Skip to content

Telecamere: lettura targhe e responsabilità condivisa

Dopo Bolzano il Garante sanziona anche Trento

Non è sostenibile aderire a un progetto interprovinciale di videosorveglianza chiavi in mano limitandosi a rivendicare il carattere politico-finanziario della decisione, quando quella decisione abilita un trattamento ad alto impatto. La contitolarità sostanziale sulle telecamere condivise porta con sé l’intero pacchetto di accountability.

Il provvedimento n. 532 del 25 settembre 2025 segna un passaggio di particolare interesse sistematico nella disciplina dei trattamenti pubblici basati su lettura automatizzata delle targhe. Dopo l’ordinanza nei confronti della Provincia autonoma di Bolzano (provv. n. 531/2025 – già impugnato e sospeso), l’Autorità ha formalizzato la responsabilità anche della Provincia autonoma di Trento, chiamata a rispondere per aver collaborato alla realizzazione e attuazione del medesimo impianto senza una preventiva e corretta regolazione privacy.

La cooperazione istituzionale, quando incide su finalità e mezzi essenziali del trattamento, integra contitolarità ex art. 26 GDPR, anche se uno dei soggetti rivendica un ruolo meramente finanziario o l’assenza di accesso ai dati personali.

Il progetto interprovinciale

L’installazione di 124 telecamere con funzionalità LPR, collocate anche sul territorio trentino in forza di convenzione, non si limitava alla mera cattura della targa. Il sistema estraeva ulteriori elementi (classe del veicolo, nazionalità, indicatori di trasporto merci pericolose, origine/destinazione), consentendo analisi dei flussi e supporto a scelte amministrative correlate alla mobilità e a misure ambientali.

Il Garante ribadisce la violazione dei principi cardine del GDPR: liceità, correttezza e trasparenza, limitazione della conservazione, adeguata base giuridica, trasparenza verso gli interessati e DPIA preventiva.

La difesa di Trento

La Provincia di Trento ha sostenuto di avere avuto un ruolo limitato al finanziamento, interesse esclusivo per dati aggregati, assenza di accesso alle targhe e mera comproprietà civilistica dei dispositivi. Ha inoltre dichiarato di avere richiesto lo spegnimento degli apparati sul proprio territorio una volta ricevuta la contestazione.

Contitolarità anche senza accesso ai dati

Il punto decisivo è la qualificazione del ruolo di Trento come contitolare ai sensi degli artt. 4 e 26 GDPR, alla luce della giurisprudenza della Corte di giustizia. La responsabilità non si fonda su chi vede i dati, ma su chi partecipa alla determinazione di finalità e mezzi essenziali.

Il criterio dell’indissociabilità (richiamato anche dalle Linee guida EDPB 07/2020) consente di superare l’obiezione “non abbiamo deciso la tecnologia”. Non è decisivo chi gestisce la piattaforma o possiede i server, ma chi ha voluto il trattamento e lo ha reso possibile.

Violazione dell’art. 26 GDPR e trascinamento delle altre violazioni

L’assenza dell’accordo di contitolarità non è un mero vizio formale, ma indice di governance inidonea. In quanto contitolare, Trento risponde anche delle violazioni sostanziali già accertate: artt. 5, 6, 12, 13, 21 e 35 GDPR e art. 2-ter del Codice.

Il trattamento è stato realizzato senza:

• base giuridica sufficientemente determinata;
• trasparenza adeguata su strada;
• DPIA preventiva per trattamento su larga scala;
• periodo di conservazione proporzionato e documentato.

Il messaggio è netto: la contitolarità porta con sé l’intero pacchetto di accountability. Non è sostenibile aderire a un progetto ad alto impatto limitandosi al ruolo politico-finanziario.

Sanzione e attenuanti

La sanzione è pari a 8.000 euro, con attenuanti quali pseudonimizzazione, assenza di decisioni individuali, cooperazione con l’Autorità e spegnimento degli apparati. È stata disposta la pubblicazione dell’ordinanza, per la delicatezza dei tracciamenti veicolari potenzialmente ricostruibili.

Implicazioni operative

I progetti condivisi non possono essere governati solo con una convenzione amministrativa. Serve:

• qualificazione corretta dei ruoli;
• base giuridica effettiva e determinata;
• trasparenza multilivello coerente;
• DPIA preventiva;
• regole di retention documentate e proporzionate.

L’evoluzione verso analitiche avanzate e correlazioni impone una lettura integrata tra accountability GDPR, trasparenza e risk management, anche alla luce dei futuri innesti regolatori in materia di intelligenza artificiale nelle amministrazioni pubbliche.

Stefano Manzelli

Stefano Manzelli

Consulente privacy, divulgatore e data protection officer. Mi occupo in particolare di videosorveglianza pubblica e privata e cerco sempre, con il mio staff, di fornire soluzioni concrete e praticabili ai nostri interlocutori.