Il via libera del Garante per la protezione dei dati personali allo schema di decreto del Ministero delle Infrastrutture e dei Trasporti sulla piattaforma telematica per la richiesta e il rilascio delle targhe dei monopattini elettrici segna un passaggio rilevante nel complesso processo di regolazione della micromobilità urbana.
Un passaggio che, come spesso accade, non riguarda soltanto la circolazione dei veicoli, ma investe direttamente l’architettura dei trattamenti di dati personali sottesi agli strumenti digitali di attuazione della normativa.
Il parere favorevole dell’Autorità non equivale a un’approvazione incondizionata. Al contrario, il Garante ha subordinato il proprio assenso al recepimento di una serie di prescrizioni puntuali, che offrono uno spaccato interessante del modo in cui il principio di minimizzazione dei dati continua a operare anche all’interno di progetti pubblici formalmente legittimi e funzionali. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Indice
- 1. La piattaforma per le targhe dei monopattini come trattamento di dati personali
- 2. SPID, CIE e il divieto di ridondanza informativa
- 3. Verifiche sulle imprese: trasparenza prima ancora che liceità
- 4. Il MIT come unico titolare del trattamento
- 5. Non è un problema di tecnologia, ma di disciplina giuridica
- Formazione in materia per professionisti
- Ti interessano questi contenuti?
1. La piattaforma per le targhe dei monopattini come trattamento di dati personali
La piattaforma telematica prevista dal decreto MIT è destinata a gestire l’intero ciclo di vita della richiesta del contrassegno identificativo: dalla presentazione dell’istanza, all’identificazione del richiedente, fino al rilascio della targa associata al veicolo.
Si tratta, a tutti gli effetti, di un trattamento strutturato e centralizzato di dati personali, che coinvolge soggetti privati, imprese e pubbliche amministrazioni, e che richiede quindi una chiara individuazione di ruoli, responsabilità e basi giuridiche.
Il Garante non mette in discussione la liceità della finalità perseguita. L’introduzione di un sistema di identificazione dei monopattini risponde a esigenze di sicurezza stradale, responsabilizzazione degli utenti e contrasto agli usi impropri. Tuttavia, come l’Autorità ribadisce implicitamente, la legittimità della finalità non autorizza scorciatoie sul piano della protezione dei dati. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. SPID, CIE e il divieto di ridondanza informativa
Uno dei rilievi più significativi riguarda il previsto collegamento automatico con l’Anagrafe nazionale della popolazione residente per la verifica dei dati dei richiedenti il contrassegno.
Secondo il Garante, tale interrogazione risulta non necessaria ed eccessiva, poiché l’identificazione dell’utente è già garantita dall’autenticazione tramite SPID o Carta d’identità elettronica.
Il punto è tutt’altro che secondario. L’Autorità riafferma un principio spesso trascurato nei progetti pubblici: l’autenticazione digitale qualificata non è un passaggio preliminare “debole” da rafforzare con ulteriori controlli, ma uno strumento giuridicamente idoneo a identificare l’interessato.
Ogni ulteriore accesso a banche dati pubbliche deve essere giustificato da una necessità concreta e proporzionata. In mancanza, si traduce in una duplicazione informativa incompatibile con l’art. 5, par. 1, lett. c), del GDPR.
In altre parole, se l’identità è già certa, il principio di minimizzazione impone di fermarsi.
3. Verifiche sulle imprese: trasparenza prima ancora che liceità
Un secondo profilo critico riguarda le verifiche relative alle imprese e ai poteri di rappresentanza del richiedente. Il Garante ha chiesto al MIT di specificare puntualmente le banche dati utilizzate a tal fine, evitando riferimenti generici o indeterminati.
La richiesta non ha una valenza meramente formale. La chiarezza sulle fonti informative è una condizione essenziale per garantire la trasparenza del trattamento e la verificabilità della sua liceità.
Un sistema che interroga “banche dati” non meglio identificate non consente né agli interessati né agli organi di controllo di comprendere l’effettiva portata del trattamento, né di valutare il rispetto dei principi di pertinenza e proporzionalità.
Ancora una volta, il messaggio è netto: la complessità organizzativa non giustifica l’opacità giuridica.
Potrebbero interessarti anche:
4. Il MIT come unico titolare del trattamento
Particolarmente rilevante è anche la prescrizione relativa alla titolarità del trattamento. Il Garante ha chiarito che tutti gli adempimenti connessi ai trattamenti effettuati nell’ambito della piattaforma — dall’informativa agli interessati alla gestione dell’esercizio dei diritti — devono fare capo esclusivamente al Ministero delle Infrastrutture e dei Trasporti, in qualità di titolare.
La scelta risponde a un’esigenza di semplificazione e di certezza giuridica. In sistemi complessi e multilivello, il rischio di una frammentazione delle responsabilità è elevato.
Attribuire in modo chiaro la titolarità consente non solo una più efficace tutela degli interessati, ma anche una governance più solida del trattamento, riducendo il rischio di vuoti di responsabilità o di rimpalli tra amministrazioni.
5. Non è un problema di tecnologia, ma di disciplina giuridica
Il parere del Garante non racconta una storia edificante sulla digitalizzazione della pubblica amministrazione. Racconta, molto più prosaicamente, l’ennesimo tentativo di far passare per “efficienza” ciò che è, in realtà, accumulo disordinato di dati, ridondanza di controlli e scarsa attenzione alla struttura giuridica dei trattamenti.
Non c’è nulla di visionario nella richiesta di eliminare interrogazioni inutili dei dati, quando l’identificazione è già garantita da SPID o CIE. C’è solo l’applicazione rigorosa di un principio elementare del GDPR: se un dato non serve, non si tratta. E non c’è alcuna raffinatezza tecnica nella pretesa di specificare quali banche dati vengano utilizzate per verificare imprese e poteri di rappresentanza. C’è la pretesa, del tutto banale, che un trattamento pubblico sia comprensibile, tracciabile e giuridicamente difendibile.
Il punto, dunque, non è la micromobilità, né i monopattini, né le targhe. Il punto è che anche nei progetti più ordinari della pubblica amministrazione continua a emergere una difficoltà strutturale: accettare che la protezione dei dati personali non sia un fastidio procedurale da aggirare, ma un vincolo sostanziale che incide sull’architettura stessa dei sistemi.
Il Garante, in questo caso, non frena nulla e non “corregge” in senso moralistico. Si limita a ricordare che la semplificazione amministrativa non coincide con la semplificazione giuridica e che l’identità digitale non autorizza un surplus di sorveglianza informativa.
Chi continua a leggere questi interventi come resistenze all’innovazione probabilmente sta guardando il problema dalla parte sbagliata. Qui non è in gioco il futuro digitale del Paese, ma qualcosa di molto più concreto: la capacità delle amministrazioni di progettare piattaforme che funzionino senza violare principi elementari di necessità, proporzionalità e responsabilità.
Ed è una capacità che, ancora una volta, non si improvvisa con un decreto.
Formazione in materia per professionisti
Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento