Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 7 000 euro mot Comune di Treviso för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inledde en utredning på eget initiativ efter att ha fått kännedom via sociala medier om att Comune di Treviso infört en ny app som gör det möjligt för medborgarna att anmäla brott. Enligt Comune di Treviso skulle denna app hjälpa till med att upptäcka de delar av staden där flest brott begås och att den därför skulle anses uppfylla kommunens uppgifter att förebygga och utreda brott.
Inledningsvis påpekade Garante att Comune di Treviso i allmänhet inte har uppgiften att förebygga och utreda brott. Denna rätt kan endast föreligga om uppgifterna de delegeras av de statliga myndigheterna. Eftersom detta inte var fallet ansåg Garante att Comune di Treviso samlat in dessa uppgifter utan rättslig grund och konstaterade därför en överträdelse av principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR och kravet på rättslig grund enligt artikel 6.1 GDPR.
Vidare noterade Garante att Comune di Treviso inte själva utvecklat appen, utan istället la ut utvecklingen och förvaltningen av appen på ett externt företag. Garante noterade också att Comune di Treviso identifierats som personuppgiftsbiträde, medan det externa företaget hade identifierats som personuppgiftsansvarig. Garante ansåg dock att denna identifiering var felaktig, eftersom den som fastställde ändamålen och medlen för behandlingen faktiskt var kommunen. Garante påpekade dessutom att Comune di Treviso inte ingått ett personuppgiftsbiträdesavtal med kommunen. Därför konstaterades en överträdelse av artikel 28.3 GDPR.
Garante konstaterade även att integritetspolicyn inte var förenlig med artikel 13 GDPR, eftersom den innehöll otillräcklig och felaktig information. Det angavs exempelvis att Comune di Treviso var personuppgiftsbiträde, det saknades kontaktuppgifter till dataskyddsombudet och den registrerade informerades inte om sin rätt att lämna in ett klagomål till Garante.
Därutöver konstaterade Garante att Comune di Treviso gjorde appen tillgänglig för alla registrerade utan någon föregående intern handling som reglerade den aktuella behandlingen. Enligt Garante innebär detta att Comune di Treviso inte, före behandlingen, vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa efterlevnad av GDPR. Garante konstaterade därför en överträdelse av kravet på inbyggt dataskydd (Privacy by Design) enligt artikel 25.(1) i GDPR. Comune di Treviso hade inte heller vidtagit lämpliga åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas som standard. Därmed konstaterades även en överträdelse av kravet på dataskydd som standard (Privacy by Default) enligt artikel 25.2 GDPR.
Slutligen konstaterade Garante att Comune di Treviso inte kunde bevisa att kommunen följde principerna för dataskydd. Därför konstaterades en överträdelse av principen om ansvarsskyldighet enligt artiklarna 5.2 och 24.1 GDPR.