Il Garante per la protezione dei dati personali riceve un reclamo (link) con il quale si segnala la richiesta la richiesta di dati eccedenti, da parte di un Comune, rispetto alla finalità asserita del rilascio di un abbonamento per la sosta autorizzata.
Il Comune, richiedeva tali informazioni allo scopo di effettuare una differenziazione per il regime degli abbonamenti, individuando tre diverse tipologie di soggetti che, a vario titolo, possono accedere a condizioni favorevoli di abbonamento rispetto a quelle previste per i turisti, più esose. La prima tipologia riguarda i residenti nel territorio comunale e i residenti nei Comuni limitrofi che possono richiedere l’abbonamento per la sosta a pagamento attraverso l’autocertificazione in applicazione delle disposizioni di cui al DPR 445/2000.
Il Comune, tuttavia, nella sua memoria non ha evidenziato motivazioni idonee a dimostrare l’effettiva necessità di raccogliere tutte le informazioni richieste ai cittadini per regolare il servizio di abbonamento della sosta (a titolo esemplificativo, l’intero contratto individuale dei lavoratori; copia dell’iscrizione alla Camera di Commercio, stato di famiglia completo di tutti i componenti della famiglia anagrafica), limitandosi a ribadire la necessità di acquisire tale documentazione, né risultano adottate misure organizzative volte a garantire il rispetto del predetto principio di minimizzazione (es. istruzioni rivolte ai cittadini sulla necessità di oscurare, nella documentazione da produrre per richiedere l’abbonamento, i dati non necessari).
Dall’esame della questione inoltre emerge sia l’eccedenza dei dati raccolti sia il fatto che la raccolta delle informazioni veniva effettuata dalla società aggiudicataria del servizio in assenza di una formale definizione della Responsabilità del trattamento, senza il rilascio della prescritta informativa agli utenti e senza l’indicazione sui tempi di conservazione dei dati personali
Ai fini del rispetto della normativa in materia di protezione dei dati personali, precisa il Garante, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del Regolamento e artt. 28 e 29 del Codice).
In particolare, il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere anche quando questi siano effettuati da altri soggetti “per suo conto”.
Il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento).
Da quanto emerso nel corso dell’istruttoria, invece, il servizio di gestione della sosta a pagamento è stato affidato mediante “verbale di consegna del Servizio” nominandola formalmente “Responsabile esterno del trattamento” e rinviando alla stipula di un apposito Decreto Sindacale la disciplina del rapporto con la predetta società quale “Responsabile Esterno del Trattamento dei Dati”. Risulta accertato che il decreto sindacale di nomina, contenente le apposite istruzioni al “responsabile del trattamento”, è stato emesso solo sei mesi dopo che la società ha partecipato al trattamento senza che il suo ruolo fosse opportunamente definito dal titolare, in violazione dell’art. 28 del Regolamento.
