RIVISTA DI SCIENZE UMANE E SOCIALI
ETHICA SOCIETAS-Rivista di scienze umane e sociali
Massimiliano Mancini NOTIZIE Privacy

ILLECITE LE FOTOTRAPPOLE CHE REGISTRANO LOCALMENTE ANCHE IN MANIERA CRIPTATA, Massimiliano Mancini

Image default

Per essere sicuri conformi alle norme le fototrappole non devono archiviare i dati ma trasmetterli in cloud

Massimiliano Mancini

Abstract: Le cosiddette fototrappole rientrano a pieno titolo tra i sistemi di videosorveglianza e sono pertanto soggette alla disciplina generale in materia di protezione dei dati personali quindi il loro utilizzo deve rispettare integralmente i principi e gli obblighi previsti dal GDPR, con particolare riferimento alla sicurezza del trattamento e alla prevenzione dei data breach. La memorizzazione locale dei dati, anche se cifrata, presenta criticità strutturali incompatibili con i requisiti di riservatezza, integrità e disponibilità, soprattutto in caso di furto, danneggiamento o eventi accidentali. La trasmissione remota dei dati verso infrastrutture sicure e conformi è quindi l’unica soluzione tecnicamente idonea a garantire la liceità del trattamento per escludere rilevanti sanzioni amministrative, responsabilità civili e, nei casi più gravi, penali che si applicano anche nei casi di impiego da parte delle forze di polizia locale e nazionale, come testimonia la sanzione a carico della Polizia Locale di Taranto.

Keywords: #fototrappole #videosorveglianza #GDPR #dataBreach #memorizzazioneLocale #registrazioneRemota #cloudSicuro #responsabilitaDelTitolare #sanzioniGDPR #privacy #MassimilianoMancini #ethicasocietas #ethicasocietasrivista #rivistascientifica #scienzeumane #scienzesociali #ethicasocietasupli #unionepolizialocaleitaliana

english version

Introduzione

Il termine fototrappola indica comunemente i sistemi di videosorveglianza portatili e facilmente occultabili dotati di sensori di movimento e fotocamere, utilizzati principalmente per il monitoraggio faunistico, la sorveglianza ambientale, la sicurezza di aree private e, in alcuni casi, per finalità di ricerca scientifica.

Tuttavia questa denominazione di uso comune non ha alcuna rilevanza giuridica, poiché la normativa vigente considera allo stesso modo tutti i sistemi di videosorveglianza anche sul piano terminologico (Linee Guida EDPB 3/2019) definendo solamente per alcuni di essi degli adempimenti ulteriori, come nel caso delle bodycam (art. 24 c. 1 lett. b del d.lgs. 51/2018)[1] e dei droni (art. 23 c. 4 DPR 15/2018)[2]  per i quali è sempre richiesta la consultazione preventiva del Garante della DPIA (art. 36 Reg. EU 2016/679 GDPR e art. 24 d. lgs. 51/2018) per poter essere impiegati legittimamente.

Quindi il fatto che le fototrappole non si distinguano giuridicamente dagli altri sistemi di videosorveglianza implica che esse sono assoggettate alle stesse norme e devono prevedere in particolare adeguate misure di sicurezza e soprattutt escludere che si possa causare un data breach.

Le basi della sicurezza del trattamento dei dati da parte di una fototrappola

Per essere sicuro e quindi legittimo qualsiasi trattamento e gli strumenti con il quale è svolto devono garantire espressamente alcuni requisiti minimi (art. 32 Reg. UE 2016/679 GDPR)[3]:

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

I punti sono tra loro interconnessi e devono esere soddisfatti congiuntamente e non alternativamente quindi la pseudonimizzazione o cifratura è una misura che segue comunque la disponibilità e l’integrità dei dati e come può garantire tutto ciò un sistema di memorizzazione portatile e movibile come sono le fototrappole che può essere facilmente sottratto o distrutto, anche da fatti naturali come incendi, alluvioni o azioni di animali selvatici.

Quindi appare evidente che nessuna fototrappola può essere considerata sicura e quindi legittima se memorizza i dati localmente e che l’unica misura tecnica possibile per garantire liceità al trattamento sia solo la registrazione remota dei dati ripresi e quindi la trasmissione via radio o rete cellulare su cloud conforme alle norme AGID.

Il rischio di data breach nel caso di registrazione locale anche criptata

Il rischio più grave di ogni trattamento dei dati è costituito dal data breach e “violazione dei dati personali” che è la violazione di sicurezza dei dati personali trattati dal titolare del trattamento, che nel caso di specie è il soggetto che impiega le fototrappole, che consegue per causa dolosa o accidentale uno o più dei seguenti casi (art. 5 p. 1 punto 12 Reg. UE 2016/679 GDPR)[4]:

  1. la distruzione;
  2. la perdita;
  3. la modifica;
  4. la divulgazione non autorizzata;
  5. l’accesso non autorizzato.

Appare evidente quindi che la sola cifratura dei dati personali, laddove sia efficace e certificata, può scongiurare al massimo gli ultimi due punti ma non può assolutamente escludere la distruzione, la perdita o l’alterazione dei dati che si verifica quando la fototrappola sia rubata, distrutta o manipolata anche per causa accidentale, come può avvenbire per l’azione di animali selvatici, in caso di incendio o alluvione.

Il data breach certifica il fallimento dele politiche di protezione dei dati e degli obblighi normativi da parte del titolare del trattamento e comporta l’obbligo di comunicazione immediata e comunque non oltre 72 ore al Garante (art. 33 Reg. UE 2016/679 GDPR)[5], che disporrà gli opportuni accertamenti e ispezioni, e persino a tutti gli interessati al trattamento e quindi, nel caso di specie, a tutti i soggetti che possono essere stati ripresi dalla fototrappola (art. 34 Reg. UE 2016/679 GDPR)[6].

Sanzioni e responsabilità per l’impiego di fototrappole non a norma

L’uso di fototrappole che non assicurano la sicurezza del trattamento come si è indicato sopra può comportare, non solo se avviene il data breach, ma anche in caso di reclamo degli interessati -come spesso accade quando si ricevono sanzioni o denunce- può comportare:

  • annullamento dell’accertamento eseguito con mezzi e procedure non conformi alle norme (art. 2-undecies d. lgs. 196/2003)[7]:

  • sanzioni amministrative sino a €. 10.000.000 (art. 83 p. 4 lett. a Reg. UE 2016/679 GDPR)[8];

  • responsabilità civile nei confronti dei soggetti ripresi illecitamente (art. 82 Reg. UE 2016/679 GDPR)[9];

  • in casi gravi, responsabilità penale (es. interferenze illecite nella vita privata).

In ogni caso la buona fede ovvero la finalità di prevenzione del crimine o di illeciti amministrativi non esclude la responsabilità, come testimoniano i provvedimenti del Garante, ad esempio il caso dell’impiego illecito delle fototrappole da parte della Polizia Locale di Taranto che ha comportato rilevanti sanzioni e ulteriori responsabuilità.

Conclusione

Le fototrappole rappresentano strumenti utili e versatili, ma il loro utilizzo richiede consapevolezza giuridica e responsabilità etica. La conformità alle norme sulla privacy non è un ostacolo, bensì una garanzia di equilibrio tra innovazione tecnologica, tutela dei diritti fondamentali e legittime esigenze di sicurezza o ricerca.

Un uso corretto passa dalla progettazione attenta dell’inquadratura, dalla trasparenza informativa e dal rispetto dei principi del GDPR, affinché la tecnologia rimanga al servizio della collettività e non diventi fonte di violazione della dignità personale.

NOTE:

[1] Autorità Garante per la Protezione dei Dati Personali, provv. 291/2021 punto 4 pag. 7-8 «[…omissis…] Pertanto, l’attività di trattamento in discussione va considerata a elevato rischio per gli interessati e, trovando applicazione l’articolo 24, par. 1, lett. a) del Decreto, si ritiene necessaria la consultazione preventiva.»

[2] DPR 15/2018, art. 23 (Sistemi di ripresa fotografica, video e audio) «[…omissis…] 3. Il trattamento di dati personali raccolti tramite aeromobili a pilotaggio remoto, in considerazione della loro potenziale invasività, è ricompreso tra quelli che presentano rischi specifici di cui all’articolo 6. […omissis…]».

[3] Reg. UE 2016/679 GDPR, art. 32 (Sicurezza del trattamento) «1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. […omissis…]».

[4] Reg. UE 2016/679 GDPR, art. 4 (Definizioni) «1. Ai fini del presente regolamento s’intende per: […omissis…] 12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;[…omissis…]».

[5] Reg. UE 2016/679 GDPR, art. 33 (Notifica di una violazione dei dati personali all’autorità di controllo) «1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.[…omissis…]».

[6] Reg. UE 2016/679 GDPR, art. 34 (Comunicazione di una violazione dei dati personali all’interessato) «1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo..[…omissis…]».

[7] D.lgs. 196/2003, art. 2-undecies (Inutilizzabilità dei dati) «1. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis.»

[8] Reg. UE 2016/679 GDPR, art. 83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie) «[…omissis…] 4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; […omissis…]».

[9] Reg. UE 2016/679 GDPR, art. 82 (Diritto al risarcimento e responsabilità) «1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. […omissis…]».

ULTIMI 5 ARTICOLI DELLO STESSO AUTORE

UNA SVOLTA STORICA: LA LEGGE 181/2025 RICONOSCE LA SPECIFICITÀ DEL FEMMINICIDIO

23/11/1980 45 ANNI FA L’IRPINIA CADDE E TUTTA LA NAZIONE SI SCOPRÌ FRAGILE

CONDANNATO PER MOBBING IL COMUNE DI SANT’EGIDIO ALLA VIBRATA (TE)

A COSA SERVONO GLI ISPETTORI AMBIENTALI CON LA NUOVA NORMATIVA

LA CASSAZIONE CAMBIA IDEA SUI REGOLAMENTI COMUNALI SUI RIFIUTI (Cass. civ. II sez. 25905/2024)

ULTIMI 5 ARTICOLI SULLA PRIVACY

LA CRISI IRREVERSIBILE DELLA PRIVACY NELL’ERA DELLE NEUROTECNOLOGIE

PRIVACY E IMPRONTE DIGITALI

LE CONCLUSIONI DEL G7 SULLA PRIVACY [CON VIDEO INTEGRALE]

LA PRIVACY SPIEGATA DA UN RAGAZZO NON SOLO AI RAGAZZI [CON VIDEO]

PILLOLE DI PRIVACY PER GLI ENTI PUBBLICI CON AGOSTINO GHIGLIA [CON VIDEO]

ULTIMI 5 ARTICOLI PUBBLICATI

GUIDA IN STATO DI EBBREZZA E CIRCOLAZIONE DEL VEICOLO

LA FINE DEL GUERRIERO E DELL’ANGELO: PSICOLOGIA DI UN’IDENTITÀ IN TRASFORMAZIONE

L’IDENTITÀ DELLA POLIZIA LOCALE NEL NUOVO REGOLAMENTO DELLA TOSCANA,

SOSTITUZIONE DI PERSONA E CONTRAFFAZIONE SONO REATI AUTONOMI (Cass. Pen. 18101/2025)

LA NUOVA METRO C RAGGIUNGE IL COLOSSEO: STORIA, PROGETTO E SIGNIFICATO PER ROMA

Ethica Societas è una testata giornalistica gratuita e no profit edita da una cooperativa sociale onlus
Copyright Ethica Societas, Human&Social Science Review © 2026 by Ethica Societas UPLI onlus.
ISSN 2785-602X. Licensed under CC BY-NC 4.0

Related posts

AFRICA: IL CONTINENTE CHE URLA E IL MONDO CHE NON ASCOLTA, Cristina Di Silvio e Maurizio Colangelo

@Direttore

SUPERINTELLIGENZA: LA CORSA GEOPOLITICA E IL PARADOSSO NORMATIVO, di Enrico Mancini

Enrico © Mancini

I PARCHEGGI ROSA SONO ILLEGALI, Massimiliano Mancini

@Direttore