Sulla videosorveglianza urbana i comuni devono fare un passo indietro, organizzando meglio i sistemi e le finalità del trattamento senza interferire di propria iniziativa sulla sicurezza pubblica.

Lo ha evidenziato il Garante per la protezione dei dati personali con il parere inviato a Imola il 18 luglio 2025.

Nessuna sanzione è stata irrogata, ma l’Autorità ha ritenuto necessario sollecitare l’ente a rafforzare il rispetto dei principi di liceità, trasparenza e minimizzazione, specie in relazione ai dispositivi per la lettura delle targhe.

L’istruttoria nasce da un reclamo per mancato riscontro a una richiesta di accesso ai dati.

L’ente ha reagito prontamente, documentando l’attività svolta, aggiornando informative e regolamenti, perfezionando la DPIA e chiarendo l’utilizzo differenziato dei device.

Tuttavia il Garante ha evidenziato alcuni limiti strutturali che interessano molti enti locali.

La questione centrale resta quella delle finalità del trattamento.

Troppi Comuni adottano un approccio cumulativo, sommando intenti eterogenei sotto l’etichetta generica della videosorveglianza.

Il provvedimento chiarisce che i sistemi di ripresa sulla pubblica via devono rispondere a finalità omogenee e giuridicamente fondate, riconducibili prevalentemente al:

• dl 14/2017 (sicurezza urbana)

• codice della strada

• tutela ambientale

Diversamente, si rischia di eccedere i limiti di legge.

Particolare attenzione è richiesta per i sistemi di lettura automatica delle targhe.

L’uso per finalità di sicurezza è subordinato alla previsione nei patti con la Prefettura.

In mancanza, l’impiego è legittimo solo per la sicurezza stradale.

In attesa di una indicazione centrale che coordini fonti e responsabilità, la via più prudente per i Comuni è la semplificazione regolatoria:

limitare le finalità dichiarate alle attività strettamente giustificate, con cartellonistica chiara e informative coerenti.

La semplificazione rappresenta un passo avanti nella gestione consapevole delle tecnologie pubbliche.

Il fotogramma delle infrazioni stradali deve sempre essere discreto e il sistema di rilevamento delle infrazioni segnalato. Diversamente il comune passa da controllore a controllato. È quanto emerge dal provvedimento n. 244 del 29 aprile 2025 adottato dal Garante della privacy.

L’istruttoria è scaturita dal reclamo di un cittadino multato per mancata revisione del veicolo.

Secondo quanto accertato dall’Autorità, le immagini acquisite tramite dispositivi mostravano in modo chiaramente riconoscibile altri soggetti estranei all’accertamento.

Ma non solo. L’ente non aveva predisposto alcun sistema di segnalazione per informare gli interessati dell’attività di ripresa.

Erano assenti sia i cartelli di primo livello sia un’informativa estesa.

Un ulteriore profilo critico ha riguardato la gestione della documentazione visiva: le immagini sono state mostrate al destinatario del verbale senza le dovute cautele, come l’oscuramento dei volti di pedoni o di altri veicoli.

È invece necessario, sottolinea l’Autorità, garantire una visione filtrata delle prove, in modo da non esporre dati personali non pertinenti, anche quando la richiesta di accesso provenga da un soggetto legittimato.

Un progetto milanese di monitoraggio del traffico metropolitano con impiego di telecamere intelligenti ha comportato una pesante sanzione amministrativa per violazioni in materia di privacy.

Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento 10 aprile 2025 n. 10140338.

Il sistema ideato dalla società partecipata del Comune raccoglieva immagini da due telecamere posizionate su strade pubbliche per analizzare in tempo reale flussi di veicoli e pedoni, senza informative e cartelli ad hoc.

Le targhe e i volti venivano offuscati dopo circa 15-20 minuti, ma il Garante ha ribadito che anche una breve conservazione di immagini identificabili costituisce trattamento di dati personali.

Non è ammissibile, ha precisato l’Autorità, sostenere che le immagini non vengono trattate solo perché convertite in statistiche da algoritmi automatici.

Anche i video offuscati devono essere considerati dati personali, poiché gli individui ripresi possono essere identificati tramite altri elementi come abbigliamento, posizione o contesto ambientale.

Il Comune di Milano, che non aveva approvato né partecipato formalmente al progetto, è stato escluso da ogni responsabilità.

La società partecipata è stata quindi ritenuta titolare autonomo del trattamento.

Ulteriore irregolarità importante:

la valutazione di impatto privacy (DPIA) è stata redatta dal DPO, il Responsabile della Protezione dei Dati, che dovrebbe solo validarla.

Questo comportamento, a parere del Garante, configura un evidente conflitto di interessi in violazione dell’art. 38, par. 6 del GDPR.