Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt Amiu s.p.a med 200 000 euro för överträdelse av artiklarna 5.1 (b), 6, 28 och 37 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Amiu sköter den kommunala avfallsinsamlingen för den italienska kommunen Taranto och är helägt av kommunen. För att motverka olaglig avfallshantering på offentliga platser installerade Amiu med kommunens tillstånd bevakningskameror på utvalda platser. En del av inspelningarna publicerades senare av Amiu på Facebook. Enligt Amiu var syftet med publiceringen att utöka kamerabevakningens mediala genomslagskraft och på så sätt öka dess avskräckande effekt. Amiu har vidare uppgett att bilderna och inspelningarna redigerades på ett sådant sätt att det inte var möjligt att direkt eller indirekt identifiera personer. I vissa fall var dock personerna ändå igenkännbara, vilket enligt Amiu skett till följd av ett mänskligt fel då den anställde som ansvarade för att anonymisera inspelningarna varit ouppmärksam.
Garnate konstaterade att publiceringen på Facebook strider mot principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR då syftet med inspelningarna uteslutande varit att få fram fällande domar mot olaglig avfallshantering. Den ytterligare behandling som Amiu utfört och som bland annat syftade till att främja övervakningens avskräckande effekt omfattas inte av detta ändamål. Amiu har därmed enligt Garante inte haft en rättslig grund enligt artikel 6 GDPR för publiceringen på Facebook.
Garante konstaterade också att Amiu inte utsett något dataskyddsombud enligt artikel 37 GDPR och att företaget, i strid kraven på personuppgiftsbiträden enligt artikel 28 GPDR, anlitat ITS s.r.l. som underleverantör utan kommunens tillstånd.