Contitolarità del trattamento, responsabilità istituzionali e modelli operativi alla luce del GDPR e del D.Lgs. 51/2018
Abstract: Il contributo analizza il quadro giuridico e operativo relativo alla gestione dei dati acquisiti tramite sistemi di videosorveglianza comunale, con particolare attenzione ai rapporti tra Polizia Locale, Prefetture e altre autorità di pubblica sicurezza. Viene approfondito il tema della titolarità del trattamento e della contitolarità, alla luce della normativa europea e nazionale, evidenziando i criteri interpretativi, gli strumenti negoziali e le implicazioni in termini di responsabilità. L’analisi si concentra inoltre su modelli applicativi concreti, come il caso di Livorno, e propone una lettura sistematica utile alla gestione integrata della sicurezza urbana.
Keywords: #Videosorveglianza #SicurezzaUrbana #GDPR #Contitolarità #ProtezioneDati #PubblicaAmministrazione #Privacy #DirittoAmministrativo #PoliziaLocale #Prefettura #AngeloDiPerna #ethicasocietas #ethicasocietasrivista #rivistascientifica #scienzeumane #scienzesociali #ethicasocietasupli
Il quadro negoziale tra Polizia Locale e Prefetture
La gestione delle immagini acquisite dai sistemi di videosorveglianza comunale — installati per ragioni di sicurezza urbana, tutela dell’ordine pubblico e prevenzione dei reati — coinvolge diversi attori: Polizia Locale, Polizia di Stato, Arma dei Carabinieri e altre forze con competenze di pubblica sicurezza e polizia giudiziaria. Tale facoltà di accesso si estende, previo accordo vincolante con l’amministrazione comunale, anche ai dispositivi privati orientati su aree pubbliche [1].
In merito, il Garante per la protezione dei dati personali (parere GPDP del 11/10/2016, prot. U. 0030249) ha chiarito un principio cardine: la finalità del trattamento è indissolubilmente legata alla titolarità dello stesso. Di conseguenza, se l’obiettivo è la sicurezza urbana, la titolarità dei dati ricade in capo al Comune [2].
La disciplina della contitolarità
I “Patti per la sicurezza” tra Prefetto e Sindaco rappresentano lo strumento d’elezione per implementare strategie di contrasto alla criminalità diffusa, prevedendo spesso l’uso di tecnologie di sorveglianza. La questione critica riguarda la corretta individuazione del titolare del trattamento:
- Titolarità esclusiva: se la finalità è prettamente comunale.
- Contitolarità (ex art. 17 d.lgs. 51/2018): se due o più soggetti determinano congiuntamente scopi e mezzi del trattamento [3].
Definire con precisione questo inquadramento è essenziale per delimitare le responsabilità legali e per la designazione dei Responsabili del trattamento. Sul piano amministrativo, l’accordo di contitolarità (art. 26 GDPR) deve coordinarsi con l’art. 15 della Legge 241/1990, che disciplina la collaborazione tra pubbliche amministrazioni per attività di interesse comune.
Strumenti operativi e responsabilità
Attraverso tali accordi, le parti definiscono le rispettive competenze in materia di protezione dati e flussi comunicativi. Questo strumento risulta particolarmente efficace nella gestione di sistemi avanzati, come il riconoscimento targhe (ANPR) collegato al Centro Elaborazione Dati (CED) della Polizia di Stato.
È fondamentale ricordare che le autorità coinvolte rispondono a finalità distinte:
- Sindaco: Sicurezza urbana.
- Prefetto: Sicurezza pubblica.
- Questura: Ordine pubblico.
- Procura della Repubblica: Prevenzione e perseguimento dei reati.
Lo stato dell’arte: il modello Livorno
Sebbene la prassi sia ancora eterogenea, si segnalano modelli virtuosi di sicurezza urbana integrata. Un esempio pionieristico è l’accordo sottoscritto a Livorno il 12 marzo 2020, il cui schema strutturale segue la logica dell’atto amministrativo:
| Sezione | Contenuto e Funzione |
| Preambolo | Definizione dello scopo, riferimenti normativi e presupposti storici/giuridici dell’accordo. |
| Motivazione | Esplicitazione delle esigenze di sicurezza integrata e gestione interforze degli impianti. |
| Dispositivo | Definizione degli obblighi vincolanti, diritti degli interessati e compiti gestionali. |
| Specifiche Tecniche | Dettagli su architettura del sistema, procedure di accesso, gestione dei data breach e sottoscrizione. |
Le Linee Guida EDPB 7/2020 (adottate definitivamente il 7 luglio 2021) hanno ufficialmente superato il precedente Parere 1/2010 del Gruppo di Lavoro Art. 29. Il loro scopo principale è fare chiarezza sulle figure di titolare e responsabile, approfondendo in particolare i presupposti della contitolarità del trattamento [4].
I criteri della Contitolarità
La contitolarità si configura quando più attori intervengono nel medesimo trattamento. Secondo il GDPR, il requisito fondamentale è la partecipazione congiunta nella definizione di finalità (il “perché”) e mezzi (il “come”). Tale partecipazione può manifestarsi in due modi:
- Decisione comune: Le entità stabiliscono insieme gli obiettivi e le modalità.
- Decisioni convergenti: Più soggetti adottano scelte che si integrano a vicenda. Queste sono considerate determinanti se il trattamento non potrebbe avvenire senza il contributo di tutte le parti coinvolte, rendendo le loro azioni inscindibili [5].
In sintesi, la valutazione non deve basarsi su elementi formali, ma su un’analisi fattuale: bisogna verificare chi esercita un’influenza concreta sulle finalità e sui mezzi essenziali del trattamento.
Differenza tra Contitolare e Responsabile
È fondamentale distinguere il contitolare dal responsabile del trattamento. Mentre il contitolare persegue scopi propri (seppur condivisi), il responsabile agisce esclusivamente per conto del titolare, senza autonomia decisionale sulle finalità [6].
Accordi di Contitolarità e Sicurezza Urbana
L’adozione di specifici accordi di contitolarità rappresenta lo strumento ideale per garantire trasparenza e definire con precisione le responsabilità in contesti complessi. Questo approccio è promosso sia dal GDPR che dalla Direttiva UE 680/2016 (recepita con il D.Lgs. 51/2018). Resta aperta la sfida di integrare tali assetti nei patti per la sicurezza urbana, dove diverse autorità pubbliche devono cooperare definendo chiaramente i rispettivi ambiti di competenza all’interno di accordi di diritto pubblico.
Concetti Chiave per l’Interpretazione dei Ruoli
- Funzionalità: Il ruolo (titolare, contitolare o responsabile) non è una qualifica astratta, ma dipende dalla specifica attività di trattamento analizzata.
- Autonomia: La nozione di “titolare” nel diritto della protezione dati è autonoma rispetto ad altre branche del diritto; si riferisce esclusivamente al centro decisionale del trattamento.
- Beneficio Comune: Nella contitolarità è presente un interesse condiviso, che va distinto dal semplice profitto economico derivante da una prestazione di servizi.
- Esternalità del Responsabile: Il responsabile deve essere un’entità giuridica distinta. Un dipendente interno all’ente non può mai essere nominato responsabile del trattamento. Inoltre, l’erogazione di un servizio non implica automaticamente la nomina a responsabile: occorre superare la prassi di designare come tale ogni fornitore esterno senza un’adeguata valutazione.
Sintesi: Titolare vs Contitolare
| Ruolo | Definizione Soggettiva | Potere Decisionale |
| TITOLARE | L’organizzazione nel suo complesso (non il singolo delegato). | Determina in autonomia le finalità e i mezzi. Sebbene vi sia flessibilità sui mezzi accessori, la scelta dei mezzi essenziali (dati, durata, categorie) è prerogativa del titolare. |
| CONTITOLARE | Più organizzazioni che agiscono d’intesa. | Esercitano un potere decisionale attraverso scelte comuni o convergenti. Le decisioni sono convergenti quando risultano “indissolubilmente legate” per la definizione di scopi e mezzi essenziali. |
L’Essenzialità dell’Accordo (Art. 26 GDPR)
La contitolarità non è solo una condizione di fatto, ma impone un obbligo formale: l’accordo di contitolarità. Questo documento deve:
- Definire in modo trasparente chi, tra i contitolari, è responsabile dell’adempimento degli obblighi (es. la fornitura dell’informativa agli interessati).
- Determinare un punto di contatto unico per gli interessati, per facilitare l’esercizio dei loro diritti (accesso, cancellazione, ecc.).
- Specificare chi risponde in caso di violazione dei dati (data breach).
Il “Contenuto Essenziale” a disposizione dell’interessato
Non è necessario pubblicare l’intero accordo tecnico, ma il GDPR impone che il contenuto essenziale dell’accordo sia reso disponibile agli interessati. Ciò significa che l’utente deve sapere esattamente chi fa cosa e a chi rivolgersi per tutelare i propri dati, superando l’opacità dei trattamenti multi-attore.
Responsabilità Solidale e Manleva
Un punto critico spesso sottovalutato è la responsabilità solidale: l’interessato può rivolgersi a uno qualsiasi dei contitolari per richiedere il risarcimento dell’intero danno subito. Sarà poi compito del contitolare che ha pagato rivalersi sugli altri in base alle quote di responsabilità definite nell’accordo interno.
La distinzione dai “Titolari Autonomi”
Occorre non confondere la contitolarità con la titolarità autonoma. Si ha titolarità autonoma quando due soggetti si scambiano dati ma ognuno li tratta per finalità proprie e indipendenti (es. una banca che comunica dati a un’assicurazione). Nella contitolarità, invece, le finalità sono condivise o intrecciate al punto che una non sussisterebbe senza l’altra.
Sintesi Operativa: Check-list per la Contitolarità
Se stai valutando un progetto (come la videosorveglianza integrata citata nel testo), verifica questi tre pilastri:
- Finalità: Stiamo perseguendo lo stesso obiettivo (es. sicurezza urbana)?
- Mezzi Essenziali: Abbiamo deciso insieme quali telecamere usare, per quanto tempo conservare i log e chi può visionarli?
- Inscindibilità: Se uno di noi si sfilasse dal progetto, il trattamento così come concepito potrebbe continuare? (Se la risposta è no, è quasi certamente contitolarità).
Tabella dei Ruoli (Aggiornata)
| Ruolo | Relazione con i Dati | Vincolo Contrattuale |
| Contitolare | Decide il “perché” e il “come” insieme ad altri. | Accordo di contitolarità (Art. 26). |
| Responsabile | Esegue il trattamento per conto del titolare. | Atto di nomina / DPA (Art. 28). |
| Titolare Autonomo | Riceve o trasmette dati per scopi propri e separati. | Eventuale clausola di comunicazione dati. |
NOTE A PIÈ DI PAGINA
[1] Cfr. art. 7 comma 1-bis, D.L. 14/2017 convertito in legge 48/2017 in materia di sicurezza urbana e collaborazione con privati per la videosorveglianza.
[2] Parere Garante Privacy 11 ottobre 2016: ribadisce che la titolarità segue la funzione istituzionale e le finalità specifiche perseguite dall’ente locale.
[3] Il D.Lgs. 51/2018 recepisce la Direttiva (UE) 2016/680 relativa ai trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati.
[4] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, European Data Protection Board.
[5] Criterio della “scelta inscindibile”: la giurisprudenza della CGUE (sentenza Wirtschaftsakademie) ha chiarito che il contributo alla determinazione delle finalità può essere asimmetrico.
[6] Ai sensi dell’art. 28 GDPR, il Responsabile agisce su istruzione documentata del Titolare.
ULTIMI ARTICOLI DELLO STESSO AUTORE
NUOVI OBBLIGHI DI ASSICURAZIONE PER I VEICOLI
GLI ULTIMI 5 ARTICOLI SUL DIRITTO
TRASPORTO DI RIFIUTI IN ASSENZA DI ISCRIZIONE ALL’ALBO NAZIONALE GESTORI AMBIENTALI
AUTOVELOX, LA CASSAZIONE CONSOLIDA L’OBBLIGO DI OMOLOGAZIONE (ord. 13852/2026)
IL CONCETTO DI “ACCANTO” NELLA NUOVA DISCIPLINA SANZIONATORIA SUGLI ABBANDONI DI RIFIUTI
GLI ULTIMI 5 ARTICOLI PUBBLICATI
IL LAVORO COME VARIABILE GEOPOLITICA: IL 1° MAGGIO NELL’ORDINE MULTIPOLARE
PALANTIR, MOLTO PIÙ DI UN MANIFESTO
PYRROLOQUINOLINE QUINONE (PQQ) E BIOGENESI MITOCONDRIALE
IL CONCETTO DI SICUREZZA TRA EVOLUZIONE SEMANTICA, FUNZIONE SISTEMICA E DIMENSIONE MULTILIVELLO
L’AMORE NELL’ERA DELL’INDIVIDUALISMO
Ethica Societas è una testata giornalistica gratuita e no profit edita da una cooperativa sociale onlus
Copyright Ethica Societas, Human&Social Science Review © 2026 by Ethica Societas UPLI onlus.
ISSN 2785-602X. Licensed under CC BY-NC 4.0