinarsi situazioni in cui non c’è coerenza tra i profili di autorizzazione attribuiti e le effettive esigenze di operatività per la gestione dei sistemi, rendendo così possibile, a un soggetto non autorizzato, di operare, in assenza di una specifica volontà del titolare o del responsabile del trattamento, nell’ambito dei sistemi e servizi di trattamento (v. provv. 4 aprile 2019, n. 83, doc. web n. 9101974; 14 gennaio 2021, n. 4, doc. web n. 9582744).

Peraltro, l’utilizzo di “credenziali di autenticazione in uso esclusivo dei soggetti che operano sotto la sua autorità o quella del responsabile del trattamento” nel regime normativo previgente era espressamente prevista quale misura minima di sicurezza alla cui adozione erano tenuti tutti i titolari di trattamento (ai sensi del disciplinare tecnico di cui all’allegato B al Codice, nel testo anteriore alle modifiche di cui al d.lgs. n. 101/2018), la cui violazione comportava anche l’applicazione di una sanzione penale (cfr. art. 169 del Codice, nel testo anteriore alle modifiche di cui al d.lgs. n. 101/2018).

Non rileva, a tal riguardo, quanto affermato dalla Società nella propria memoria difensiva in relazione alla circostanza che l’applicazione si trovasse in fase di test, atteso che, come è emerso nel separato ma connesso procedimento avviato nei confronti del Comune, l’applicazione “Falco” è stata messa a disposizione nei negozi online “Google Play Store” in data 20 dicembre 2021 e “Apple Store” in data 26 gennaio 2022, essendo stata, pertanto, comunque utilizzabile dagli utenti ai fini della presentazione delle segnalazioni. Né rileva che la Polizia locale del Comune abbia dichiarato di non aver effettivamente dato seguito alle segnalazioni, essendo stati, in ogni caso, li acquisiti e trattati i dati personali degli utenti segnalanti, indipendentemente dalle iniziative assunte dal Comune in merito ai fatti segnalati.

Alla luce delle considerazioni che precedono, considerate le modalità di accesso al sistema informatico di gestione delle segnalazioni, con le caratteristiche sopra descritte, deve concludersi che la Società, agendo in qualità di responsabile del trattamento per conto del Comune (in relazione al quale è stato avviato un separato procedimento), ha violato l’art. 32 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal responsabile del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Società, per aver trattato dati personali in violazione degli artt. 28, par. 3, e 32 del Regolamento.

Ciò premesso, tenuto conto che:

sebbene il Comune e la FMI non avessero stipulato un accordo sulla protezione dei dati, la FMI è una società unipersonale a responsabilità limitata a completa partecipazione pubblica, la cui proprietà è comunque riconducibile ai Comuni appartenenti all'Unione dei Comuni della Romagna forlivese, tra cui il Comune di Forlì; inoltre, le parti avevano comunque sottoscritto un contratto di servizi, essendo stati quantomeno in via generale definiti la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati (cfr. art. 83, par. 2, lett. a), del Regolamento);

il trattamento ha riguardato un numero limitato di interessati rispetto al numero totale di residenti nel Comune (circa 116.726), atteso che, come dichiarato dal Comune nel corso del separato ma connesso procedimento, le segnalazioni ricevute dal momento della prima attivazione in via sperimentale (aprile 2022), comprensive delle numerose prove di test e funzionalità effettuate da FMI in fase di verifica delle varie versioni dell’applicativo, sono n. 568, mentre dalla data della riattivazione (8 giugno 2022) sono state ricevute n. 86 segnalazioni, per un totale complessivo di n. 654 segnalazioni, incluse quelle di solo test (cfr. art. 83, par. 2, lett. a), del Regolamento);

le violazioni hanno natura colposa (cfr. art. 83, par. 2, lett. b), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dalla Società (art. 83, par. 2, lett. e), del Regolamento);

la Società ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

il trattamento non ha riguardato dati personali appartenenti a categorie particolari (v. art. 9 del Regolamento), dovendosi, tuttavia, considerare che i sistemi di videosorveglianza, installati sulla pubblica via per la tutela della sicurezza urbana, possono comportare il trattamento di dati personali relativi a reati di cui all’art. 10 del Regolamento, e che, con riguardo al sistema Falco, non poteva del tutto escludersi, per effetto delle segnalazioni presentate dai cittadini, il trattamento di dati personali relativi a reati di cui all’art. 10 del Regolamento (cfr. art. 83, par. 2, lett. g), del Regolamento),

la Società si era comunque attivata presso il Comune al fine di sollecitare la stipula di un accordo sulla protezione dei dati (art. 83, par. 2, lett. k), del Regolamento);

la violazione che attiene alla sicurezza del trattamento è dipesa anche dal ritardo con cui il Comune ha indicato alla Società i nominativi dei soggetti autorizzati ad accedere al sistema (art. 83, par. 2, lett. k), del Regolamento),

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, e cons. 148 del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire la Società per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che i dispositivi video in questione sono stati disinstallati, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dalla FMI S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Piazza Saffi, 8 – 47121 Forlì (FC), C.F. 03981210408, per violazione degli artt. 28, par. 3, e 32 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la FMI S.r.l., quale responsabile del trattamento in questione, per aver violato gli artt. 28, par. 3, e 32 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei