Videosorveglianza comunale, il Garante alza l’asticella

Patto di sicurezza urbana e DPIA: le ordinanze 2025 del Garante su Tuscania e Nave evidenziano le criticità che possono bloccare la videosorveglianza comunale e i varchi di lettura targhe

Tuscania e Nave, ordinanze 2025. Patto di sicurezza urbana, basi giuridiche puntuali e DPIA preventiva diventano snodi operativi che possono determinare stop e cancellazione dati.

Le più recenti ordinanze ingiunzione del Garante per la protezione dei dati personali in materia di videosorveglianza comunale, in particolare il provvedimento del 4 dicembre 2025 n. 730 rivolto al Comune di Tuscania e il provvedimento del 18 dicembre 2025 n. 752 rivolto al Comune di Nave, segnano un passaggio netto. Non si tratta di richiami formali o di irregolarità marginali, ma di decisioni che incidono direttamente sulla possibilità di continuare a utilizzare gli impianti, anche con misure correttive che possono arrivare al divieto di trattamento e alla cancellazione dei dati già raccolti.

Il messaggio è operativo. La videosorveglianza, soprattutto quando è dichiarata a fini di sicurezza urbana o utilizza varchi di lettura targhe e sistemi di lettura automatizzata delle targhe, non può più essere gestita come un insieme di dispositivi “tecnici” cui adattare ex post gli adempimenti privacy. È un trattamento complesso che richiede basi giuridiche verificabili, coerenza tra finalità dichiarate e configurazione reale dell’impianto, documentazione pronta e un governo unitario del sistema. Le ordinanze insistono su tre snodi ricorrenti: patto per la sicurezza urbana effettivamente vigente e riferibile all’impianto; finalità distinte con basi giuridiche puntuali; DPIA preventiva e coerente con le funzionalità reali.

Sicurezza urbana e patto. La linea è netta
Quando un Comune qualifica l’impianto come “sicurezza urbana”, la tenuta del trattamento passa dalla disciplina di settore e dalla dimostrabilità del collegamento tra patto e impianto effettivamente in esercizio. In concreto, non basta “dichiarare” la finalità. Serve poter dimostrare che l’accordo è attuale, specifico e riferibile alle aree e alle logiche installative, e che questa coerenza è riscontrabile anche negli atti interni e nella configurazione reale del sistema.

Varchi di lettura targhe e sistemi di lettura automatizzata delle targhe. Conta la configurazione, non la narrazione
Il punto critico, già visto in più istruttorie, è la divergenza tra “uso dichiarato” e “uso reale”. Se il sistema è configurato per funzionare in modo continuativo, registrando tutti i transiti e conservando i dati per giorni, il trattamento diventa generalizzato. In questo scenario il tema non è la tecnologia in sé, ma la minimizzazione e la limitazione della conservazione. Se il sistema registra tutto e “filtra dopo”, la criticità si manifesta già a monte, perché l’eventuale selezione successiva non elimina l’impatto del trattamento sistematico sui transiti.

DPIA preventiva. Non è un allegato, è una condizione di liceità
Il messaggio più pratico delle ordinanze è che la DPIA non è un adempimento accessorio. Quando ricorre una sorveglianza sistematica su larga scala di aree accessibili al pubblico, la valutazione di impatto è attesa prima dell’attivazione e deve descrivere l’impianto come realmente configurato, incluse funzionalità come lettura targhe, interconnessioni, regole di accesso, tempi di conservazione e misure di minimizzazione. Difese ricorrenti come “tecnologia consolidata” o “DPIA avviata dopo” non reggono sul piano sostanziale, perché la DPIA serve a orientare scelte progettuali e configurative ex ante. Se manca, l’adeguamento tende a trasformarsi in un piano di rientro che può imporre riconfigurazioni e, nei casi più critici, limitazioni o disattivazioni funzionali.

Fornitori, accessi e catena delle responsabilità. Accountability “provabile”
Le ordinanze richiamano anche criticità tipiche nella filiera: contratti e nomine non dimostrabili; ruoli non chiariti in modo coerente; accessi non governati o non documentati; assenza di evidenze sui tracciamenti e sulle procedure operative. In istruttoria non basta affermare che “nessuno accede” o che “è tutto gestito dal fornitore”. Serve dimostrarlo con atti e configurazioni coerenti, incluse misure tecniche e organizzative, log dove pertinenti, procedure di autorizzazione e tracciabilità degli accessi, e regole chiare su assistenza e manutenzione.

Diritti degli interessati. Attenzione ai regolamenti comunali
Un ulteriore punto sensibile è la gestione delle istanze. È un campanello d’allarme quando regolamenti comunali o prassi interne mescolano accesso documentale e diritti privacy, imponendo motivazione o costi per l’accesso alle immagini. Nella logica del GDPR, l’esercizio dei diritti ha tempi e modalità proprie e non può essere “irrigidito” con filtri impropri che, di fatto, scoraggiano o ostacolano le richieste.

Misure correttive. Rischio operativo, non solo sanzionatorio
Il dato che molte organizzazioni sottovalutano è l’effetto pratico delle misure correttive. Non ci si ferma alla sanzione economica. Le ordinanze arrivano a imporre ricognizioni complete dell’impianto, revisione delle basi giuridiche, aggiornamento delle informative e, quando emergono criticità strutturali su varchi e lettura targhe, anche stop del trattamento e cancellazione dei dati.

Indicazioni operative
Per un Comune, la priorità non è “difendere l’impianto” ma verificare se l’assetto è sostenibile: mappatura delle finalità realmente perseguite e separazione delle configurazioni; verifica puntuale dei presupposti di liceità per ciascuna finalità; DPIA preventiva e aderente alle funzionalità reali; filiera fornitori e accessi documentata e tracciabile; informative coerenti; procedura per la gestione delle istanze degli interessati chiara, applicabile e rispettosa dei tempi.

 

FAQ rapide

Questo riguarda anche il nostro Comune se non abbiamo lettura targhe, ma solo telecamere di contesto?
Sì. La lettura targhe alza il rischio e rende più probabili misure correttive immediate, ma base giuridica, trasparenza, DPIA quando si riprende su larga scala e governance valgono anche per la videosorveglianza di contesto su pubblica via.

Se abbiamo un patto per la sicurezza urbana siamo “coperti”?
Solo se il patto è vigente, puntuale e coerente con l’impianto oggi in esercizio. Un patto generico o non riferibile all’assetto attuale non costituisce una base giuridica valida per i trattamenti in corso.

Se conserviamo i transiti solo 7 giorni, è sufficiente per la minimizzazione?
No, non basta. Conta anche se si registrano indiscriminatamente i transiti di tutti, indipendentemente dall’infrazione. La minimizzazione riguarda anche ciò che si raccoglie e quando lo si memorizza.

Dobbiamo fare la DPIA sempre?
Nella videosorveglianza comunale, nella pratica, sì: è normalmente necessaria perché ricorre spesso una sorveglianza sistematica su aree accessibili al pubblico, e la DPIA deve precedere l’attivazione. Fa eccezione solo un numero limitato di casi in cui l’impianto è davvero circoscritto, non “su larga scala”, con configurazione minimizzata e senza funzionalità che aumentano la capacità di ricostruire spostamenti o comportamenti. Con sistemi di lettura automatizzata delle targhe, la DPIA è da considerare di fatto obbligatoria.

Un cittadino deve motivare la richiesta di accesso alle immagini?
Per l’accesso ai propri dati personali non deve motivare. Il Comune deve gestire l’istanza nei termini e con risposte coerenti con il GDPR, evitando filtri impropri che confondono accesso documentale e diritti privacy.

 

Alla news è allegato un articolo di approfondimento sul tema, a cura di Enrico Capirone, Data Protection Officer, che analizza in modo sistematico i profili giuridici e operativi emersi dalle ordinanze e che si invita a leggere per una valutazione completa dell’assetto dell’impianto:

Videosorveglianza comunale, articolo di approfondimento a cura del Dott. Enrico Capirone

 

Supporto iSimply sulla videosorveglianza comunale

iSimply affianca i comuni e le polizie locali nella progettazione e nella revisione degli impianti di videosorveglianza, con particolare attenzione alla sicurezza urbana e al rispetto del GDPR.

In particolare i nostri servizi includono:

• analisi degli impianti esistenti di videosorveglianza comunale e verifica di coerenza con il Patto per la sicurezza urbana;
• redazione e aggiornamento della DPIA videosorveglianza e degli atti interni;
• supporto nella definizione delle corrette basi giuridiche e dei tempi di conservazione;
• predisposizione di informative e cartellonistica conformi alle indicazioni del garante privacy;
• formazione pratica per comandi di polizia locale e uffici comunali coinvolti.

Per approfondimenti o per una valutazione del vostro impianto di videosorveglianza comunale potete contattare il team iSimply attraverso la email info@isimply.it o il numero di telefono 01251899500.

il Team Privacy e Protezione dei dati di iSimply