Il Garante privacy, a seguito di una segnalazione, ha avviato un’istruttoria sul Comune di Orte per l’installazione/uso di un sistema di videosorveglianza ritenuto non trasparente verso i cittadini.

Fatti principali

• Sul territorio comunale risultavano installate 43 telecamere; la lettura targhe era prevista su alcune ma non attivata.
• Finalità dichiarata dal Comune: sicurezza urbana; richiamato un patto per la sicurezza urbana con la Prefettura (15/12/2021).
• Conservazione immagini dichiarata: 7 giorni.
• DPIA/VIPD non svolta prima dell’avvio del trattamento; predisposta solo dopo l’avvio dell’istruttoria.

Contestazioni del Garante

1. Liceità e base giuridica non dimostrate in modo adeguato
   Il patto con la Prefettura era ritenuto troppo generico (aree ampie, senza dettaglio su numero e siti puntuali). Non risultavano evidenze di valutazioni specifiche su necessità e proporzionalità per i singoli punti di installazione.
   La nota della Questura, inoltre, non imponeva l’attivazione: chiedeva la verifica della funzionalità in un contesto specifico, senza giustificare l’attivazione prolungata fino a dicembre.
2. Trasparenza insufficiente (informativa “a due livelli” non corretta)
   
   
   • Cartelli agli ingressi “zona videosorvegliata” giudicati troppo generici.
   • Cartelli di primo livello con finalità inconferenti o vaghe (es. “tutela del patrimonio”, “sicurezza”) e senza un chiaro riferimento alla base giuridica.
   • QR code/link che rimandavano al sito del Garante (pagina sul GDPR) invece che a una informativa comunale completa, rendendo inefficace il modello “stratificato” (primo livello + secondo livello).
   • Informativa di secondo livello pubblicata tardivamente e con criticità: contatti del RPD impostati in modo non adeguato (solo PEC/PEC dell’ente), finalità non coerenti o troppo numerose, indicazioni non corrette su ruoli, diritti incompleti (mancava il diritto di opposizione), modalità di esercizio dei diritti limitate alla sola PEC.
     Anche gli aggiornamenti del 2025 non risultavano pienamente conformi (QR generico al sito, finalità eterogenee, diritti/contatti non impostati correttamente);
3. Valutazione d’impatto (DPIA/VIPD) omessa “a monte”
   In presenza di sorveglianza sistematica in area pubblica, la DPIA va fatta prima dell’avvio. Nel caso, è arrivata dopo;
4. Riscontri al Garante tardivi/incompleti.

Esito e sanzione

Il Garante ha dichiarato illecito il trattamento per violazioni di liceità/trasparenza, obblighi informativi e DPIA, oltre all’omesso tempestivo riscontro. Poiché il sistema non risultava attivo al momento della decisione, non ha disposto ulteriori misure correttive operative, ma ha adottato ordinanza-ingiunzione con sanzione complessiva di 6.000 euro.