Vietate le telecamere che non rispettano la privacy
Con il provvedimento n. 102 del 12 febbraio 2026, il Garante per la protezione dei dati personali ha ribadito le sue posizioni sull’utilizzo di videocamere nei luoghi aperti al pubblico, comminando una sanzione di quattromila euro ad un Comune per aver utilizzato sistemi di videosorveglianza, senza rispettare la normativa in materia di privacy.
Il Garante è stato attenzionato sulla questione dal reclamo di un automobilista, il quale aveva ricevuto un verbale di accertamento di violazione al Codice della strada per mancata revisione del veicolo.
Il Comune non aveva fornito, nel verbale, alcuna spiegazione sul modo in cui era stato effettuato l’accertamento dell’infrazione, verificata attraverso un sistema video non omologato per questa finalità. Assenti anche le motivazioni che non avevano consentito la contestazione immediata.
Il reclamante lamentava che il cartello di videosorveglianza non era idoneo, in quanto privo degli elementi obbligatori richiesti dalla normativa in materia, mancava, tra l’altro, sullo stesso l’ indicazione sulla disponibilità dell’informativa di secondo livello per gli interessati per le diverse finalità perseguite di tipo amministrativo (sanzioni Cds) e sicurezza pubblica (furti).
Durante l’istruttoria, il Garante ha rilevato che il trattamento dei dati personali mediante il sistema di videosorveglianza mancava effettivamente di un’idonea base giuridica; il trattamento, infatti, veniva effettuato, in violazione del principio in base al quale i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”.
Il Comune, inoltre, non aveva fornito idonea informativa, né effettuato la valutazione di impatto, necessaria, in tali circostanze, secondo l’articolo 35 del Regolamento n. 679/2016.
Assenza di un’informativa idonea di secondo livello
Con specifico riferimento all’informativa, il Garante ha accertato l’assenza di un’informativa idonea di secondo livello, alla quale ciascun cartello di videosorveglianza deve necessariamente rimandare.
Quando sono utilizzati dei dispositivi video, il titolare del trattamento, infatti, oltre a rendere l’informativa di primo livello, mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda anche i più recenti provvedimenti del Garante del 18 dicembre 2025, n. 752, doc. web n. 10213486, 29 aprile 2025, n. 244, doc. web n. 10144974, 19 dicembre 2024, n. 805, doc. web n. 10107263).
Il cartello, infatti, deve comunicare le informazioni più importanti in maniera sintetica, come, ad esempio, le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, assieme alle informazioni sugli impatti più consistenti del trattamento (Linee guida del Comitato, cit., par. 114) e deve contenere, altresì, un chiaro riferimento al secondo livello di informazioni, ad esempio, indicando un sito web sul quale è possibile consultare per esteso il contenuto dell’informativa.
Nel caso di specie, l’informativa estesa fornita dal Comune al Garante in sede istruttoria non risultava idonea, in quanto: erano indicati riferimenti non aggiornati in merito alla normativa sulla protezione dei dati personali (“art. 13 del Codice in materia di protezione dei dati personali”);
era assente l’indicazione dell’identità e i dati di contatto del titolare del trattamento, essendo indicato che “la registrazione è effettuata dal Comandante della Polizia Municipale”;
non erano indicati i dati del Responsabile della protezione dei dati;
mancava l’indicazione delle basi giuridiche del trattamento;
in merito alle finalità del trattamento, era indicato che “la registrazione è effettuata […] per la rilevazione di infrazioni al Codice della Strada e per sanzionare l’abbandono incontrollato di rifiuti”. A tal riguardo, il Garante rammenta che la finalità di trattamento connessa al controllo degli illeciti amministrativi in materia ambientale, non può essere perseguita con le medesime telecamere di videosorveglianza che riprendono ad ampio raggio la pubblica via per finalità di sicurezza urbana, potendo, invece, gli Enti locali utilizzare dispositivi foto/video (c.d. fototrappole) collocati in specifiche e circoscritte aree su cui insiste un effettivo rischio di illecito abbandono di rifiuti o scorretto conferimento di rifiuti, solo se non risulta possibile, o si riveli non efficace, il ricorso a strumenti e sistemi di controllo alternativi e comunque nel rispetto del principio di minimizzazione dei dati, che impone di configurare tali dispositivi con un angolo di visuale circoscritto alle aree interessate dai predetti fenomeni (cfr. FAQ del Garante in materia di videosorveglianza, cit., n. 13); pertanto, l’informativa dovrebbe eventualmente specificare che tale finalità di trattamento si riferisce esclusivamente alle c.d. foto trappole, ove effettivamente impiegate dal Comune;
non era indicato il periodo di conservazione delle immagini;
non erano menzionati i diritti degli interessati di cui agli artt. 15 e seg. del Regolamento e le modalità di esercizio degli stessi;
assenti anche le modalità attraverso le quali gli interessati possono visionare l’informativa completa di “secondo livello”.
E nemmeno le modalità con cui consentire ai cittadini di prendere visione dell’informativa di “secondo livello” erano esatte, il Garante rilevava, infatti, che l’informativa estesa non era facilmente accessibile nelle pagine del sito web del Comune.
Assenza della valutazione d’impatto
In merito alla valutazione d’impatto, invece, la stessa non era stata compiuta, in quanto il Comune aveva erroneamente ritenuto che non ve ne fosse la necessità.
Il Garante ha invece ricordato che l’utilizzo di nuove tecnologie comporta spesso rischi elevati per i diritti e le libertà delle persone, in particolare, quando vengono impiegate videocamere per la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (v. art. 35, par. 3, lett. c), del Regolamento); in tali circostanze, è doveroso per il titolare del trattamento effettuare una valutazione d’impatto sulla protezione dei dati, al fine di adottare le misure adeguate ad affrontare rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento).
Il Garante, pertanto, ha comminato la sanzione del valore di quattromila euro, imponendo al Comune di sanare le sue omissioni e violazioni, attraverso l’informativa corretta da rendere agli automobilisti e mediante la valutazione d’impatto.
10 marzo 2026 di Spedicato Annalisa