La privacy nel nuovo decreto autovelox
Premessa
È stato pubblicato in Gazzetta Ufficiale il nuovo decreto 11 aprile 2024 del Ministero delle Infrastrutture e dei Trasporti che uniforma le modalità di collocazione e d’uso dei dispositivi o mezzi tecnici di controllo, finalizzati al rilevamento a distanza delle violazioni dei limiti di velocità massima previsti per la sicurezza della circolazione stradale e per la tutela della vita umana (d’ora in poi “decreto autovelox”).
L'approfondimento
L'allegato B al decreto MIT 11 aprile 2024
Il decreto 11 aprile 2024 del Ministero delle Infrastrutture e dei Trasporti riserva gran parte delle previsioni contenute nell’Allegato B alla riservatezza dei dati personali e, quindi, alla tutela della privacy del proprietario del veicolo o dell’autore della violazione.
Dopo aver stabilito all’art. 5 (Tutela della riservatezza), del decreto, che i dispositivi di controllo utilizzati per l’accertamento dell’eccesso di velocità devono essere impiegati nel rispetto del regolamento (UE) 2016/679 e del decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, all’allegato B del decreto cit., il legislatore introduce una serie di previsioni di dettaglio sulle modalità di trattamento dei dati personali catturati dalle immagini che rilevano infrazioni riguardanti il superamento dei limiti di velocità.
L’amministrazione pubblica, da cui dipende l’organo di polizia stradale, che agisce in qualità di titolare del trattamento, deve pertanto adeguarsi alle nuove prescrizioni dettate in materia di privacy che, in concreto, precisi obblighi e divieti che l’organo di polizia stradale dovrà dimostrare di rispettare.
Gli obblighi e divieti previsti dal decreto MIT 11 aprile 2024 si aggiungono a quelli già previsti dal regolamento (UE) 2016/679 e al codice della privacy, quali, a titolo esemplificativo, l’obbligo di tenuta di un registro delle attività di trattamento, l’obbligo di effettuare una preliminare valutazione d’impatto sulla protezione dei dati personali (DPIA) ricorrendo i presupposti di legge, l’obbligo di designare, istruire e formare coloro che avranno accesso ai dati personali e così via.
45 + Domande e risposte
Data la complessità della normativa dettata dal nuovo decreto MIT 11 aprile 2024 sulla riservatezza dei dati personali, si è deciso di strutturare il volume in 45 + FAQ per agevolare gli operatori del settore nell’approfondimento della tematica e nell’individuazione delle migliorie da apportare per essere conformi alle nuove prescrizioni di legge:
- Chi è il titolare del trattamento?
- Quale veste per l’organo di polizia stradale?
- E’ necessario designare con atto formale i soggetti che hanno accesso alle risultanze fotografiche?
- Quali dati personali devono essere oscurati dalla documentazione video-fotografica?
- E’ possibile riprendere le persone che si trovano a bordo del veicolo?
- E’ possibile riprendere l’autore della violazione dei limiti di velocità?
- E’ consentita la registrazione continua delle immagini?
- Per quali finalità possono essere utilizzati i dati personali?
- Per quanto tempo è possibile conservare le immagini?
- E’ possibile inviare la documentazione fotografica al domicilio dell’autore della violazione o dell’intestatario del veicolo?
- E’ necesario fornire un’informativa privacy?
- Quali istituti richiamare per l’accesso alla documentazione fotografica?
- Quali attività possono essere delegate ai responsabili del trattamento dei dati personali?
- Come scegliere i responsabili del trattamento dei dati personali?
- Quali misure di sicurezza sono imposte dal legislatore?
A chi è rivolto
La privacy nel nuovo decreto autovelox è stato scritto per gli organi di polizia stradale che sono tenuti ad applicare il decreto MIT 11 aprile 2024:
- per i corpi di Polizia Locale;
- per i corpi di Polizia Provinciale;
- per il corpo della Guardia di Finanza;
- per l’Arma dei Carabinieri;
- per la Polizia Stradale.
Cheklist adempimenti privacy
Gli organi di polizia stradale, nella loro qualità di titolari del trattamento, sono tenuti a dimostrare di aver correttamente recepito le specifiche dettate dal decreto autovelox in materia protezione dei dati personali delle persone fisiche. In occasione di controlli da parte del Garante per la protezione dei dati personali, avviati su reclamo o d’ufficio, la suddetta dimostrazione presupposto il compimento, da parte degli organi di polizia stradale, delle seguenti attività [**]:
- lo svolgimento di una preliminare valutazione d’impatto della protezione dei dati personali (DPIA) (v. FAQ 47);
- la produzione dell’atto di nomina dei soggetti incaricati al trattamento dei dati personali (v. FAQ 3);
- la formazione e l’istruzione dei soggetti incaricati al trattamento dei dati personali (v. FAQ 4);
- la predisposizione dell’informativa sul trattamento dei dati personali ex art. 13 del Regolamento (UE) 2016/679, da allegare al verbale di accertamento (v. FAQ 18, 19, 20, 21, 22);
- la predisposizione dell’informativa sul trattamento dei dati personali ex art. 14 del Regolamento (UE) 2016/679, da allegare al verbale di accertamento (v. FAQ sopra);
- redazione modello per accesso agli atti ex art. 22 e ss. l. 241/1990 (v. FAQ da 21 a 30);
- predisposizione informativa sul trattamento dei dati personali ex art. 13 del Regolamento (UE) 2016/679, da allegare allo schema di istanza di accesso agli atti ex art. 22 e ss., l. 241/1990;
- redazione modello per accesso ai dati personali ex art. 15 del Regolamento (UE) 2016/679;
- predisposizione informativa sul trattamento dei dati personali ex art. 13 del Regolamento (UE) 2016/679, da allegare allo schema di istanza di accesso ai dati personali ex art. 15 del Reg. cit.;
- predisposizione atto di nomina a responsabile del trattamento dei dati personali ex 28, Regolamento (UE) 2016/679;
- [eventuale] predisposizione atto di nomina sub-responsabile del trattamento dei dati personali ex 28, Regolamento (UE) 2016/679 (v. FAQ da 37 a 43);
- regolamento per l’esercizio dei diritti riconosciuti all’interessato dal Regolamento (UE) 2016/679;
- regolamento Data Breach ex art. 33 del Regolamento (UE) 2016/679
- aggiornamento registro dei trattamenti (v. FAQ 44 e ss.).
[**] Le FAQ si riferiscono ai paragrafi del libro “La privacy nel nuovo decreto autovelox“