Documentatori di infrazioni e privacy

Telecamere

Nuova presa di posizione del Garante sull’informativa di primo livello.

Di Michele Mavino

Prima di entrare nel merito del provvedimento, è opportuno chiarire un aspetto, per evitare fraintendimenti. La decisione del Garante del 18 giugno 2026 non mette in discussione la legittimità dell’impiego dei sistemi per l’accertamento delle violazioni al Codice della strada. Anzi, l’Autorità riconosce espressamente che tali trattamenti trovano una precisa base normativa negli artt. 45, 193, 198, 198-bis e 201 del Codice della strada e costituiscono esercizio di un compito di interesse pubblico. Il vero nodo della vicenda riguarda il modo in cui il Comune ha gestito il trattamento dei dati personali, e non la legittimità dello strumento di accertamento. Proprio su questo punto il provvedimento offre interessanti spunti di riflessione, alcuni dei quali meritano anche una lettura critica.

Negli ultimi anni si è assistito ad una progressiva evoluzione della videosorveglianza urbana. Le telecamere non rappresentano più soltanto strumenti destinati alla sicurezza pubblica, ma sono divenute un presidio fondamentale anche per l’attività amministrativa come il controllo della circolazione, la rilevazione automatica delle infrazioni semaforiche, la verifica della copertura assicurativa, il controllo della revisione, ZTL, corsie riservate, abbandono dei rifiuti e molte altre attività di competenza della polizia locale. Ridurre questi sistemi ad un semplice trattamento di dati personali significa però trascurarne la reale funzione istituzionale.

È proprio qui che il provvedimento del Garante lascia emergere alcune criticità interpretative. L’Autorità censura il Comune di Vasto per avere predisposto un’informativa ritenuta troppo generica, nella quale convivono finalità differenti come sicurezza urbana, tutela del patrimonio, polizia giudiziaria, controllo della mobilità e accertamento delle violazioni del Codice della strada, sostenendo che ciascun sistema dovrebbe essere accompagnato da un’informativa distinta e specifica.

Dal punto di vista teorico il ragionamento appare coerente con il principio di trasparenza previsto dagli artt. 12 e 13 del GDPR, ma sul piano operativo, esso rischia di scontrarsi con la realtà delle moderne centrali operative.

Oggi la maggior parte degli impianti comunali è costituita da un’unica infrastruttura tecnologica composta da decine o centinaia di telecamere che svolgono contemporaneamente finalità diverse. In molti casi lo stesso punto di ripresa è utilizzato sia per esigenze di sicurezza urbana, sia per l’accertamento di specifiche violazioni amministrative. Pretendere una segmentazione assoluta delle informative rischia quindi di tradursi in un adempimento formale estremamente complesso, senza produrre un reale incremento della tutela dell’interessato.

Ancora più discutibile appare l’affermazione secondo cui il cartello di primo livello dovrebbe contenere indicazioni molto dettagliate sulle finalità perseguite e persino sui tempi di conservazione delle immagini. È indubbio che il cittadino debba essere informato, ma occorre ricordare che l’informativa di primo livello nasce proprio come informazione sintetica, destinata a richiamare l’attenzione dell’interessato e ad indirizzarlo verso l’informativa completa. Pretendere che il cartello riporti una descrizione analitica di ogni finalità, delle modalità di trattamento, dei tempi di conservazione differenziati e dei diritti esercitabili rischia di snaturarne completamente la funzione. Tra l’altro, l’esperienza quotidiana insegna che un cartello eccessivamente ricco di informazioni finisce inevitabilmente per non essere letto da nessuno, con un risultato opposto rispetto all’obiettivo perseguito dal principio di trasparenza.

Un ulteriore aspetto che merita attenzione riguarda la valutazione d’impatto (DPIA). Il Garante ribadisce che la DPIA deve essere effettuata prima dell’avvio del trattamento e non successivamente. Inoltre essa deve analizzare in maniera puntuale ciascun trattamento e non limitarsi ad una descrizione generica dell’intero sistema di videosorveglianza. Anche sotto questo profilo il richiamo dell’Autorità è condivisibile. Molti enti locali continuano infatti a predisporre valutazioni d’impatto “standard”, spesso elaborate anni prima e mai realmente aggiornate all’evoluzione tecnologica dei sistemi installati. Il principio di accountability imposto dal GDPR richiede invece un’attività continua di verifica, soprattutto quando vengono introdotte nuove funzionalità o nuovi algoritmi di analisi delle immagini.

Del tutto condivisibile è invece la censura relativa al mancato oscuramento delle targhe e degli altri soggetti estranei all’infrazione. Su questo punto il provvedimento richiama non soltanto il tradizionale provvedimento del Garante dell’8 aprile 2010, ma anche il recente D.M. 11 aprile 2024 sui dispositivi di controllo della velocità, evidenziando come la documentazione resa disponibile all’interessato debba contenere esclusivamente gli elementi necessari alla contestazione della violazione, oscurando tutto ciò che riguarda soggetti terzi. Si tratta probabilmente dell’aspetto più significativo dell’intero provvedimento, perché non riguarda meri formalismi documentali ma il concreto rispetto del principio di minimizzazione dei dati. Se un sistema consente tecnicamente l’oscuramento automatico delle immagini, tale funzionalità deve essere sempre utilizzata. In questo caso il Comune stesso ha ammesso che l’anomalia era dovuta ad un errore tecnico occasionale, circostanza che tuttavia non ha impedito al Garante di accertare la violazione del GDPR.

Pur con tutti i citati distinguo, se analizziamo il complesso del provvedimento, l’impressione è che finisca per attribuire un peso eccessivo agli aspetti formali rispetto alla sostanza del trattamento. L’Autorità riconosce infatti che il sistema era regolarmente omologato, che l’accertamento dell’infrazione era pienamente legittimo e che esisteva una base normativa specifica per il trattamento dei dati personali. La sanzione nasce esclusivamente dalla gestione degli obblighi privacy: informativa (tra l’altro di primo livello) ritenuta non sufficientemente dettagliata, DPIA redatta tardivamente e mancato oscuramento di alcuni elementi presenti nelle immagini. Il fatto poi che l’autorità non si sia limitata ad un richiamo ma abbia sanzionato il Comune testimonia come l’intero tema della Privacy stia uscendo dall’ambito della collaborazione e della tutela dei cittadini, ed assume talvolta le sembianze di una crociata che alla lunga rischia di non giovare a nessuno.

Condividi questo articolo!

Attiva il servizio per il tuo ente

L’accesso ai contenuti riservati è dedicato agli enti convenzionati. Per attivare un account o ricevere informazioni, contatta DEDA: ti seguiremo noi nella procedura di attivazione.

Scrivi a DEDA
oppure scrivi a: sales.incloud@civilianext.it