Sulla videosorveglianza urbana i comuni devono fare un passo indietro, organizzando meglio i sistemi e le finalità del trattamento senza interferire di propria iniziativa sulla sicurezza pubblica.

Lo ha evidenziato il Garante per la protezione dei dati personali con il parere inviato a Imola il 18 luglio 2025.

Nessuna sanzione è stata irrogata, ma l’Autorità ha ritenuto necessario sollecitare l’ente a rafforzare il rispetto dei principi di liceità, trasparenza e minimizzazione, specie in relazione ai dispositivi per la lettura delle targhe.

L’istruttoria nasce da un reclamo per mancato riscontro a una richiesta di accesso ai dati.

L’ente ha reagito prontamente, documentando l’attività svolta, aggiornando informative e regolamenti, perfezionando la DPIA e chiarendo l’utilizzo differenziato dei device.

Tuttavia il Garante ha evidenziato alcuni limiti strutturali che interessano molti enti locali.

La questione centrale resta quella delle finalità del trattamento.

Troppi Comuni adottano un approccio cumulativo, sommando intenti eterogenei sotto l’etichetta generica della videosorveglianza.

Il provvedimento chiarisce che i sistemi di ripresa sulla pubblica via devono rispondere a finalità omogenee e giuridicamente fondate, riconducibili prevalentemente al:

• dl 14/2017 (sicurezza urbana)

• codice della strada

• tutela ambientale

Diversamente, si rischia di eccedere i limiti di legge.

Particolare attenzione è richiesta per i sistemi di lettura automatica delle targhe.

L’uso per finalità di sicurezza è subordinato alla previsione nei patti con la Prefettura.

In mancanza, l’impiego è legittimo solo per la sicurezza stradale.

In attesa di una indicazione centrale che coordini fonti e responsabilità, la via più prudente per i Comuni è la semplificazione regolatoria:

limitare le finalità dichiarate alle attività strettamente giustificate, con cartellonistica chiara e informative coerenti.

La semplificazione rappresenta un passo avanti nella gestione consapevole delle tecnologie pubbliche.

Il fotogramma delle infrazioni stradali deve sempre essere discreto e il sistema di rilevamento delle infrazioni segnalato. Diversamente il comune passa da controllore a controllato. È quanto emerge dal provvedimento n. 244 del 29 aprile 2025 adottato dal Garante della privacy.

L’istruttoria è scaturita dal reclamo di un cittadino multato per mancata revisione del veicolo.

Secondo quanto accertato dall’Autorità, le immagini acquisite tramite dispositivi mostravano in modo chiaramente riconoscibile altri soggetti estranei all’accertamento.

Ma non solo. L’ente non aveva predisposto alcun sistema di segnalazione per informare gli interessati dell’attività di ripresa.

Erano assenti sia i cartelli di primo livello sia un’informativa estesa.

Un ulteriore profilo critico ha riguardato la gestione della documentazione visiva: le immagini sono state mostrate al destinatario del verbale senza le dovute cautele, come l’oscuramento dei volti di pedoni o di altri veicoli.

È invece necessario, sottolinea l’Autorità, garantire una visione filtrata delle prove, in modo da non esporre dati personali non pertinenti, anche quando la richiesta di accesso provenga da un soggetto legittimato.

Un progetto milanese di monitoraggio del traffico metropolitano con impiego di telecamere intelligenti ha comportato una pesante sanzione amministrativa per violazioni in materia di privacy.

Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento 10 aprile 2025 n. 10140338.

Il sistema ideato dalla società partecipata del Comune raccoglieva immagini da due telecamere posizionate su strade pubbliche per analizzare in tempo reale flussi di veicoli e pedoni, senza informative e cartelli ad hoc.

Le targhe e i volti venivano offuscati dopo circa 15-20 minuti, ma il Garante ha ribadito che anche una breve conservazione di immagini identificabili costituisce trattamento di dati personali.

Non è ammissibile, ha precisato l’Autorità, sostenere che le immagini non vengono trattate solo perché convertite in statistiche da algoritmi automatici.

Anche i video offuscati devono essere considerati dati personali, poiché gli individui ripresi possono essere identificati tramite altri elementi come abbigliamento, posizione o contesto ambientale.

Il Comune di Milano, che non aveva approvato né partecipato formalmente al progetto, è stato escluso da ogni responsabilità.

La società partecipata è stata quindi ritenuta titolare autonomo del trattamento.

Ulteriore irregolarità importante:

la valutazione di impatto privacy (DPIA) è stata redatta dal DPO, il Responsabile della Protezione dei Dati, che dovrebbe solo validarla.

Questo comportamento, a parere del Garante, configura un evidente conflitto di interessi in violazione dell’art. 38, par. 6 del GDPR.

L’agente di polizia che viene ripreso mentre entra in servizio ha molti diritti privacy.

Non bastano cartelli standard o generiche informative sul sito web istituzionale.

Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento n. 201 del 10 aprile 2025.

Tutto è partito dal reclamo di un agente della polizia locale che ha segnalato la presenza di una telecamera posizionata all’ingresso del comando, in grado di riprendere costantemente il personale in entrata e in uscita.

Secondo quanto accertato dall’Autorità, l’impianto era stato installato per finalità di sicurezza e tutela del patrimonio, ma di fatto permetteva un controllo indiretto dell’attività lavorativa, in violazione della disciplina vigente.

In mancanza di un accordo sindacale o, in subordine, di una formale autorizzazione dell’Ispettorato nazionale del lavoro, l’uso di dispositivi audiovisivi idonei anche solo potenzialmente a controllare a distanza l’attività dei dipendenti risulta illecito.

Particolarmente significativa è la censura formulata dal Garante sulla finalità dichiarata dell’impianto.

L’Unione aveva ricondotto la telecamera all’ambito della sicurezza urbana, richiamando anche un patto sottoscritto con la Prefettura.

Tuttavia, l’Autorità ha ritenuto del tutto inconferente tale richiamo.

La telecamera in questione non inquadrava la pubblica via, ma un ingresso riservato e parte del parcheggio interno, non potendo dunque assolvere alle finalità previste dal decreto legge n. 14/2017, che disciplina la sicurezza urbana.

La reale finalità, prosegue il provvedimento, era quella di tutelare il patrimonio e la sicurezza interna, finalità che ricade integralmente nell’ambito dell’art. 4 dello Statuto dei lavoratori.

Anche i profili informativi sono stati ritenuti carenti.

Il cartello installato in prossimità dell’ingresso menzionava finalità non coerenti, omettendo quella effettiva di tutela del patrimonio.

Né risulta efficace l’informativa estesa di secondo livello, raggiungibile tramite il sito web istituzionale, in quanto generica e priva di ogni riferimento specifico.

Infine il Garante ha rilevato l’assenza di una valutazione di impatto adeguata.

La gestione automatizzata dei varchi di accesso alle zone a traffico limitato deve oggi confrontarsi con un principio imprescindibile: il rispetto della privacy, che si traduce in obblighi di chiarezza e trasparenza verso i cittadini.

Cartelli informativi ben visibili ai varchi e informative puntuali, pubblicate in rete, non sono più un optional, ma il segno concreto di un trattamento corretto dei dati personali.

Lo ha ribadito il Garante per la protezione dei dati personali con il provvedimento n. 168 del 27 marzo 2025, infliggendo una sanzione al Nuovo Circondario Imolese per carenze proprio su questo fronte.

Il caso riguardava il sistema che registra le targhe dei veicoli diretti alla ZTL di Imola, gestito dall’Unione dei Comuni del territorio.

Per oltre un anno i cartelli ai varchi indicavano erroneamente il Comune come titolare del trattamento, mentre sul sito istituzionale mancava l’informativa completa prevista dall’articolo 13 del GDPR.

Il Garante non ha messo in discussione la liceità del sistema in sé – limitato alla mera rilevazione delle targhe – ma ha rilevato la violazione degli articoli 5, 12 e 13 del Regolamento europeo, sottolineando l’assenza di trasparenza e la scorretta individuazione del titolare.

Accanto alla sanzione, il provvedimento offre un chiarimento di grande interesse per i Comuni: non è sempre necessario redigere una valutazione d’impatto (DPIA) per i varchi ZTL.

Tale adempimento, precisa il Garante, scatta solo quando il trattamento presenta rischi elevati per i diritti e le libertà delle persone coinvolte.

Si tratta di una semplificazione significativa per molti enti locali, spesso incerti sulla necessità di avviare una DPIA per sistemi considerati “ordinari”.

La decisione arriva a pochi mesi da un precedente emblematico: il Comune di Portici, sanzionato il 12 dicembre 2024 con il provvedimento n. 766, per non aver condotto la DPIA prima di attivare un sistema automatizzato di rilevazione del passaggio con semaforo rosso, ritenuto decisamente più invasivo.

L’accostamento dei due casi evidenzia la linea del Garante: ciò che conta non è la presenza di tecnologia di controllo in sé, ma l’effettivo impatto del trattamento e la trasparenza garantita agli interessati.

Scatta una sanzione salata per i comuni che non hanno ancora provveduto a nominare il proprio responsabile per la protezione dei dati.

Sono passati sette anni dall’entrata in vigore definitiva del Gdpr ma alcuni enti risultano ancora senza dpo/rpd. E quando l’Autorità di controllo se ne accorge sono guai grossi per il primo cittadino. Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento n. 5 del 16 gennaio 2025.

Da un controllo d’ufficio l’Autorità ha riscontrato che un comune siciliano non ha mai provveduto a notificare la nomina del proprio dpo/rpd. E di questa importante figura non risulta nessuna traccia neppure sul sito istituzionale dell’Ente.

Pertanto, specifica il collegio, “con nota del XX, l’Ufficio, sulla base degli elementi acquisiti e dalle verifiche compiute, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per non aver designato il rpd, per non aver pubblicato i dati di contatto dello stesso né effettuato la relativa comunicazione all’Autorità, in violazione dell’art. 37, parr. 1 e 7, del Regolamento.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità. Al riguardo, tuttavia, non sono pervenuti scritti difensivi.

L’istruttoria si è quindi conclusa con l’applicazione di una sanzione amministrativa di 6 mila euro e l’intimazione a procedere alla nomina.

Ai sensi dell’art. 37 del Regolamento, prosegue il provvedimento, “il titolare del trattamento designa sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali

e pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”.

Anche il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186, precisa che per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nella sezione dedicata all’organigramma dell’ente ed ai relativi contatti.

Per quanto concerne la comunicazione all’Autorità, si evidenzia che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del rpd designato.

Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile alla pagina:

https://servizi.gpdp.it/comunicazionerpd/s/

ove sono riportate anche le istruzioni e le relative faq. Si richiama l’attenzione degli enti a inserire correttamente i dati richiesti, come l’individuazione del titolare del trattamento e la compilazione del codice fiscale dell’amministrazione.

Nel caso di specie, essendosi verificata la mancata pubblicazione e comunicazione dei dati di contatto del rpd all’Autorità, risulta accertata la violazione dell’art. 37, par. 7, del Regolamento.

Inoltre, non essendo stato possibile reperire i dati di contatto del rpd, non sono rinvenuti elementi in grado di comprovare l’effettiva designazione da parte del Comune, del rpd, in violazione dell’art. 37, par. 1 del Regolamento.