Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 45 000 euro mot Modicas kommun för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en medborgare i Modicas kommun klagade till Garante över att ha fått böter för felaktig avfallssortering, baserat på videofilmer som registrerats av bevakningskameror nära soptunnorna.
Garante konstaterade en överträdelse av rätten till information, i betydelsen artikel 12 GDPR och artikel 13 GDPR, eftersom när kamerabevakningssystem används måste de registrerade, förutom att placera varningsskyltar i närheten av det område som övervakas, också få all information enligt artikel 13 GDPR. Sådan information måste vara lättillgänglig för den registrerade. I det aktuella fallet fanns dock skylten på soptunnan, i närheten av andra skyltar, vilket orsakade förvirring och dålig sikt, och därför inte gjorde de berörda personerna medvetna om förekomsten av bevakningssystemet. På skylten nämnde Modicas dessutom endast allmänna säkerhetsskäl som låg till grund för kamerabevakningen.
Garante konstaterade också en överträdelse av principen om uppgiftsminimering, lagringsminimering, ansvarsskyldighet och inbyggt dataskydd och dataskydd som standard, enligt artiklarna 5.1 (c), 5.1 (e), 5.2, 24 och 25 GDPR. Garante uppgav att Modicas måste identifiera lagringsperioderna för bilderna, med hänsyn till syftet med behandlingen. I detta fall använde Modicas kamerorna för två ändamål, förebygga och upptäcka administrativa brott samt förebygga och upptäcka säkerhet i städer. Modicas angav emellertid inte hur länge uppgifterna skulle lagras för det förstnämnda ändamålet utan använde helt enkelt samma lagringstid som för det andra ändamålet, dvs. sju dagar.
Garante konstaterade vidare att artikel 28 GDPR åsidosatts i samband med behandlingen, eftersom Modicas anförtrott uppgiften till bolaget CAT S.r.l. i Ragusa och därefter till bolaget Ermeslink utan att deras roller definierats korrekt genom ett personuppgiftsbiträdesavtal.