Studio Legale Di Biase

Mancata revisione del veicolo accertata in violazione della privacy

Immagine estratta dal sito https://it.freepik.com/


1. Il caso: videosorveglianza e contestazione differita di infrazioni stradali

Con il provvedimento n. 102 del 12 febbraio 2026, il Garante per la protezione dei dati personali ha concluso un procedimento istruttorio nei confronti di un Comune del Sud Italia, sanzionandolo per plurime violazioni del Regolamento (UE) 2016/679 (GDPR) connesse all’impiego di un sistema di videosorveglianza con lettura automatica delle targhe — il cosiddetto sistema “Selea” — ai fini dell’accertamento e della contestazione differita di infrazioni al Codice della Strada.

La vicenda trae origine dal reclamo presentato da un privato cittadino ai sensi dell’art. 77 del GDPR e dell’art. 141 del d.lgs. 196/2003 (Codice Privacy). Il reclamante aveva ricevuto un verbale di contestazione dell’infrazione di cui all’art. 80, comma 14, del d.lgs. 285/1992 — circolazione con veicolo non sottoposto alla prescritta revisione periodica — notificato tramite la piattaforma digitale “SEND/App IO”. Il verbale indicava esclusivamente che l’infrazione era stata accertata “a mezzo sistemi di videosorveglianza ai sensi dell’art. 13 L. n. 689/81”, senza alcuna ulteriore specificazione in ordine alle modalità operative concretamente adottate né in relazione agli “oggettivi motivi contingenti” che avevano reso impossibile la contestazione immediata.

Il reclamante lamentava, altresì, l’inadeguatezza della cartellonistica informativa apposta in prossimità delle telecamere, priva degli elementi obbligatori prescritti dalla normativa in materia di protezione dei dati personali e sprovvista di qualsiasi riferimento a un’informativa di secondo livello.

Il sistema impiegato dal Comune — installato nell’ambito di un progetto validato dalla Prefettura territorialmente competente nel quadro di un “Patto per l’attuazione della sicurezza urbana” — era composto da sei telecamere con lettura automatica delle targhe, attivate nell’autunno del 2024. Il sistema generava un alert automatico ogni qualvolta un veicolo in transito risultasse privo di revisione o di copertura assicurativa, sulla base di un raffronto con le banche dati esterne (Portale dell’automobilista – Motorizzazione Civile). Le immagini erano conservate per sette giorni.

2. La liceità del trattamento: base giuridica e condizioni per la contestazione differita

Il primo profilo di illiceità esaminato dal Garante attiene alla base giuridica del trattamento e al rispetto del principio di liceità, correttezza e trasparenza sancito dall’art. 5, par. 1, lett. a), del GDPR.

In linea di principio, i soggetti pubblici possono legittimamente trattare dati personali mediante dispositivi video laddove il trattamento sia necessario per adempiere un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ai sensi dell’art. 6, parr. 1, lett. c) ed e), 2 e 3, del GDPR, e dell’art. 2-ter del Codice Privacy. Tale base giuridica deve, tuttavia, essere specificamente determinata dal diritto dell’Unione o dello Stato membro e deve risultare proporzionata rispetto alla finalità legittima perseguita.

La normativa di settore — in particolare, il Codice della Strada nella versione vigente all’epoca dei fatti — disciplinava in modo puntuale le condizioni alle quali è consentito procedere alla contestazione differita di infrazioni accertate mediante dispositivi video. In sintesi: gli apparecchi di rilevazione, per poter essere utilizzati ai fini dell’accertamento da remoto delle violazioni di cui agli artt. 80 e 193 CdS con contestazione differita, devono essere omologati o approvati dal Ministero delle Infrastrutture e dei Trasporti secondo le procedure previste dalla normativa di settore; devono essere gestiti direttamente dagli organi di polizia stradale e devono fungere da mero supporto di documentazione della violazione; la contestazione immediata resta, di regola, obbligatoria, salvo che specifici e motivati “oggettivi motivi contingenti” la rendano concretamente impossibile.

Nel caso esaminato, il Comune ha ammesso in sede istruttoria che le telecamere in dotazione non risultavano omologate né approvate dal Ministero competente per il rilevamento delle violazioni di cui agli artt. 80 e 193 CdS, e che il sistema era stato utilizzato per l’accertamento da remoto e la contestazione differita in assenza della presenza fisica di un operatore di polizia su strada — modalità non conforme alla Circolare del Ministero dell’Interno del 3 luglio 2020, prot. n. 4684.

Il Garante ha ritenuto che l’alert generato dal sistema Selea — pur definito dal Comune come “meramente prodromico” rispetto all’accertamento documentale successivamente effettuato presso gli uffici di Polizia Municipale — non fosse, nel caso concreto, sufficiente a sanare il deficit di legalità del trattamento, dal momento che il verbale notificato al reclamante non recava alcuna indicazione delle effettive modalità di accertamento né dei motivi contingenti ostativi alla contestazione immediata.

Ne consegue che il Comune ha posto in essere un trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a), e 6, parr. 1-3, del GDPR, nonché dell’art. 2-ter, comma 1, del Codice Privacy.

3. Gli obblighi informativi su due livelli: carenze dell’informativa e violazione del principio di trasparenza

Il secondo profilo di illiceità concerne il mancato rispetto degli obblighi informativi previsti dagli artt. 12 e 13 del GDPR in materia di videosorveglianza, che il Comitato europeo per la protezione dei dati (EDPB) ha articolato — nelle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” — in un modello bifasico: informativa di primo livello (cartellonistica di avvertimento) e informativa di secondo livello (testo completo, facilmente accessibile).

Quanto all’informativa di primo livello, la cartellonistica originariamente installata dal Comune presentava molteplici e rilevanti carenze: richiamava riferimenti normativi obsoleti (art. 13 del previgente Codice Privacy, anziché il GDPR); non indicava l’identità e i dati di contatto del titolare del trattamento; ometteva le coordinate del Responsabile della Protezione dei Dati (RPD/DPO); non specificava le basi giuridiche del trattamento; includeva, tra le finalità dichiarate, quella del controllo dell’abbandono incontrollato di rifiuti — non compatibile con telecamere ad ampio raggio su pubblica via, che possono essere impiegate per tale scopo solo se configurate come “fototrappole” collocate in aree circoscritte, nel rispetto del principio di minimizzazione dei dati; ometteva il periodo di conservazione delle immagini; non menzionava compiutamente i diritti degli interessati né le relative modalità di esercizio; non conteneva alcun rimando all’informativa di secondo livello.

Quanto all’informativa di secondo livello, il Garante ha accertato che, alla data degli accertamenti, essa non era affatto reperibile sul sito istituzionale del Comune. Successivamente all’avvio del procedimento, il Comune ha pubblicato alcuni documenti nella sezione “Videosorveglianza – Informazioni di Livello 2” del proprio portale, tuttavia i link ivi inseriti rinviavano all’informativa generale sulla navigazione del sito web — del tutto inconferente rispetto al trattamento effettuato mediante il sistema di videosorveglianza — e non risultavano idoneamente specificate le basi giuridiche del trattamento in relazione all’accertamento delle violazioni al Codice della Strada.

Il Garante ha pertanto concluso che il Comune ha violato gli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del GDPR, confermando l’orientamento consolidato della propria giurisprudenza (cfr., ex plurimis, provvedimenti n. 752/2025, n. 805/2024, n. 766/2024, n. 5/2024) in materia di adeguatezza e accessibilità delle informative rese agli interessati in contesti di videosorveglianza pubblica.

4. L’omessa Valutazione d’Impatto sulla Protezione dei Dati (DPIA)

Il terzo e altrettanto rilevante profilo di illegittimità attiene all’omessa effettuazione della Valutazione d’Impatto sulla Protezione dei Dati (DPIA), prevista dall’art. 35 del GDPR.

Ai sensi dell’art. 35, par. 3, lett. c), del GDPR, la DPIA è sempre obbligatoria in caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. Nel caso di specie, il sistema installato dal Comune — sei telecamere con lettura automatica delle targhe su strade pubbliche, con acquisizione dei dati relativi alla circolazione dei veicoli e raffronto con banche dati esterne — integrava pienamente tale fattispecie.

Il Comune aveva erroneamente ritenuto di poter fare a meno della DPIA, richiamando il modello semplificativo di informativa minima previsto dal Provvedimento del Garante dell’8 aprile 2010 e la Circolare del Ministero dell’Interno del 2 marzo 2012, nonché sostenendo che la validazione del progetto da parte del Comitato per l’Ordine e la Sicurezza Pubblica potesse supplire all’obbligo di effettuare la valutazione d’impatto. Il Garante ha respinto tale argomentazione in modo netto.

La DPIA è uno strumento autonomo e distinto rispetto agli obblighi informativi: essa deve essere svolta prima dell’avvio del trattamento, ha lo scopo di identificare e mitigare i rischi per i diritti e le libertà degli interessati, e costituisce una delle principali espressioni del principio di accountability (responsabilizzazione) del titolare del trattamento. La validazione da parte di un organo amministrativo preposto alla sicurezza pubblica non sostituisce né esonera dall’adempimento di tale obbligo di diritto europeo.

Il Garante ha dunque rilevato la violazione dell’art. 35 del GDPR e ha ingiunto al Comune di svolgere o adeguare la DPIA relativa al sistema di videosorveglianza.

5. La sanzione, le misure correttive e le implicazioni operative per gli enti locali

All’esito del procedimento, il Garante ha irrogato al Comune una sanzione amministrativa pecuniaria di € 4.000,00 e gli ha ingiunto di:

  • Adeguare l’informativa di primo livello, completando l’installazione della cartellonistica aggiornata in prossimità di tutti i dispositivi di ripresa video nel territorio comunale;
  • Pubblicare un’idonea informativa di secondo livello sul sito istituzionale, specificamente riferita al sistema di videosorveglianza e all’accertamento delle infrazioni al Codice della Strada, facilmente raggiungibile dagli interessati;
  • Svolgere o adeguare la DPIA relativa al sistema di videosorveglianza;
  • Comunicare al Garante, entro trenta giorni dalla notifica del provvedimento, le iniziative adottate per conformarsi agli ordini impartiti.

Le implicazioni operative per gli enti locali sono di portata generale e meritano una riflessione sistematica. Ogni Comune che intenda installare o già utilizzi sistemi di videosorveglianza — a maggior ragione se dotati di funzionalità di lettura automatica delle targhe o di raffronto con banche dati esterne — è tenuto a verificare scrupolosamente:

  • l’esistenza di una base giuridica puntuale e idonea per ciascuna finalità di trattamento;
  • la conformità delle apparecchiature ai requisiti di omologazione previsti dalla normativa di settore per l’eventuale utilizzo a fini sanzionatori;
  • l’adeguatezza dell’informativa su entrambi i livelli, con pubblicazione accessibile dell’informativa estesa sul sito istituzionale;
  • l’effettuazione della DPIA preventiva ogniqualvolta il trattamento implichi sorveglianza sistematica di aree pubbliche.

Il provvedimento in esame si inscrive in un filone giurisprudenziale sempre più consolidato dell’Autorità garante, che conferma come il ricorso a tecnologie di controllo automatizzato da parte della pubblica amministrazione non possa prescindere da un rigoroso rispetto dei principi fondamentali del GDPR: liceità, correttezza, trasparenza e accountability. La digitalizzazione dei servizi pubblici e l’automazione dei procedimenti sanzionatori non esentano i titolari del trattamento dall’obbligo di garantire adeguate tutele ai cittadini-interessati, la cui posizione nel rapporto con l’autorità pubblica esige anzi una protezione particolarmente attenta.


CHIEDI UN ESAME GRATUITO DEL TUO CASO

ARTICOLI DAL BLOG

Avvocato Lucio Di Biase

Lucio Di Biase

Avvocato

Telefono: +39 335 325917

E-mail: info@studiolegaledibiase.it

Iscritto all’Ordine degli Avvocati di Lanciano, negli ultimi venti anni l’Avv. Lucio Di Biase ha aiutato privati, professionisti, imprese, cooperative ed enti pubblici a risolvere i più comuni problemi legali, prestando attività di consulenza e assistenza nelle principali aree del diritto civile e nel relativo contenzioso, su tutto il territorio nazionale.
Dal 2014 al 2021 è stato consulente e legale esterno dell’ Azienda Territoriale per l’Edilizia Residenziale (ATER) di Lanciano (CH) per il recupero dei crediti nei confronti degli assegnatari di alloggi di ERP a titolo di canoni di locazione degli immobili strumentali di proprietà dell’Ente e per il rilascio forzoso dei medesimi.
E’ autore di articoli di approfondimento giuridico pubblicati sul sito dello Studio, con particolare attenzione ai temi della privacy, dell’intelligenza artificiale e dell’evoluzione normativa.

Accesso agli atti amministrativi Accountability GDPR Base giuridica trattamento Caratteristiche del bene locato Codice Privacy Colleghi di lavoro Compliance GDPR Consenso genitori Contratto preliminare Controlli a distanza lavoratori Controllo dipendenti Cyberbullismo; Danni da cose in custodia Dati sanitari Deepfake Divorzio DPIA valutazione d’impatto e-mail Foto bambini online Garante privacy GDPR Informativa privacy Intelligenza Artificiale (AI) Licenziamento Mantenimento del figlio maggiorenne Minimizzazione dei dati personali Minorenni Privacy dei bambini Protezione dei dati Pubblica Amministrazione Responsabile Protezione Dati (RPD) Responsabilità medica Revenge Porn Rischi AI Separazione Sharenting Sinistri stradali Social Media Statuto dei Lavoratori Statuto dei lavoratori e privacy Telecamere Trattamento dei dati e consenso Trattamento dei dati personali Videosorveglianza Volenza Digitale