Gestire rifiuti urbani senza rispettare la privacy egli utenti può costare 200 mila euro tondi tondi. Tale è la sanzione che ha colpito una società che effettuava raccolta, trasporto e trattamento di rifiuti per conto di un Comune, destinataria di una ordinanza-ingiunzione dell'Autorità Garante per la protezione dei dati personali in seguito all'accertamento di plurime violazioni del regolamento europeo. Il caso. La vicenda, sulla quale l'Autority si è pronunciata con atto 28 aprile 2022, n. 163, è sorta da una segnalazione che lamentava la diffusione, a mezzo di un social network riconducibile alla suddetta società, di immagini che consentivano di identificare indirettamente persone intente ad abbandonare rifiuti. Ma dall'istruttoria che ne è seguita davanti al Garante sono emerse irregolarità ad ampio raggio sul fronte della privacy, tali da fare della suddetta ordinanza un piccolo vademecum per gli operatori del settore. Nei mirino del Garante sono infatti finiti anche i rapporti tra la società in parola e le altre entità che le gravitavano intorno, ossia da un lato il Comune che la controllava integralmente (per lo svolgimento "in house" sia dei suddetti servizi di igiene urbana che per l'accertamento e la contestazione dei connessi illeciti amministrativi) e dall'altro un'ulteriore società che alla prima forniva il sistema di videosorveglianza per la documentazione delle violazioni ambientali. Il rapporto tra titolare e responsabili trattamento dati. La relazione tra il Comune e sua società in house è inquadrata dall'Autority come rapporto tra il titolare del trattamento dei dati degli utenti del servizio rifiuti (ossia colui che decide perché e come gestire le informazioni personali) ed il responsabile del trattamento (ossia colui che di fatto esegue la gestione per conto del titolare). Tale rapporto, evidenzia l'ordinanza del Garante, deve ai sensi dell'articolo 28 del regolamento madre 2016/679/Ue (c.d. "Gdpr" General Data Protection Regulation) essere preventivamente formalizzato in un contratto o altro atto giuridico avente forma scritta. E in difetto di tale formalizzazione, come riscontrato nel caso di specie, il soggetto che si qualifica come responsabile del trattamento (ossia la società in house) di fatto non è autorizzato a gestire i dati personali. Analoga irregolarità, emerge dall'ordinanza, ha interessato il rapporto tra la società in house e l'ulteriore struttura di cui questa si avvaleva per i sistemi di videosorveglianza, da inquadrarsi come relazione tra responsabile del trattamento dei dati e "sub-responsabile" (esterno) del trattamento stesso. Sempre ai sensi del citato articolo 28 del regolamento Gdpr, tale relazione, ricorda il Garante, deve essere a monte autorizzata dal titolare del trattamento dati ed a valle tempestivamente formalizzata con un atto tra responsabile e sub-responsabile. Condizioni anche queste che nel caso di specie non sono state soddisfatte. La nomina del responsabile protezione dati ("Rpd"). Altra carenza rilevata dal Garante è la mancata designazione da parte della società in house di un Responsabile della protezione dei dati (c.d. "Rpd"), quale esperto previsto dal regolamento Ue europeo che nei _ casi più complessi deve affiancare le altre figure per garantire il rispetto della relativa disciplina. In base all'articolo 37 del regolamento, titolare e responsabile del trattamento devono infatti designare sistematicamente un responsabile della protezione dei dati qualora ricorra una delle seguenti condizioni: il trattamento è effettuato _ da un'autorità pubblica; le attività principali richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. E a conferma della necessità di tale nomina nel caso in questione l'Autoriy richiama il "Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (Rpd) in ambito pubblico" allegato al proprio provvedimento 186/2021, il quale chiarisce due punti: che il trattamento dei dati effettuato dai soggetti privati i quali esercitano funzioni pubbliche è assimilabile a quello effettuato da soggetti propriamente pubblici; che le condizioni le quali ex regolamento Ue sulla Privacy rendono necessario l'Rpd sono con alta probabilità soddisfatte (per la mole di dati trattati) proprio dalle società concessionarie dei servizi di raccolta rifiuti; e questo a maggior ragione, sottolinea con l'ordinanza 2022 l'Autority, se l'attività è svolta anche mediante il ricorso ad un sistema di videosorveglianza. La diffusione di immagini sull'abbandono di rifiuti. L'Autority condanna la diffusione online delle immagini acquisite dai sistemi di videosorveglianza, installati in siti ad alta frequenza di abbandono di rifiuti. Come accennato, le immagini erano state registrate su iniziativa della società in house con la finalità di individuare e sanzionare comportamenti illegali, ma erano poi state dalla stessa società diffuse tramite proprio social network a scopo dissuasivo. A far scattare l'illecito, si evince dall'ordinanza del Garante, è la caratteristica intrinseca delle immagini diffuse, le quali rendevano identificabili le persone registrate dalle telecamere. Costituiscono infatti giuridicamente dei "dati personali" protetti dalla disciplina sono privacy, infatti, sia le immagini che consentono la diretta individuazione di persone (perché, ad esempio, ne mostrano il volto) sia quelle che ne possono svelare indirettamente l'identità tramite correlazioni o deduzioni mostrando alcuni elementi di contesto, come l'abbigliamento o il modello di automobile. Nel caso di specie la diffusione delle immagini in questione costituisce per l'Autority un trattamento illegittimo sotto due profili. In primo luogo perché è stato violato il "principio di liceità" stabilito dal combinato disposto degli articoli 5 e 6 del regolamento Ue, in base ai quali il trattamento dei dati personali avrebbe potuto essere legittimo solo qualora: 1) fosse stato necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; 2) e che tale necessità fosse stata formalizzata in un preventivo atto giuridico (come una legge o un regolamento). Condizioni, queste, che nel caso di specie non sono state soddisfatte. In secondo luogo, la diffusione delle immagini viola per l'Autority anche il principio della "limitazione della finalità di utilizzo" ex articolo 5 dello stesso regolamento. In base a tale principio i dati devono infatti essere "raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità". Nel caso di specie, invece, la raccolta delle immagini era finalizzata alla costituzione di mezzi di prova per l'accertamento e la contestazione degli illeciti in tema di rifiuti, e non sono stati dimostrati elementi di compatibilità con l'ulteriore trattamento consistente nella loro pubblicazione su un social network per le finalità dissuasive. Da ultimo, e al netto delle violazioni contestate, l'Autority appare in chiusura dell'ordinanza 2022 ricordare come, data la capacità dei social network di provocare lesioni importanti della privacy della persona, anche campagne dimostrative ed educative che siano legittimate da una base giuridica dovrebbero essere condotte ricorrendo esclusivamente a strumenti di comunicazione istituzioni a ciò preposti. R,prochs.orze nseructta-b Gestione "in house" di rifiuti e privacy Rapporto tra Comune e sua società in house che tratta dati personali degli utenti Relazione tra società in house ed eventuale altra società che fornisce servizi sui dati Responsabile della protezione dei dati ("Rpd") Diffusione di immagini sull'abbandono di rifiuti Le regole sul trattamento dati devono essere preventivamente formalizzate in un contratto o altro atto giuridico avente forma scritta Il rapporto deve essere autorizzato dal titolare del trattamento dati e formalizzato con atto tra responsabile e sub-responsabile Ai sensi del regolamento Ue sulla privacy e del provvedimento 186/2021 del Garante nazionale, deve essere obbligatoriamente nominato Legittima solo se, al contempo: è effettuata in esercizio di servizio pubblico; è prevista da legge o regolamento; è compatibile con finalità primaria della raccolta dati; avviene tramite canali istituzionali La relazione tra Comune e società in house è inquadrata come rapporto tra titolare del trattamento dei dati degli utenti (chi decide perché e come gestire i dati) e il responsabile del trattamento (chi esegue la gestione) Sono dati personali, protetti dalla disciplina privacy, sia le inunagini che consentono la diretta individuazione di persone, sia quelle che ne possono svelare l'identità con elementi di contesto, come l'abbigliamento o l'automobile.