Videosorveglianza contro gli abbandoni di rifiuti e i conferimenti indifferenziati al servizio di igiene urbana

Il Garante della privacy sanziona un Comune per illiceità nel trattamento dei dati personali mediante dispositivi di videosorveglianza.
Il Garante per la protezione dei dati personali, con provvedimento 18 luglio 2023 n. 312, ha ordinato ad un Comune, il pagamento della somma di euro 45.000, a titolo di sanzione amministrativa pecuniaria, per non aver fornito agli interessati un’idonea informativa sul trattamento dei dati personali, per aver agito in maniera non conforme ai principi di minimizzazione dei dati, limitazione della conservazione, responsabilizzazione e protezione dei dati fin dalla progettazione e per impostazione definitiva, per non aver tempestivamente definito i rapporti con le imprese incaricate del trattamento dei dati, e per aver provveduto in ritardo alla designazione del Responsabile della Protezione dei dati personali (R.P.D.) e alla pubblicazione dei dati di contatto relativi allo stesso, in violazione degli articoli 5, paragrafo 1, lett. a), c) ed e), e paragrafo 2 (in combinato disposto con l’articolo 24), 12, paragrafo 1, 13, 25, 28 e 37, parr. 1 e 7, del Regolamento (UE) Generale sulla protezione dei dati personali (R.G.P.D.) n. 679/2016.
L’intervento del Garante è stato sollecitato da un cittadino che, con reclamo presentato ai sensi dell’articolo 144 del d.lgs. n. 196/2003 (“Codice Privacy”), ha dichiarato di aver ricevuto alcuni verbali di contestazione della violazione amministrativa di una ordinanza sindacale, per aver conferito erroneamente i rifiuti indifferenziati, “come risulterebbe dalla visione dei filmati registrati mediante dispositivi video posti nei pressi dei cassonetti adibiti alla raccolta dei rifiuti”.
Sulla base dei verbali notificati, il medesimo ha lamentato che gli accertamenti della violazione, attraverso la visione dei filmati, sarebbero avvenuti più di un mese dopo la data in cui gli stessi filmati sono stati registrati.
Il cittadino ha, altresì, lamentato l’assenza di un’idonea informativa sul trattamento dei dati personali, essendo stato apposto un cartello informativo direttamente sul cassonetto, non facilmente visibile e privo dell’indicazione del titolare del trattamento e delle finalità perseguite.

La videosorveglianza in ambito pubblico a tutela dell’ambiente
Il trattamento di dati personali mediante sistemi di videosorveglianza (fissi o mobili) da parte di soggetti pubblici è generalmente ammesso se è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito lo stesso. In tale quadro, la gestione dei rifiuti rientra tra le attività istituzionali affidate agli enti locali.
Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati di cui all’articolo 5 del Regolamento, fra i quali quello di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento), in base al quale il titolare del trattamento deve adottare misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
I Comuni - nel caso dell’accertamento degli illeciti amministrativi in materia di abbandoni e depositi incontrollati di rifiuti (sanzionati ai sensi dell’art. 255 del d.lgs. 3 aprile 2006, n. 152 o dalle ordinanze sindacali sulla gestione e il conferimento dei rifiuti urbani) - sono tenuti, in qualità di titolari del trattamento, in conformità al principio di responsabilizzazione (artt. 5, paragrafo 2, e 24 del Regolamento), a valutare se, tenuto conto dello specifico contesto locale, il trattamento di dati personali mediante dispositivi video, ai fini dell’accertamento di tali violazioni, sia effettivamente necessario e proporzionato (FAQ del Garante in materia di videosorveglianza del 3 dicembre 2020; in particolare FAQ n. 13, ove si chiarisce che il ricorso alla videosorveglianza ai fini, in senso lato, della tutela ambientale è ammesso “solo se non risulta possibile, o si riveli non efficace, il ricorso a strumenti e sistemi di controllo alternativi e comunque nel rispetto del principio di minimizzazione dei dati”, di cui all’articolo 5, par. 1, lett. c) del Regolamento).

L’informativa di primo e di secondo livello sul trattamento dei dati personali
Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del Regolamento” ed “essere facilmente accessibili per l’interessato” (Linee guida del Comitato europeo per la protezione dei dati personali n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, in particolare par. 7; Provvedimento in materia di videosorveglianza del Garante dell’8 aprile 2010, in particolare par. 3.1; FAQ n. 4 del Garante in materia di videosorveglianza).
Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (“Linee guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, par. 114).
La segnaletica di avvertimento di primo livello deve, inoltre, contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.
Inoltre, le informazioni di primo livello dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata. Non è necessario rivelare l’ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza.
Nel caso di specie, il Comune sanzionato dal Garante, nel periodo in cui sono stati emessi i verbali di accertamento oggetto di segnalazione, ha utilizzato un cartello informativo che non era pienamente conforme alla normativa in materia di protezione dei dati personali. 
Esso, oltre a menzionare generiche “ragioni di sicurezza” sottese alla videosorveglianza, non indicava, infatti, le modalità con le quali gli interessati (ovvero non solo i soggetti ai quali viene contestata una violazione amministrativa, ma tutte le persone fisiche che entrano nel raggio di azione delle telecamere) potevano ricevere un’informativa completa sul trattamento di secondo livello. 
Né il Comune, in quel periodo, aveva provveduto a redigere tale informativa completa e portare la stessa a conoscenza degli interessati, ad esempio mediante pubblicazione sul proprio sito web istituzionale. 
Peraltro, all’esito dell’istruttoria, è emerso che sul sito istituzionale del Comune risultava rinvenibile un’informativa, relativa al settore “XII-ecologia”, nella quale, con riguardo alla base giuridica del trattamento, si affermava che “il trattamento dei dati personali svolto mediante l’utilizzo dei sistemi di videosorveglianza ha l’intento di perseguire un legittimo interesse del Titolare atto a garantire la pubblica sicurezza e l’interesse pubblico, in quanto il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. […] Nella fattispecie il trattamento è effettuato per la tutela dell’igiene pubblica e dell’incolumità pubblica”; “il […] trattamento [delle immagini] risponde all’esigenza del perseguimento dell’interesse della tutela delle persone e dei beni rispetto agli atti illeciti (aggressioni, furti e rapine) e di raccolta dei mezzi di prova”.
Anche questa informativa, pertanto, era inadeguata, non facendo riferimento alla finalità perseguita nel caso in esame, di competenza del Comune, riguardante l’accertamento di condotte sanzionate in via amministrativa (cfr. artt. 192, “divieto di abbandono”, e 255 “abbandono di rifiuti”, del d.lgs. 3 aprile 2006, n. 152; art. 13, l. 24 novembre 1981, n. 689) e che va distinta dai diversi ambiti di “pubblica sicurezza” e “incolumità pubblica”.
Inoltre, il cartello semplificato, utilizzato dal Comune, era affisso direttamente sul cassonetto, anche in prossimità di altri cartelli, generando così confusione e scarsa visibilità dello stesso e, pertanto, non consentendo ai soggetti interessati di avere contezza della presenza del sistema di videosorveglianza prima di entrare nel raggio di ripresa dello stesso. A tal riguardo, l’affermazione del Comune in merito alla circostanza che “i cartelli informativi che risultavano esposti sui luoghi delle accertate violazioni non erano solo quelli applicati sui cassonetti predisposti per la raccolta dei rifiuti […] ma anche quelli collocati in modo autonomo e indipendente su paletti limitrofi alle zone interessate”, non trovava riscontro nella documentazione in atti, non avendo il Comune prodotto alcun elemento a supporto di tale dichiarazione.
Ancora, per il periodo di novembre-luglio 2019, il tempo di conservazione delle immagini era stato incrementato da sette a quindici giorni, non essendo stati, tuttavia, gli interessati informati di tale circostanza. Sul punto è stato, infatti, dichiarato che “le modalità di conservazioni e le finalità […] indicate non davano contezza né della proroga temporaneamente disposta, né delle nuove finalità sottese alla proroga medesima”.
Da ultimo, per quanto concerne il cartello utilizzato dal Comune, veniva, altresì, dichiarata l’esistenza di un meccanismo automatico di cancellazione dei dati che, sulla base della documentazione in atti, non risultava essere stato effettivamente adottato dal Comune. 
Quanto all’indicazione delle modalità con le quali gli interessati potevano reperire un’informativa completa sul trattamento dei dati personali, veniva menzionata esclusivamente la possibilità di recarsi fisicamente presso un “desk di informazione” presso la sede del Comune, con ciò essendo stata di fatto ostacolata la possibilità per gli stessi di acquisire in maniera agevole le informazioni complete sul trattamento di dati personali in questione.
Alla luce delle argomentazioni di cui sopra, secondo il Garante, il Comune poi sanzionato ha effettuato un trattamento di dati personali mediante dispositivi video, in maniera non conforme al principio di “liceità, correttezza e trasparenza” di cui all’articolo 5, paragrafo 1, lett. a) e in violazione degli obblighi informativi di cui agli articoli 12 e 13 del Regolamento.

I principi di minimizzazione, limitazione della conservazione, responsabilizzazione e protezione dei dati fin dalla progettazione (“data protection by design”) e per impostazione predefinita (“data protection by default”)
Ai sensi dell’articolo 5, par. 1, lett. c) ed e), del Regolamento, i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” («minimizzazione dei dati») e “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” («limitazione della conservazione»).
In base al principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche; ciò salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati (FAQ n. 5 del Garante in materia di videosorveglianza). 
Nella maggior parte dei casi “tenendo conto dei principi di cui all’articolo 5, par. 1, lettere c) ed e), del R.G.P.D., vale a dire la minimizzazione dei dati e la limitazione della loro conservazione, i dati personali dovrebbero essere […] cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione” (par. 8, punto 121, delle Linee guida del Comitato europeo per la protezione dei dati.; FAQ n. 5 del Garante, cit.).
In conformità al principio di protezione dei dati per impostazione predefinita (“data protection by default”), ai sensi dell’articolo 25, par. 2, del Regolamento, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire che le immagini riprese dai dispositivi video siano trattate, per impostazione predefinita, soltanto per il tempo di conservazione da esso previamente definito.
Ciò premesso, all’esito dell’istruttoria, è emerso che il sistema di videosorveglianza in questione non è stato installato al solo scopo di prevenire ed accertare illeciti c.d. amministrativi da parte dei cittadini, ma anche per finalità di c.d. sicurezza urbana, ovvero per ragioni di prevenzione e di dissuasione di illeciti (atti vandalici, furti, etc.). 
Proprio a seguito di alcuni atti vandalici, il Comune, nel periodo marzo-novembre 2019, aveva incrementato il periodo di conservazione delle immagini riprese dal sistema di videosorveglianza da sette a quindici giorni, in violazione dell’articolo 6, comma 8, del d.l. 23 febbraio 2009, n. 11, ai sensi del quale “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l'uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”.
A tal riguardo, il richiamo da parte del Comune all’articolo 6, comma 8, del d.l. 23 febbraio 2009, n. 11, ai fini della definizione dei tempi di conservazione dei filmati acquisiti mediante i dispositivi video, non è risultato del tutto coerente, atteso che, nel contesto in questione, il Comune non perseguiva finalità connesse alla c.d. sicurezza urbana, che è disciplinata da uno specifico quadro normativo di settore (art. 5, comma 2, lett. a), del d.l. 20 febbraio 2017, n. 14, ai sensi del quale i Comuni possono istallare sistemi di videosorveglianza per perseguire obiettivi di “prevenzione e contrasto dei fenomeni di criminalità diffusa e predatoria”, previa stipula di un patto per l’attuazione della sicurezza urbana con la Prefettura territorialmente competente).
Peraltro, dal verificarsi di “fatti delittuosi [tra cui] un grave atto intimidatorio”, consistente nell’incendio di un’autovettura del “Settore Ecologia e Ambiente” del Comune, non poteva comunque di per sé derivare una speciale esigenza di prolungare il termine di sette giorni previsto dal d.l. 23 febbraio 2009, n. 11, atteso che in relazione ad eventuali conseguenze derivanti da condotte della stessa natura, in quanto immediatamente o tempestivamente riscontrabili, il termine di sette giorni previsto dalla legge è certamente congruo al fine di poter appurare eventuali responsabilità e acquisire agli atti di tale specifico procedimento le immagini necessarie, per le finalità di indagine, a cura dei competenti organi investigativi.
Atteso che il predetto termine di sette giorni, definito dal d.l. 23 febbraio 2009, n. 11, non poteva applicarsi nel caso di specie, il Comune, nel rispetto dei principi di responsabilizzazione, limitazione della conservazione e protezione dei dati per impostazione predefinita, avrebbe dovuto definire il termine massimo di conservazione delle immagini raccolte mediante i dispositivi video ai fini dell’accertamento delle violazioni amministrative in materia ambientale, motivando adeguatamente le scelte effettuate.
Peraltro, dal reclamo del cittadino, è emerso che le violazioni amministrative erano state accertate oltre un mese dopo la data in cui le immagini erano state registrate, avendo, pertanto, il Comune comunque conservato dette immagine ben oltre il predetto termine di sette giorni. 
Alla luce di quanto sopra, il Garante ha ritenuto conclamata la violazione dei principi di “minimizzazione”, “limitazione della conservazione” (articolo 5, paragrafo 1, lettere c) ed e)), “responsabilizzazione” (art. 5, par. 2, del Regolamento, in combinato disposto con l’art 24 del Regolamento) e di protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 2.5 del Regolamento).

I rapporti con i responsabili del trattamento
Ai sensi dell’articolo 28, par. 3, del Regolamento, “i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”, e che preveda tutti gli impegni previsti dal medesimo articolo 28, paragrafo 3, del Regolamento (cons. n. 81 del Regolamento; provvedimento n. 81 del 7 marzo 2019; provvedimento n. 160 del 17 settembre 2020; provvedimento n. 294 del 22 luglio 2021; provvedimento n. 351 del 29 settembre 2021; provvedimento n. 270 del 21 luglio 2022).
Ciò premesso, all’esito dell’istruttoria, è emerso che il Comune ha affidato l’incarico alla ditta “XXX” e, successivamente, all’impresa individuale “YYY”, avente ad oggetto specifiche operazioni di trattamento di dati personali, quali il prelievo e l’analisi dei filmati relativi alle violazioni ambientali, sia di carattere amministrativo che penale, nominando a tal fine ausiliari di Polizia Giudiziaria i titolari delle predette ditte incaricate.
Nel caso di specie, la ditta “XXX” ha partecipato al trattamento in esame dal 8 agosto 2017 e fino al mese di dicembre 2019, senza che il suo ruolo fosse definito ai fini della normativa sulla protezione dei dati. Nei confronti della ditta “YYY”, invece, è intervenuto un tardivo atto di nomina a responsabile della protezione dei dati ai sensi dell’art. 28 del Regolamento.
Né rileva che alle predette aziende fossero state attribuite e funzioni di “polizia giudiziaria”, tenuto conto che gli atti adottati a tal fine dal Comune non possono considerarsi “accordi” sulla protezione dei dati stipulati tra titolare e responsabile del trattamento, difettando degli elementi inderogabilmente previsti dall’art. 28 del Regolamento. 
Alla luce delle considerazioni che precedono, le predette società hanno partecipato al trattamento dei dati in esame senza che il loro ruolo, prima dell’inizio del trattamento, fosse correttamente definito dal Comune mediante la stipula di un accordo sulla protezione dei dati, con conseguente violazione da parte del Comune dell’articolo 28 del Regolamento. 

Designazione del Responsabile della protezione dei dati personali e pubblicazione dei dati di contatto
Ai sensi dell’articolo 37, paragrafi 1 e 7, del Regolamento, “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico […]”, e “il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo”.
Nel corso dell’istruttoria il Comune ha dichiarato di aver designato il Responsabile della protezione dei dati (R.P.D.) in una data successiva alla data in cui il Regolamento è diventato efficace (25 maggio 2018), attribuendo il ritardo all’emergenza epidemiologica da SARS-CoV-2 e alla circostanza che la determina con cui è stata approvata la gara per l’affidamento dell’incarico è stata adottata già il 13 agosto 2019 ma “che ben due gare sono risultate senza esito per carenza dei requisiti in capo ai partecipanti”.
Al riguardo, il Garante ha rilevato che la data in cui il Regolamento è divenuto efficace precedeva la pandemia da SARS-CoV-2 e che, in attesa della conclusione della procedura di affidamento dell’incarico di R.P.D. il titolare era comunque tenuto a designare, anche temporaneamente, un R.P.D., eventualmente anche tra il personale interno (cfr. anche il documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico, allegato al provvedimento del 29 aprile 2021, n. 186).
È risultato, altresì, accertato che il Comune ha pubblicato i dati di contatto del R.P.D. sul proprio sito web istituzionale circa un mese dopo la data della designazione dello stesso.
Alla luce delle considerazioni che precedono, secondo il Garante, il Comune sanzionato ha agito in violazione dell’articolo 37, paragrafi 1 e 7, del Regolamento.

Il provvedimento sanzionatorio irrogato dal Garante della privacy
Il Garante, ai sensi ai sensi degli articoli 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’articolo 166 del Codice della privacy, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (articolo 16, comma 1, del Regolamento del Garante n. 1/2019).
A fronte della illiceità del trattamento di dati personali effettuato dal Comune - per non aver fornito agli interessati un’idonea informativa sul trattamento dei dati personali, per aver agito in maniera non conforme ai principi di minimizzazione dei dati, limitazione della conservazione, responsabilizzazione e protezione dei dati fin dalla progettazione e per impostazione definitiva, per non aver tempestivamente definito i rapporti con le ditte “XXX” (a partire dalla data ….) e, successivamente, con l’impresa individuale “YYY”, quali responsabili del trattamento, e per aver provveduto in ritardo alla designazione del R.P.D. e alla pubblicazione dei dati di contatto relativi allo stesso, in violazione degli articoli 5, paragrafo 1, lett. a), c) ed e), e paragrafo 2 (in combinato disposto con l’articolo 24), 12, paragrafo 1, 13, 25, 28 e 37, paragrafi 1 e 7, del Regolamento - il Garante ha ingiunto al medesimo Comune di pagare la somma di euro 45.000 (quarantacinquemila), entro 30 giorni dalla notificazione del provvedimento, pena l’adozione dei conseguenti atti esecutivi, a norma dall’articolo 27 della legge n. 689/1981.
L’ammontare della sanzione amministrativa pecuniaria è stato fortemente mitigato, in ragione del comportamento non doloso della violazione e della collaborazione con l’Autorità, da parte del Comune, nel corso dell’istruttoria. Non sono risultate, inoltre, precedenti violazioni pertinenti commesse o precedenti provvedimenti di cui all’articolo 58 del Regolamento.
Tenuto conto, però, che l’utilizzo dei dispositivi video in questione ha interessato luoghi pubblici, concretizzando un trattamento di dati personali che “consente [di rilevare] la presenza e il comportamento delle persone nello spazio considerato” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, paragrafo 2.1, cit.), senza che i soggetti ripresi fossero stati pienamente informati del trattamento di dati personali posto in essere, si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’articolo 166, comma 7, del Codice e articolo 16 del Regolamento del Garante n. 1/2019.
Non essendo state formalmente individuate come responsabili del trattamento e non essendo stati indicati specifici presupposti che abbiano legittimato il trattamento dei dati personali, con due distinti provvedimenti, le due imprese, la “XXX” e l’impresa individuale “YYY”, sono state a loro volta sanzionate, poiché il trattamento è stato effettuato in assenza delle condizioni di liceità e quindi in violazione degli articoli 5, paragrafo 1, lett. a) e 6 del Regolamento (in combinato disposto con l’articolo 2 ter del Codice), come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie (cfr. provvedimento n. 161 del 17 settembre 2020, doc. web. 9461321; provvedimento n. 281 del 17 dicembre 2020, doc. web 9525315; provvedimento n. 292 del 22 luglio 2021, doc. web. 9698558; provvedimento n. 269 del 21 luglio 2022, doc. web. 9813326; provvedimento n. 293 del 22 luglio 2021, doc. web. 9698597; provvedimento n. 269 del 21 luglio 2022, doc. web. 9813326; provvedimento n. 293 del 22 luglio 2021, doc. web. 9698597; Linee guida “sui concetti di titolare e responsabile del trattamento nel GDPR” n. 07/2020, in particolare nota 35).

Articolo di Gaetano Alborino