NEWS

Telecamere, targhe e alibi istituzionali: il Garante Privacy smonta la “compartecipazione neutra”

C’è un equivoco che continua a circolare nelle amministrazioni pubbliche. Pensare che basti finanziare un progetto, firmare una convenzione e restare “fuori dalla cabina tecnica” per non essere chiamati a rispondere sul piano privacy. Il provvedimento n. 532 del 25 settembre 2025, con cui il Garante privacy sanziona anche la Provincia autonoma di Trento dopo l’ordinanza già adottata verso Bolzano (impugnata e sospesa), spazza via questa illusione con una chiarezza che non lascia margini.

Non è una semplice replica dell’atto gemello. È un messaggio politico-giuridico molto più netto. Quando si aderisce a un sistema di lettura automatizzata delle targhe che traccia veicoli, classi, nazionalità, possibili codici di merci pericolose, origine e destinazione dei viaggi, non si può poi rifugiarsi dietro la formula “noi abbiamo solo cofinanziato”. Se quella decisione rende possibile il trattamento, quella decisione è già esercizio di potere sul trattamento.

Il progetto interprovinciale prevedeva 124 telecamere distribuite sui territori delle due Province, attivate in forza di una convenzione che parlava di proprietà condivisa del sistema e del database, gestione operativa in capo a una Provincia ma flusso dati accessibile a entrambe. Non un mero supporto economico, dunque, ma una vera architettura di governance comune. E proprio su questo terreno il Garante costruisce la qualificazione di contitolarità ai sensi dell’art. 26 GDPR.

La difesa di Trento era lineare. Nessuna scelta tecnica, nessun accesso alle targhe, nessuna banca dati nella propria disponibilità, solo diritto a ricevere output aggregati – peraltro mai richiesti – e una comproprietà civilistica dei dispositivi priva di poteri reali. Una linea che avrebbe potuto funzionare in un’epoca in cui la responsabilità si misurava sul possesso fisico dei dati. Ma il GDPR ragiona diversamente. E la giurisprudenza europea è ancora più esplicita. La contitolarità non richiede accesso ai dati, bensì influenza sulle finalità e sui mezzi essenziali del trattamento.

Il Garante lo afferma senza ambiguità. Ciò che conta non è chi gestisce il server, ma chi ha voluto il trattamento, lo ha reso possibile e ne trae – o può trarne – utilità istituzionale. Se il sistema non sarebbe stato realizzabile nello stesso modo senza la partecipazione di entrambi gli enti, allora entrambi sono titolari. È il criterio dell’indissociabilità, ripreso dalle Linee guida EDPB 07/2020, che consente di superare l’argomento “non abbiamo deciso la tecnologia.

Una volta accertata la contitolarità, la conseguenza è inevitabile. La mancata stipula preventiva dell’accordo ex art. 26 GDPR non è un vizio formale, ma la prova di una governance carente. Senza quell’accordo mancano la ripartizione trasparente delle responsabilità, la disciplina dei flussi informativi, le modalità per l’esercizio dei diritti, la chiarezza verso gli interessati. E in un trattamento su larga scala in luoghi accessibili al pubblico, questa assenza pesa.

Ma non finisce qui. Perché il Garante opera un vero “trascinamento” delle violazioni sostanziali già contestate nel procedimento principale. Base giuridica non sufficientemente determinata, informative e cartelli inadeguati, DPIA mancante, conservazione estesa non adeguatamente giustificata. Il trattamento è unico e unitario, quindi la responsabilità lo è altrettanto. La contitolarità non è una compartecipazione simbolica. È un’assunzione piena di accountability.

(Nella foto: Stefano Manzelli, Direttore di sicurezzaurbanaintegrata.it)

La sanzione di 8.000 euro, in sé contenuta, non deve ingannare. Il Collegio valorizza attenuanti – pseudonimizzazione, assenza di decisioni individuali, ruolo tecnico non primario, cooperazione e spegnimento degli apparati dopo la contestazione – ma dispone comunque la pubblicazione del provvedimento, sottolineando la delicatezza dei tracciamenti veicolari potenzialmente ricostruibili. Il dato economico è modesto; il precedente, tutt’altro.

In pratica non esiste un “capofila privacy” che assorbe ogni rischio quando si costruiscono sistemi condivisi. La compliance non si subappalta insieme alla gara. Se si partecipa alla decisione politica e amministrativa che abilita un trattamento ad alto impatto, si partecipa anche alla responsabilità.

In un contesto in cui i sistemi di lettura targhe evolvono verso analitiche sempre più sofisticate, correlazioni tra flussi, pattern di mobilità e possibili integrazioni con strumenti di intelligenza artificiale, l’argomento del “dato aggregato” rischia di diventare un alibi fragile. L’aggregazione non cancella automaticamente la dimensione personale del dato, soprattutto quando si opera su larga scala e con potenzialità di ricostruzione indiretta degli spostamenti.

Il provvedimento n. 532/2025 impone dunque una riflessione che va oltre il caso concreto. I progetti di monitoraggio del traffico non possono essere governati con una semplice convenzione amministrativa. Occorre definire ex ante ruoli, basi giuridiche puntuali, tempi di conservazione proporzionati, informative multilivello, DPIA effettive e non meramente formali. Privacy by design e by default non sono slogan, ma condizioni di legittimità.

La cooperazione istituzionale è un valore. Ma quando si mettono in rete telecamere che leggono targhe e strutturano dati sugli spostamenti, la responsabilità non si divide per quote politiche. Si condivide integralmente. E il Garante lo ha ricordato con una fermezza che difficilmente potrà essere ignorata nei prossimi progetti “in partnership”.

Note sull'Autore

Stefano Manzelli Stefano Manzelli

Consulente privacy, divulgatore e il data protection officer. Direttore di sicurezzaurbanaintegrata.it.

Prev Legittimo il licenziamento del lavoratore che in un giorno di ferie mette le mani sui dati aziendali senza alcun motivo
Next Sanzionato dal Garante della privacy il medico che registra i dialoghi con i suoi pazienti per tutelarsi da minacce e offese

Ansa: presentato alla Camera il libro 'Smetti di farti spiare difendi la tua privacy'

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy