UTILIZZO ECCESSIVO DELLE BARRIERE OCR E DELLE FOTOTRAPPOLE, Massimiliano Mancini

Il Garante applica una sanzione di 12.000€ al Comune di Tuscania (Provv. 04/12/2025)

Abstract: Per la leggitimità dell’adozione e utilizzo di sistemi di lettura targhe non basta un semplice patto per la sicurezza sottoscritto con la prefettura ma serve una effettiva e dimostrata base giuridica così come per l’impiego delle fototrappole che troppo spesso sono acquisite senza attenzione ai criteri di sicurezza e affidandoli alla gestione di aziende esterne senza una effettiva necessità e soprattutto in carenza di atti che disciplinino ed esplichino in maniera trasparente il rapporto intercorrenter nel trattamento dei dati.Per queste carenze il Garante per la Protezione dei Dati Personali ha sanzionato il Comune di Tuscania imponendo anche la limitazione immediata dei tratatmenti di lettura targhe, la cancellazione di tutti i dati e la revisione immediata del sistema.

Keywords: #VideosorveglianzaPubblica #ProtezioneDatiPersonali #GDPR #Accountability #SicurezzaUrbana #DirittiFondamentali #DPIA #PrivacyByDesign #LetturaTarghe #Fototrappole #SpazioPubblico #Trasparenza #BaseGiuridica #AutoritàGarante #CGUE #CorteEDU #StatoDiDiritto #TecnologiaESorveglianza #MassimilianoMancini #EthicaSocietas #EthicaSocietasRivista #RivistaScientifica #ScienzeSociali #ethicasocietasupli

Introduzione

La progressiva estensione dei sistemi di videosorveglianza negli spazi pubblici costituisce uno dei terreni più critici del diritto della protezione dei dati personali. La tensione strutturale tra esigenze di sicurezza e tutela dei diritti fondamentali impone alle pubbliche amministrazioni un rigoroso rispetto dei principi di legalità, proporzionalità e responsabilità sanciti dal GDPR.

Con un articolato provvedimento adottato il 4 dicembre 2025, il Garante per la protezione dei dati personali ha accertato gravi e plurime violazioni della normativa europea e nazionale in materia di protezione dei dati personali da parte del Comune di Tuscania, irrogando una sanzione amministrativa complessiva di 12.000 euro e disponendo una serie di misure correttive e prescrittive. Per l’uso estensivo delle tecnologie di sorveglianza che si è tradotto in una compressione ingiustificata delle libertà individuali.

Il caso: un sistema di videosorveglianza fuori controllo

Il procedimento trae origine da un reclamo presentato da un cittadin , che ha segnalato la presenza sul territorio comunale di un esteso sistema di videosorveglianza composto da oltre 60 telecamere, alcune dotate di funzionalità di lettura automatica delle targhe, installate sulla pubblica via e in prossimità delle isole ecologiche, in assenza di un’adeguata informativa privacy e senza una chiara base giuridica.

Un tipico caso in cui la DPIA è stata fatta in maniera molto superficiale, ignorando le basi del calcolo della proporzionalità e della dimostrazione della necessità del sistema di videosorveglianza, come fanno molti comuni che si affidano a società di consulenze poco competenti nella valutazione del rischio oppure addirittura allo stesso DPO che non può essendo in conflitto d’interesse.

Il Comune, inoltre, aveva negato l’accesso ai dati personali ai sensi dell’art. 15 GDPR^[1], respinto dal Comune poiché richiedevano la motivazione del provvedimento, credendo di poter applicare i principi della l. 241/90 sul diritto di accesso (art. 25 c.2 l. 241/90)^[2] anche ai casi in cui l’interessato del trattamento richiede l’esistenza, le informazioni e la copia dei propri dati trattati, inclusi le proprie immagini riprese dai sistemi di videosorveglianza o la targa rilevata dai sistemi ANOR/OCR.

Le principali violazioni accertate

Dall’istruttoria emerge un quadro particolarmente critico. Il Garante ha accertato, tra le altre, le seguenti violazioni:

Assenza di una valida base giuridica per il trattamento dei dati personali mediante videosorveglianza, in violazione degli artt. 5 e 6 del GDPR. I “patti per la sicurezza urbana” invocati dal Comune risultavano generici, incompleti o non efficacemente dimostrati.
Violazione del principio di trasparenza: cartelli informativi assenti, parziali o non conformi, informativa di secondo livello incompleta o non accessibile, con rimandi errati persino al sito del Garante invece che a quello comunale.
Mancata valutazione di impatto sulla protezione dei dati (DPIA), obbligatoria in caso di sorveglianza sistematica su larga scala di aree pubbliche.
Irregolare gestione dei rapporti con i responsabili del trattamento, in violazione dell’art. 28 GDPR, con contratti incompleti, privi di data certa o stipulati successivamente all’avvio dei trattamenti.
Illegittimo diniego del diritto di accesso ai dati personali: il Garante ribadisce che il diritto di accesso ex art. 15 GDPR non richiede alcuna motivazione e non può essere subordinato a regolamenti comunali difformi.
Inottemperanza a precedenti prescrizioni del Garante, già impartite nel febbraio 2025, aggravando la posizione dell’Ente .

I patti per la sicurezza non sono una garanzia formale

Il Garante ha accertato l’assenza di una base giuridica valida ai sensi dell’art. 6 GDPR. Il generico richiamo a esigenze di sicurezza urbana o a patti per la sicurezza non è stato ritenuto sufficiente a fondare un trattamento sistematico e continuativo di dati personali.

Troppo spesso i comuni non si preoccupano del contenuto dei patti per la sicurezza e si limitano a dare solo risalto politico a un attto meramente formale, utilizzando copie rinvenute sulla rete oppure già utilizzate da altri, senza affaticare il DPO che comunque dovrebbe dare prima del parere una consulenza approfondita sul contenuto, ma d’altronde queste figure oggi sono scelte con scarsissima attenzione alla affettiva competenza.

Il comune era così convinto che la sottoscrizione della prefettura al patto per la sicurezza fosse una garanzia di salvaguardia da rispondere candidamente al Garante (Vds. testo del provvedimento) “[l’Ente] è autorizzato a utilizzare sistema di videosorveglianza a fini di tutela della sicurezza urbana per la prevenzione e il contrasto dei fenomeni di criminalità diffusa e predatoria, in quanto firmatario di patti per la sicurezza urbana […] [con il] Prefetto […] in data XX […;] l’intesa è stata rinnovata […da ultimo] il giorno XX”.

La giurisprudenza della Corte di giustizia dell’Unione europea ha chiarito che ogni trattamento effettuato da un’autorità pubblica deve fondarsi su una norma chiara, precisa e prevedibile, idonea a limitare il rischio di arbitrarietà^[3]. In mancanza di tale fondamento, il trattamento risulta incompatibile con il principio di legalità e con l’art. 8 della Carta dei diritti fondamentali dell’Unione europea^[4].

Trasparenza, informazione e diritti dell’interessato

Il provvedimento evidenzia una violazione sistemica dei principi di trasparenza e correttezza del trattamento. L’assenza di un’informativa conforme agli artt. 12 e 13 GDPR compromette la possibilità per l’interessato di esercitare un controllo effettivo sui propri dati.

La Corte EDU ha più volte affermato che la sorveglianza segreta o opaca nello spazio pubblico integra una violazione dell’art. 8 CEDU, in quanto priva l’individuo della possibilità di prevedere l’ingerenza nella propria vita privata^[5].

Parimenti illegittimo è il diniego del diritto di accesso, che il Garante ribadisce essere incondizionato e non subordinabile a giustificazioni, come confermato anche dalla giurisprudenza della CGUE^[6].

Anche in questo caso si evidenzia la superficialità degli organi comunali che in questi casi dovrebbe fare riferimento al parere del DPO ogni volta che abbia dei dubbi, ma troppo spesso queste figure sono reclutate aderendo a associazioni oprofessionisti che forniscono un servizio meramente sulla carta a così tanti comuni da non poter realisticamente seguire nessuno.

L’abuso dei sistemi di lettura targhe

Particolarmente rilevante è il passaggio in cui il Garante sottolinea come la raccolta sistematica dei dati di localizzazione indiretti, quali le targhe dei veicoli, consenta di ricostruire abitudini e spostamenti dei cittadini, incidendo potenzialmente sulla libera fruizione dello spazio pubblico e sul diritto alla riservatezza, anche in assenza di decisioni amministrative dirette.

L’abuso di sistemi di lettura automatica delle targhe, idonei a raccogliere dati di localizzazione indiretti e a consentire la ricostruzione degli spostamenti individuali, troppo spesso acquistati sotto la sollecitazione di venditori senza scrupoli e amministrazioni affascinate dall’idea del supercontrollo senza prima realizzare una seria DPIA preventiva per misurare la proporzionalità effettiva di questi sistemi, secondo i principi di privacy by design e by default (art. 25 c. 2 Reg. UE 21016/679 GDPR)^[7].

Secondo le Linee guida del Comitato europeo per la protezione dei dati, la sorveglianza sistematica su larga scala di aree accessibili al pubblico costituisce un trattamento ad alto rischio, rendendo obbligatoria la valutazione d’impatto sulla protezione dei dati (DPIA) svolta correttamente e non in maniera superficiale o formale^[8]. La sua omissione priva l’amministrazione di uno strumento essenziale di ponderazione tra sicurezza e diritti fondamentali.

La Corte EDU ha ribadito che sistemi di sorveglianza capaci di tracciare i movimenti di una persona nel tempo incidono profondamente sull’autonomia individuale e sulla libertà di autodeterminazione^[9].

La sorveglianza tecnologica, se non rigorosamente regolata, rischia così di trasformarsi da strumento di sicurezza a meccanismo di controllo opaco e sproporzionato.

L’abuso nell’impiego delle fototrappole

All’ente è stato contestato anche l’impiego delle c.d. fototrappole installate in prossimità delle isole ecologiche affidate a una società esterna in qualità di ditta appaltatrice, che sebbene abbia affermato di (Vds. testo del provvedimento) “non avere alcun accesso ai sistemi di videosorveglianza né alle immagini da essi generate, non essendo né titolare né responsabile del trattamento”, tuttaviaè apparso alquanto opaco il rapporto e non adeguatamente dimostrato né nella effettiva necessità di affidarsi a soggetti esterni e né nella regolare disciplina del rapporto intercorrente tra di loro.

Il Comune nella nota difensiva ha affermato di aver avviato una revisione approfondita dei rapporti contrattuali e degli obblighi di legge intercorrenti con l’appaltatrice, riservandosi di valutare — anche alla luce delle ulteriori risposte che la stessa fornirà — la possibile risoluzione del rapporto contrattuale per giusta causa e ha evidenziato la necessità di adottare con immediatezza misure correttive in materia di protezione dei dati personali, al fine di garantire la conformità dei trattamenti posti in essere alla normativa vigente.

Tuttavia, dalle dichiarazioni rese emerge una perdurante e significativa carenza di consapevolezza da parte dell’Ente in ordine ai trattamenti di dati personali effettuati, direttamente o per il tramite di soggetti terzi, mediante i dispositivi di videosorveglianza installati sul territorio comunale. Tale circostanza evidenzia una gestione approssimativa dei ruoli e delle responsabilità privacy, incompatibile con il principio di accountability sancito dall’art. 5, par. 2, GDPR che, come osserva la dottrina, l’accountability non è un mero adempimento formale, ma una dimensione sostanziale della responsabilità pubblica nell’uso delle tecnologie^[9].

Le sanzioni e le misure imposte

Il Garante ha disposto:

una sanzione di 8.000 euro per le violazioni relative alla videosorveglianza e al diniego del diritto di accesso;
una sanzione di 4.000 euro per la mancata cooperazione e l’inottemperanza alle prescrizioni;
la limitazione immediata del trattamento dei dati relativi alle targhe;
la cancellazione dei dati già raccolti;
l’obbligo di una ricognizione completa di tutti i sistemi di videosorveglianza presenti sul territorio;
la pubblicazione integrale del provvedimento sul sito del Garante, quale sanzione accessoria di trasparenza e deterrenza .

Un monito per le amministrazioni pubbliche

Il provvedimento rappresenta un richiamo netto alle amministrazioni locali: la sicurezza urbana non può essere perseguita sacrificando i diritti fondamentali né attraverso scorciatoie regolamentari o tecniche. La protezione dei dati personali non è un adempimento formale, ma una condizione essenziale della legalità democratica.

Come ribadisce implicitamente il Garante, la tecnologia non legittima l’assenza di responsabilità: senza base giuridica, trasparenza, proporzionalità e controllo, anche la videosorveglianza diventa una forma di abuso istituzionale.

Il caso Tuscania conferma che la videosorveglianza pubblica non può essere ridotta a strumento tecnico di prevenzione, ma costituisce un trattamento di dati personali ad elevato impatto sui diritti fondamentali. La sicurezza urbana non può essere perseguita al di fuori di un quadro giuridico rigoroso, fondato su legalità, proporzionalità, trasparenza e controllo.

Il provvedimento del Garante si inserisce così in una linea europea consolidata, che riconosce nella protezione dei dati personali un presidio essenziale dello Stato di diritto e della democrazia costituzionale.

Provvedimento del Garante Privacy 04-12-2025

NOTE

[1] Reg. UE 2016/679 GDPR, art. 15 (Diritto di accesso dell’interessato): «1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.»

[2] Legge 7 agosto 1990 n. 241, art. 25 (Modalità di esercizio del diritto di accesso e ricorsi): «2. La richiesta di accesso ai documenti deve essere motivata. Essa deve essere rivolta all’amministrazione che ha formato il documento o che lo detiene stabilmente.»

[3] CGUE, Digital Rights Ireland, cause riunite C-293/12 e C-594/12, 8 aprile 2014.

[4] Carta dei diritti fondamentali dell’Unione europea, art. 8.

[5] Corte EDU, Uzun c. Germania, ric. n. 35623/05, 2 settembre 2010.

[6] CGUE, Nowak, C-434/16, 20 dicembre 2017.

[7] Reg. UE 2016/679 GDPR, art. 25 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita): «2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.»

[8] EDPB, Guidelines 3/2019 on processing of personal data through video devices.

[9] Corte EDU, Peck c. Regno Unito, ric. n. 44647/98, 28 gennaio 2003.

RIFERIMENTI BIBLIOGRAFICI

Mantelero, A., Il nuovo diritto della protezione dei dati personali, Giappichelli, 2021.
Rodotà, S., Il diritto di avere diritti, Laterza, 2012.
Pizzetti, F., Privacy e pubblica amministrazione, Il Mulino, 2020.