News

Il Garante per la Protezione dei Dati Personali ha inflitto una sanzione di 4.000 euro ad un Ente per aver violato gli obblighi di trasparenza e informativa nel trattamento dei dati personali attraverso sistemi di videosorveglianza per il controllo degli accessi alle zone a traffico limitato (ZTL). Il provvedimento del 27 marzo 2025 rappresenta un importante precedente che ribadisce l'importanza della corretta gestione degli obblighi informativi da parte degli enti pubblici, anche in situazioni di transizione organizzativa.

La vicenda ha origine da un reclamo presentato da un cittadino che aveva ricevuto un verbale di contestazione per accesso non autorizzato in una ZTL del centro storico. Il reclamante ha segnalato la confusione nell'identificazione del titolare del trattamento: nella cartellonistica presente all'epoca dei fatti era indicato il nome del Comune anziché il nuovo Circondario, che dal 1° gennaio aveva assunto la gestione delle funzioni di polizia locale attraverso una convenzione per la gestione associata.

Il problema è emerso chiaramente durante l'istruttoria: dal momento del subentro nella gestione del servizio fino al successivo aggiornamento della segnaletica, il Nuovo Circondario non aveva provveduto ad aggiornare l'informativa di primo livello presente sui cartelli di avvertimento, né aveva pubblicato sul proprio sito istituzionale l'informativa di secondo livello, come richiesto dalla normativa sulla protezione dei dati personali.

Il Garante ha accertato la violazione di tre disposizioni fondamentali del Regolamento UE 2016/679:

1. violazione del principio di trasparenza (art. 5, par. 1, lett. a): il principio di "liceità, correttezza e trasparenza" impone che i dati personali siano trattati in modo trasparente nei confronti dell'interessato. La mancata indicazione del corretto titolare del trattamento ha compromesso questo principio fondamentale.

2. violazione degli obblighi informativi generali (art. 12): l'articolo 12 del GDPR richiede che il titolare del trattamento adotti misure appropriate per fornire all'interessato tutte le informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile.

3. violazione degli obblighi informativi specifici (art. 13): l'articolo 13 del GDPR stabilisce le informazioni specifiche che devono essere fornite all'interessato, tra cui l'identità e i dati di contatto del titolare del trattamento.

Il provvedimento richiama la consolidata disciplina in materia di videosorveglianza, che prevede un sistema di informativa articolato su due livelli: informativa di primo livello (deve essere fornita mediante cartelli di avvertimento in prossimità della zona sottoposta a videosorveglianza, contenendo le informazioni più importanti come le finalità del trattamento, l'identità del titolare e l'esistenza dei diritti dell'interessato) e informativa di secondo livello: deve contenere tutti gli elementi obbligatori previsti dall'articolo 13 del Regolamento e deve essere facilmente accessibile, ad esempio attraverso una pagina web completa.

Come evidenziato dalla giurisprudenza di legittimità, la preventiva informazione dei conducenti costituisce condizione di legittimità dell'accertamento dell'accesso mediante sistemi elettronici, principio che si è consolidato con l'evoluzione della normativa privacy.

Nella quantificazione della sanzione, il Garante ha applicato i criteri previsti dall'articolo 83, paragrafo 2, del Regolamento, considerando diversi elementi:

• elementi aggravanti: la natura della violazione, che ha compromesso il principio di trasparenza fondamentale per l'esercizio dei diritti degli interessati
• elementi attenuanti: il carattere colposo della violazione, l'assenza di precedenti violazioni, il grado di cooperazione manifestato con l'Autorità, la tempestiva regolarizzazione delle informative una volta avviata l'istruttoria, e il particolare contesto organizzativo che ha caratterizzato il periodo di transizione.

Il provvedimento evidenzia alcuni principi fondamentali per gli enti pubblici che gestiscono sistemi di videosorveglianza e, in primis, evidenzia che il cambio di titolarità del trattamento non sospende gli obblighi informativi. È necessario aggiornare tempestivamente tutta la documentazione e la segnaletica.

Gli enti che subentrano nella gestione di servizi devono pianificare adeguatamente anche gli aspetti relativi alla protezione dei dati personali, non limitandosi agli aspetti meramente operativi. Non è sufficiente la presenza di una generica segnaletica; è necessario garantire l'identificazione corretta del titolare del trattamento e la disponibilità di informazioni complete e aggiornate.

Oltre alla sanzione pecuniaria, il Garante ha disposto la pubblicazione dell'ordinanza-ingiunzione sul proprio sito internet, ai sensi dell'articolo 166, comma 7, del Codice Privacy. Questa misura accessoria ha una funzione deterrente e di sensibilizzazione, evidenziando pubblicamente le conseguenze del mancato rispetto degli obblighi in materia di protezione dei dati personali.

Per gli enti pubblici, questo provvedimento rappresenta un'occasione per verificare la conformità dei propri sistemi di videosorveglianza e controllo accessi, assicurandosi che le informative siano complete, aggiornate e facilmente accessibili agli interessati, nel rispetto dei principi fondamentali di trasparenza e correttezza che caratterizzano il trattamento dei dati personali nell'era del GDPR.