Il Garante Privacy ha sanzionato un Comune per l’uso di un sistema di videosorveglianza con lettura targhe impiegato per contestare, in modalità differita, una violazione dell’art. 80 CdS (omessa revisione).

In estrema sintesi

Il problema non è la videosorveglianza in sé, ma come è stata usata e come è stato impostato il trattamento dei dati personali.

I fatti essenziali

Un cittadino ha ricevuto, tramite SEND/App IO, un verbale per circolazione con veicolo non revisionato.

Il Comune ha dichiarato di aver utilizzato un sistema di lettura targhe e videosorveglianza, poi integrando l’accertamento con verifiche d’ufficio presso banche dati.

Nel corso dell’istruttoria è emerso che:

• le telecamere non erano omologate né approvate per il rilevamento da remoto delle violazioni degli artt. 80 e 193 CdS;
• il verbale richiamava genericamente l’impossibilità di contestazione immediata per “infrazione accertata a mezzo sistemi di videosorveglianza”;
• l’informativa privacy era incompleta e non corretta;
• mancava una DPIA;
• il Comune ha poi sospeso la modalità di accertamento da remoto e avviato correttivi.

Cosa ha contestato il Garante

1) Trattamento illecito per carenza di base giuridica adeguata

Il Garante ha rilevato che il Comune ha utilizzato il sistema video per contestare in differita la violazione senza i necessari presupposti di legge.

Punto chiave:

• per usare dispositivi video per accertare da remoto violazioni come quelle dell’art. 80 CdS servono specifiche condizioni normative;
• nel caso concreto, le apparecchiature non risultavano omologate/approvate per quel tipo di uso;
• nel verbale non erano indicati in modo adeguato gli effettivi motivi che rendevano impossibile la contestazione immediata.

Conclusione del Garante: violazione dei principi di liceità, correttezza e trasparenza e assenza di una idonea base giuridica.

2) Informativa privacy inidonea

Il Garante ha ritenuto non conforme sia l’informativa di primo livello (cartello), sia quella di secondo livello.

Criticità rilevate:

• riferimenti normativi non aggiornati;
• indicazione errata o incompleta del titolare;
• assenza dei dati del DPO;
• basi giuridiche non chiarite correttamente;
• finalità formulate in modo improprio o promiscuo;
• assenza del periodo di conservazione;
• diritti degli interessati non compiutamente indicati;
• mancato rinvio efficace a un’informativa estesa realmente accessibile;
• informativa di secondo livello non reperibile o non facilmente raggiungibile sul sito.

Messaggio operativo: il cartello non basta da solo; deve rinviare a una informativa completa, corretta e davvero accessibile.

3) Mancata DPIA

Il Comune non aveva svolto la valutazione d’impatto, ritenendo che la validazione del progetto da parte del Comitato per l’Ordine e la Sicurezza Pubblica fosse sufficiente.

Il Garante ha chiarito che:

• la DPIA è un obbligo autonomo del titolare;
• la validazione prefettizia o di altri organismi non sostituisce la valutazione d’impatto privacy;
• la videosorveglianza sistematica su larga scala di aree pubbliche richiede normalmente la DPIA

Le violazioni accertate

Il Garante ha ritenuto violati:

• art. 5, par. 1, lett. a) GDPR: liceità, correttezza, trasparenza;
• art. 6 GDPR: base giuridica del trattamento;
• artt. 12 e 13 GDPR: obblighi informativi;
• art. 35 GDPR: valutazione d’impatto;
• art. 2-ter del Codice privacy: base normativa per i soggetti pubblici.

Le conseguenze

Il Garante ha:

• dichiarato illecito il trattamento;
• ordinato al Comune di:
  
  
  • adeguare l’informativa di primo livello;
  • rendere facilmente accessibile l’informativa di secondo livello;
  • svolgere o adeguare la DPIA;
  • comunicare entro 30 giorni le misure adottate;
• applicato una sanzione amministrativa di 4.000 euro;
• disposto la pubblicazione del provvedimento.

Cosa devono imparare gli enti locali

Tre regole pratiche

1. Non tutto ciò che è tecnicamente possibile è giuridicamente lecito.

Un alert da lettura targhe può essere un supporto operativo, ma non sempre legittima da solo la contestazione differita.

2. La videosorveglianza per sicurezza urbana non può essere “allargata” automaticamente ad altre finalità.

Ogni finalità va verificata separatamente sotto il profilo di base giuridica, proporzionalità, minimizzazione e trasparenza.

3. DPIA e informative non sono adempimenti formali.

Sono condizioni sostanziali di liceità e accountability.