Sanzionato il Comune di Mazara del Vallo: una lezione per tutti gli Enti Locali che utilizzano sistemi di lettura targhe.
Di Carmine Soldano
Vi è, nel silenzio operoso delle arterie urbane, un tipo di sguardo che non conosce distrazioni: quello delle telecamere puntate sul flusso incessante del traffico. Un occhio elettronico, freddo e imperturbabile, che registra passaggi, cattura targhe, archivia dati.
Ma cosa accade quando quello sguardo tecnologico viene attivato senza la necessaria architettura giuridica che ne legittimi l’uso? Accade che intervenga il Garante per la protezione dei dati personali.
Con una notizia pubblicata il 9 marzo 2026 sul proprio sito istituzionale, il Garante per la protezione dei dati personali ha reso noto di aver sanzionato il Comune di Mazara del Vallo con una “multa” di 4.000 euro, rilevando una serie di violazioni nella gestione di un sistema di videosorveglianza con lettura automatica delle targhe.
Una vicenda che, al di là del caso concreto, assume il valore di un monito per tutte le amministrazioni locali.
- IL CASO: UNA MULTA, UN RECLAMO, UN’INDAGINE
Tutto prende avvio da un episodio apparentemente ordinario. Un automobilista riceve la notifica di un verbale per mancata revisione del veicolo, violazione prevista dall’art. 80 del Codice della strada. Nulla di insolito, almeno in apparenza. Il cittadino, tuttavia, compie un passo ulteriore: presenta reclamo al Garante Privacy, chiedendo di conoscere le modalità con cui l’infrazione era stata accertata.
La risposta emersa nel corso dell’istruttoria si rivela decisiva. La violazione era stata rilevata attraverso un sistema di videosorveglianza dotato di lettura automatica delle targhe (OCR), utilizzato dal Comune per individuare i veicoli privi di revisione.
Il problema, tuttavia, non era la tecnologia in sé. Il problema era la sua legittimità giuridica.
- LE CRITICITÀ: UN TRITTICO DI VIOLAZIONI
Dall’istruttoria del Garante emergono tre profili di irregolarità, ciascuno dei quali sarebbe stato, da solo, sufficiente a giustificare l’intervento dell’Autorità.
- Sistema non previsto dalla normativa di settore.
Le telecamere utilizzate non risultavano omologate, né comunque previste dalla normativa di settore per l’accertamento automatizzato di quella specifica violazione del Codice della strada.
Non si tratta di una questione meramente tecnica.
Nel sistema delineato dal diritto europeo e nazionale, l’utilizzo di tecnologie di controllo che trattano dati personali deve poggiare su una base giuridica chiara e specifica.
In assenza di tale presupposto, il trattamento dei dati diviene contra legem, a prescindere dall’efficienza o dall’affidabilità del sistema.
- Informativa privacy inadeguata
La seconda criticità riguarda il principio di trasparenza, uno dei cardini del GDPR.
La cartellonistica presente nell’area sottoposta a videosorveglianza risultava incompleta e l’informativa privacy completa non era facilmente reperibile sul sito istituzionale del Comune.
Una lacuna che non può essere considerata meramente formale: il cittadino deve essere messo in condizione di sapere prima di transitare sotto un sistema di rilevazione che i suoi dati personali vengono raccolti, per quali finalità e da quale soggetto.
- Assenza della DPIA
Terzo elemento di criticità: l’assenza della valutazione d’impatto sulla protezione dei dati (DPIA) prevista dall’art. 35 del GDPR. La DPIA è obbligatoria ogniqualvolta il trattamento comporti un rischio elevato per i diritti e le libertà delle persone, come accade nei casi di sorveglianza sistematica di aree accessibili al pubblico su larga scala.
Non si tratta di un mero adempimento burocratico, ma di uno strumento preventivo volto a valutare ex ante i rischi del trattamento e a individuare le misure idonee a mitigarli.
- L’EQUIVOCO DELL’ORDINE PUBBLICO
Durante l’istruttoria è emerso anche un ulteriore profilo degno di nota.
Il Comune aveva ritenuto che la validazione del progetto da parte del Comitato provinciale per l’ordine e la sicurezza pubblica potesse costituire una sorta di autorizzazione implicita anche sotto il profilo della protezione dei dati personali.
Il Garante ha chiarito con nettezza che non è così.
Il controllo attinente alla sicurezza pubblica e gli obblighi derivanti dal Regolamento (UE) 2016/679 operano su piani distinti e autonomi. L’approvazione nell’ambito delle politiche di sicurezza non esonera l’amministrazione dagli adempimenti previsti dalla normativa privacy.
- LA SANZIONE E LE PRESCRIZIONI
L’Autorità ha quindi accertato la violazione dei principi di liceità, trasparenza e accountability previsti dal GDPR, comminando al Comune una sanzione amministrativa di 4.000 euro. Ma il provvedimento non si limita alla dimensione punitiva.
Il Garante ha infatti imposto all’ente due prescrizioni precise:
- predisporre un’informativa privacy adeguata e accessibile agli interessati;
- effettuare la valutazione d’impatto sulla protezione dei dati.
Misure che confermano la natura preventiva e correttiva della disciplina europea sulla protezione dei dati.
- LA LEZIONE PER LE POLIZIE LOCALI: NESSUNA SCORCIATOIA TECNOLOGICA
Il caso di Mazara del Vallo rappresenta, per i Comandi di Polizia Locale e per gli amministratori pubblici, una lezione di portata generale.
L’innovazione tecnologica costituisce uno strumento investigativo e di controllo estremamente efficace. Tuttavia, la tecnologia non è mai autosufficiente.
Prima di essere accesa, deve essere inserita in una cornice giuridica solida e coerente.
In termini operativi, ogni amministrazione che intenda utilizzare sistemi automatizzati per l’accertamento di violazioni al Codice della strada dovrebbe preliminarmente:
- verificare la previsione normativa o l’omologazione del sistema per la specifica finalità;
- individuare una base giuridica adeguata al trattamento dei dati;
- predisporre una informativa privacy completa e facilmente accessibile;
- effettuare la valutazione d’impatto sulla protezione dei dati (DPIA);
- adottare misure organizzative e tecniche coerenti con il principio di accountability.
Il provvedimento si inserisce, del resto, in un orientamento sempre più consolidato dell’Autorità: quello che richiede alle amministrazioni pubbliche di progettare i sistemi di videosorveglianza secondo il principio di privacy by design, ossia integrando la tutela dei dati personali fin dalla fase di progettazione delle infrastrutture tecnologiche.
- IL PUNTO CHE MOLTI COMUNI NON STANNO COGLIENDO
Vi è infine un aspetto della decisione che merita una riflessione ulteriore.
Molti Enti Locali utilizzano oggi sistemi di lettura automatica delle targhe installati per finalità di sicurezza urbana o di controllo degli accessi (ex multis: ZTL, varchi urbani, videosorveglianza).
Il provvedimento del Garante ricorda implicitamente un principio fondamentale: un sistema installato per una determinata finalità non può essere automaticamente utilizzato per altre funzioni, soprattutto quando queste comportano accertamenti sanzionatori automatizzati. In altre parole, una telecamera progettata per monitorare il traffico o supportare attività di sicurezza urbana non può diventare, senza una base giuridica specifica e senza le necessarie garanzie tecniche e privacy, uno strumento per elevare verbali a distanza.
È qui che si gioca la partita più delicata tra innovazione tecnologica e legalità amministrativa.
Perché, come ricorda implicitamente questo provvedimento, prima di puntare la telecamera occorre conoscere e, soprattutto, applicare la legge!
