Le Garant pour la protection des données personnelles (« le Garant »), par une ordonnance d’injonction
du 28 avril 2022 a infligé à une société chargée de gérer le service de collecte des déchets
urbains pour la Commune de Taranto (« la Commune ») une sanction de 200 000 euros, pour avoir confié à un de ses
sous-traitants certains traitements de données personnelles sans avoir demandé ni obtenu
préalablement une autorisation écrite, spécifique ou générale, de la part de la Commune, responsable du
traitement.
En l’espèce, la Commune, suite à l’abandon diffus des déchets sur le territoire
relevant de sa compétence, avait conféré à une société – entièrement détenue par la Commune – des fonctions
de contrôle et de contestation immédiate d’éventuelles infractions dérivant de la violation des
règles municipales en matière d’élimination des déchets. La Commune et la société avaient décidé d’un commun accord
d’installer des systèmes de vidéosurveillance sur les sites considérés
comme particulièrement sensibles, s’agissant de lieux où l’abandon illégal des déchets survenait
le plus fréquemment.
D’après un signalement parvenu au Garant, il ressortait que la société avait diffusé, par
publication sur sa page Facebook, certaines vidéos et images, obtenues au moyen des
systèmes de vidéosurveillance, sur lesquelles étaient identifiés, ou pour le moins identifiables, les citoyens
transgresseurs.
Suite au signalement reçu, le Garant avait ouvert une instruction, de laquelle il ressortait que la société
chargée avait commencé ses activités de traitement en mars 2012, conformément à une ordonnance
municipale sans que, à la lumière de la législation en vigueur, le rapport avec la Commune soit
réglementé. À partir du mois de novembre 2020, elle avait utilisé, pour la collecte des images de vidéosurveillance, les services d’un fournisseur (régulièrement désigné comme sous-traitant pour le traitement des données) sans « l’autorisation écrite, spécifique ou générale, du responsable du traitement (ndr : la Commune) », telle qu’elle est
prévue par l’article 28 du RGPD. C’est seulement en janvier 2022 qu’elle avait signé avec la Commune, conformément à l’art. 28 du RGPD, un « accord pour la protection des données personnelles et la désignation d’un sous-traitant externe pour le traitement ». Et c’est seulement dans cet accord que la Commune avait précisé que « la société, sur autorisation écrite de la Commune, pourrait devoir communiquer ou rendre disponibles les données personnelles dont cette dernière est responsable du traitement à une ou plusieurs tierces parties (sous-traitants) afin de leur confier une partie des activités de traitement ».
Continuez à lire la version intégrale publiée sur Norme & Tributi Plus Diritto de Il Sole 24 Ore.
