Un recente provvedimento del Garante per la protezione dei dati personali ha riguardato l’installazione e l’uso di un sistema di videosorveglianza da parte del Comune di Orte. Il caso è utile a tutti gli enti locali perché chiarisce, in modo molto concreto, quali passaggi “non sono opzionali” quando si attivano telecamere su aree pubbliche: base giuridica e proporzionalità, informative corrette, valutazione d’impatto (DPIA/VIPD) e collaborazione tempestiva con l’Autorità.
Che cosa è successo (in sintesi)
Dall’istruttoria emerge che sul territorio comunale erano state installate 43 telecamere; la lettura targhe era “prevista” su alcune, ma non attivata. L’impianto, collaudato il 18 gennaio 2024, è rimasto in gran parte inattivo, salvo test, e poi è stato riattivato dall’11 settembre al 9 dicembre 2024 (96 giorni), a seguito di una comunicazione della Questura collegata a un contesto di possibile rischio per la pubblica sicurezza.
Il Comune dichiarava come finalità la tutela della sicurezza urbana e richiamava un patto per l’attuazione della sicurezza urbana con la Prefettura (15 dicembre 2021). Il Garante però ha rilevato che quel patto, riferendosi ad aree molto ampie, non riportava elementi sufficientemente puntuali (numero e siti delle telecamere, motivazioni specifiche su necessità e proporzionalità per i singoli punti). Inoltre, la nota della Questura, letta dal Garante, non prescriveva l’attivazione: chiedeva piuttosto di verificare la “corretta funzionalità” del sistema in vista di eventi imminenti.
Le criticità principali: non basta “mettere i cartelli”
Il punto più “didattico” del provvedimento riguarda la trasparenza. Il Comune aveva installato cartelli, ma il Garante ha ritenuto che:
- alcuni cartelli agli ingressi (“zona sottoposta a videosorveglianza”) fossero troppo generici per soddisfare gli obblighi informativi;
- i cartelli di primo livello riportassero finalità inconferenti o vaghe (es. “tutela del patrimonio”, “sicurezza”) rispetto alla finalità effettiva dichiarata (sicurezza urbana) e senza indicare chiaramente la base giuridica;
- il QR code e il link rimandassero non alla pagina informativa comunale, ma a una pagina del sito del Garante sul GDPR: un errore che, secondo l’Autorità, svuota di efficacia il modello “a più livelli” (cartello sintetico + informativa estesa facilmente accessibile);
- l’informativa di secondo livello fosse stata resa disponibile tardivamente (comunque dopo l’avvio dell’istruttoria) e con contenuti non pienamente conformi: contatti del RPD “di fatto” solo via PEC e peraltro con PEC dell’ente; finalità molteplici non coerenti con quanto dichiarato; errata qualificazione del Comando di Polizia Locale come “responsabile del trattamento”; diritti elencati in modo incompleto (mancava il diritto di opposizione, centrale quando la base giuridica è l’interesse pubblico); canali per esercitare i diritti limitati alla sola PEC.
Anche la “nuova cartellonistica” (gennaio 2025) e la nuova informativa, pur migliorative, sono state giudicate ancora non pienamente allineate (QR che rimanda genericamente al sito, finalità troppe e disomogenee, contatti e diritti non impostati in modo corretto e completo).
DPIA/VIPD: va fatta prima, non “a istruttoria avviata”Altro passaggio chiave: la videosorveglianza in aree accessibili al pubblico, se sistematica e su scala ampia, può comportare rischio elevato per gli interessati e quindi richiede la valutazione d’impatto (art. 35 GDPR). Nel caso di Orte, la DPIA non risultava predisposta prima dell’avvio del trattamento; è arrivata in versioni successive, dopo l’intervento del Garante.
Rapporti con il Garante: rispondere è un obbligo
Il provvedimento richiama anche l’art. 157 del Codice: il Comune ha fornito riscontri parziali e tardivi alle richieste dell’Autorità, con conseguente ulteriore contestazione.
L’esito: illiceità del trattamento e sanzione
Il Garante ha dichiarato illecito il trattamento, contestando violazioni di liceità/trasparenza, informativa, DPIA e riscontro all’Autorità. Poiché il sistema non risultava attivo “allo stato degli atti”, non sono state imposte ulteriori misure correttive operative, ma è stata adottata ordinanza-ingiunzione con sanzione complessiva di 6.000 euro (5.000 euro per il trattamento tramite telecamere + 1.000 euro per il mancato tempestivo riscontro), con pubblicazione del provvedimento.
Cosa devono fare oggi gli enti locali: mini-checklist operativa
Per evitare di ripetere errori analoghi, un Comune (o Unione/Provincia) dovrebbe trattare l’avvio della videosorveglianza come un progetto “privacy by design”:
- Base giuridica e perimetro
- indicare chiaramente la norma e l’interesse pubblico;
- dimostrare necessità e proporzionalità (perché proprio lì, perché quel numero di telecamere, perché quell’angolo di ripresa).
- Documentare le scelte
- atti interni, motivazioni, mappa dei punti, tempi di conservazione, accessi, log, ruoli.
- DPIA/VIPD prima dell’attivazione
- valutare rischi e misure; se necessario, valutare anche l’eventuale consultazione preventiva.
- Informativa “a due livelli” fatta bene
- cartello con: titolare, finalità reali, riferimento alla base giuridica, diritti essenziali, link/QR alla pagina specifica dell’informativa estesa;
- informativa estesa completa (art. 13 GDPR), scritta in modo chiaro, con diritti completi (inclusa opposizione quando pertinente) e canali di contatto non solo PEC.
- Ruoli corretti
- distinguere “titolare”, “responsabili esterni” (fornitori/gestori), “autorizzati”; evitare qualifiche improprie di uffici interni come “responsabili”.
- Conservazione e accesso
- tempi coerenti e motivati; prevedere esplicitamente cosa accade se le immagini servono per indagini/procedimenti.
- Risposte rapide al Garante
- protocolli interni per riscontri completi nei termini: la collaborazione è un obbligo, non un adempimento facoltativo.
Lascia un commento