Garante per la protezione dei dati personali (Garante) har beslutat att utfärda en sanktionsavgift på 32 000 euro mot Provincia Autonoma di Bolzano på grund av överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att provinsen Bolzano redan 2019 installerade ett system bestående av 124 kameror för att kartlägga trafikflöden som underlag för mobilitets- och infrastrukturplanering i ett område skyddat av UNESCO.
Kamerorna registrerade automatiskt bilars registreringsskyltar och samlade samtidigt in olika typer av metadata, bland annat kamerans identifierare, datum, tidpunkt, fordonstyp, nationalitet, eventuell KEMLER-identifiering (för farligt gods) och hastighet vid passage. Själva registreringsnumret pseudonymiserades genom en dubbel process och raderades inom 60 sekunder, medan metauppgifterna sparades i två år.
Det företag som agerade personuppgiftsbiträde och levererade tekniken var den enda aktören med tillgång till rådata och den algoritm som användes. Provinsen Bolzano kunde endast ta del av aggregerade uppgifter. På denna grund ansåg provinsen att den pseudonymisering som genomförts innebar att materialet inte längre utgjorde personuppgifter.
Garante uppmärksammade situationen genom mediarapportering och inledde därefter en egen utredning. Myndigheten fastslog att registreringsskyltar i sig är personuppgifter, även när de pseudonymiserats, eftersom de fortfarande kan kopplas till en individs fordon via det offentliga fordonsregistret.
Vidare framhöll Garante att pseudonymiserade uppgifter fortfarande klassas som personuppgifter, då de kan knytas till en fysisk person med hjälp av kompletterande information. De lagrade metauppgifterna skulle exempelvis kunna användas för återidentifiering. Att registreringsnumret raderas inom 60 sekunder påverkar inte laglighetsbedömningen, eftersom lagringstiden i sig inte är avgörande. Provinsen Bolzano behandlade därmed personuppgifter genom sitt biträde och omfattades fullt ut av GDPR:s krav.
Garante konstaterade också att provinsen inte kunde påvisa någon giltig rättslig grund för behandlingen. Bolzano hänvisade till artikel 6.1 (c) och (e) GDPR – rättslig förpliktelse och uppgift av allmänt intresse – och menade att behandlingen var nödvändig för att förbättra säkerheten i Dolomiternas bergspass, ett uppdrag tilldelat genom en förvaltningsakt från 2019. Därtill pekade provinsen på sin breda autonomi i frågor som rör landskap och miljö enligt nationell lagstiftning.
Garante fann dock att provinsen inte lagt fram någon tillräckligt specifik nationell rättsakt som kunde utgöra en korrekt rättslig grund, eftersom de hänvisade reglerna inte klargör vilka uppgifter som får behandlas, lagringsperioder, vilka behandlingsåtgärder som är tillåtna eller vilka garantier som krävs för att säkerställa laglighet och korrekthet. Dessutom kunde Bolzano inte visa att de vidtagna åtgärderna uppfyllde kraven på nödvändighet och proportionalitet.
Sammanfattningsvis ansåg Garante att provinsen brutit mot principerna om laglighet, korrekthet och öppenhet enligt artiklarna 5.1 (a), 6.1 (c), 6.1 (e), 6.2 och 6.3 GDPR. Eftersom Bolzano dessutom inte klassificerat uppgifterna som personuppgifter, konstaterades även överträdelser av artiklarna 12.1, 13, 21.4, 26 och 35 GDPR.