Con provvedimento sanzionatorio nei confronti del Comune di Mazara del Vallo, il Garante per la protezione dei dati personali è intervenuto su un tema che continua a presentare criticità applicative rilevanti: l’utilizzo di sistemi di videosorveglianza per finalità di accertamento delle violazioni al Codice della strada in assenza di un corretto inquadramento giuridico e tecnico.
La vicenda trae origine dal reclamo di un automobilista destinatario di un verbale per mancata revisione del veicolo. L’accertamento dell’infrazione era avvenuto mediante un sistema video che, tuttavia, non risultava omologato per tale specifica finalità. Il verbale, inoltre, non conteneva alcuna indicazione circa le modalità concrete di rilevazione né le ragioni che avevano reso impossibile la contestazione immediata.
Elementi che, se letti isolatamente, potrebbero apparire come carenze formali, ma che in realtà incidono su profili sostanziali del trattamento dei dati personali. Per approfondimenti sul tema, abbiamo organizzato il corso di formazione “Videosorveglianza intelligente: obblighi e adempimenti per pubblici e privati”. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Indice
- 1. Base giuridica e principio di liceità: quando la tecnologia anticipa il diritto
- 2. Trasparenza e diritto di difesa: il contenuto del verbale come punto di contatto tra privacy e procedimento sanzionatorio
- 3. Informativa e accountability: obblighi non derogabili
- 4. Videosorveglianza e DPIA: il criterio della sorveglianza sistematica su larga scala
- 5. Le misure correttive e la sanzione
- 6. Tecnologia, omologazione e funzione pubblica: un equilibrio necessario
- 7. Considerazioni conclusive
- Formazione per giuristi in materia
1. Base giuridica e principio di liceità: quando la tecnologia anticipa il diritto
Il primo rilievo del Garante riguarda l’assenza di un’idonea base giuridica.
Ai sensi dell’art. 6, par. 1, lett. e) GDPR, i trattamenti effettuati da soggetti pubblici devono fondarsi su una norma di legge o di regolamento che ne determini finalità e modalità. Nel caso di specie, l’utilizzo di un sistema video non omologato per l’accertamento della specifica violazione determina una frattura tra strumento utilizzato e quadro normativo di riferimento.
Non si tratta, quindi, di una mera irregolarità tecnica, ma di un difetto strutturale di legittimazione del trattamento. L’ente ha di fatto utilizzato una tecnologia in un ambito per il quale non era giuridicamente abilitato, con conseguente violazione del principio di liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a) GDPR.
La vicenda evidenzia un fenomeno ormai ricorrente: la disponibilità tecnologica precede e talvolta travalica il perimetro normativo, inducendo le amministrazioni a utilizzare strumenti “di fatto” idonei, ma “di diritto” non autorizzati. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. Trasparenza e diritto di difesa: il contenuto del verbale come punto di contatto tra privacy e procedimento sanzionatorio
Ulteriore profilo critico riguarda la totale assenza, nel verbale, di indicazioni sulle modalità di accertamento dell’infrazione.
Questo elemento non incide soltanto sugli obblighi informativi previsti dagli artt. 12 e 13 GDPR, ma si riflette direttamente sul diritto di difesa dell’interessato. La mancata indicazione dello strumento utilizzato e delle condizioni di rilevazione impedisce infatti al destinatario del verbale di comprendere e, se del caso, contestare l’accertamento.
Si assiste, in questo punto, a una sovrapposizione significativa tra disciplina della protezione dei dati personali e diritto amministrativo sanzionatorio: la trasparenza del trattamento diventa condizione per l’effettività delle garanzie procedimentali.
3. Informativa e accountability: obblighi non derogabili
Il Garante ha inoltre rilevato la mancata predisposizione di un’idonea informativa agli interessati.
L’obbligo informativo non può essere considerato recessivo nemmeno nei trattamenti effettuati per finalità di accertamento di illeciti amministrativi. Al contrario, proprio in tali contesti, la chiarezza circa le modalità e le finalità del trattamento assume un ruolo centrale, anche in termini di legittimazione dell’azione amministrativa.
A ciò si aggiunge la mancata effettuazione della valutazione di impatto sulla protezione dei dati (DPIA), prevista dall’art. 35 GDPR nei casi in cui il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
4. Videosorveglianza e DPIA: il criterio della sorveglianza sistematica su larga scala
Il caso in esame rientra pienamente nelle ipotesi per le quali la DPIA è richiesta.
L’utilizzo di sistemi di videosorveglianza su aree accessibili al pubblico, specie quando effettuato in modo sistematico e su larga scala, integra uno dei criteri individuati dalle Linee guida del Comitato europeo per la protezione dei dati (EDPB) per l’individuazione dei trattamenti a rischio elevato.
La valutazione di impatto non rappresenta un adempimento meramente documentale, ma uno strumento sostanziale di analisi preventiva: consente di individuare i rischi, valutare la proporzionalità del trattamento e definire misure adeguate per mitigarli.
La sua omissione, in un contesto caratterizzato dall’impiego di tecnologie di sorveglianza, evidenzia una carenza significativa sotto il profilo dell’accountability (art. 5, par. 2 GDPR).
5. Le misure correttive e la sanzione
Alla luce delle violazioni riscontrate, il Garante ha irrogato al Comune una sanzione amministrativa pecuniaria pari a 4.000 euro e ha prescritto:
- la predisposizione di un’idonea informativa agli interessati;
- l’effettuazione della valutazione di impatto sulla protezione dei dati personali.
Si tratta di misure che mirano non soltanto a sanare le irregolarità riscontrate, ma a ricondurre l’attività dell’ente all’interno di un quadro di legalità del trattamento coerente con i principi del GDPR.
6. Tecnologia, omologazione e funzione pubblica: un equilibrio necessario
Il provvedimento offre uno spunto di riflessione più ampio sul rapporto tra innovazione tecnologica e funzione amministrativa.
Nel contesto dei controlli stradali, l’utilizzo di strumenti tecnologici avanzati rappresenta un fattore di efficienza e di sicurezza. Tuttavia, tale utilizzo non può prescindere dal rispetto delle condizioni normative che ne disciplinano l’impiego, a partire dall’omologazione degli strumenti e dalla definizione delle specifiche finalità.
L’idea che un sistema di videosorveglianza possa essere utilizzato indistintamente per finalità diverse – sicurezza urbana, monitoraggio del traffico, accertamento delle infrazioni – senza una chiara delimitazione giuridica, si pone in contrasto con i principi di limitazione della finalità e proporzionalità.
In altri termini, la tecnologia non è neutra: è la funzione per cui viene utilizzata a determinarne la legittimità.
7. Considerazioni conclusive
Il caso Mazara del Vallo conferma come, anche in ambiti consolidati quali l’accertamento delle violazioni al Codice della strada, la protezione dei dati personali non rappresenti un vincolo esterno, ma una componente interna della legittimità dell’azione amministrativa.
L’utilizzo di sistemi non omologati, la carenza di trasparenza e l’assenza di una valutazione preventiva dei rischi delineano un quadro in cui il trattamento dei dati perde il proprio ancoraggio normativo e, con esso, la propria legittimazione.
Il punto, in definitiva, non è limitare l’impiego delle tecnologie, ma ricondurlo entro un perimetro di regole chiare, conosciute e rispettate. Perché, anche quando si tratta di controllare una revisione scaduta, la linea che separa efficienza amministrativa e violazione dei diritti fondamentali passa – ancora una volta – dalla qualità del trattamento dei dati personali.
Formazione per giuristi in materia
Videosorveglianza intelligente: obblighi e adempimenti per pubblici e privati
Il corso affronta in modo approfondito gli obblighi, gli adempimenti necessari e le misure tecniche e organizzative da implementare per i soggetti pubblici e privati che adottano sistemi di videosorveglianza tradizionali e intelligenti.
>>>Per info ed iscrizioni<<<
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento