I tempi di conservazione dei filmati di videosorveglianza non sono scolpiti nella pietra. È il titolare a doverli determinare in base alla finalità effettiva del trattamento. Su questo tema si innesta la sentenza n. 8472/2025 del Consiglio di Stato, che offre un interessante spunto di riflessione sul confine tra compliance formale e effettività della tutela giuridica del dato. 

L’esercente che decide di installare nel proprio locale un impianto di videosorveglianza deve affrontare una serie di adempimenti tutt’altro che formali. E di certo non potrà installare le telecamere allo scopo di controllare in maniera indiscriminata i propri clienti e i dipendenti.

Sanzionare un comune che non ha nominato il proprio Data Protection Officer è ormai un’operazione automatica. Il Garante non deve più indagare a fondo, né accedere a documenti particolari. Basta un rapido controllo online. 

Un provvedimento adottato dal Garante segna un passaggio chiave nella regolamentazione delle fototrappole utilizzate per contrastare l’abbandono dei rifiuti. Poco prima dell’entrata in vigore del DL 116/2025, l’Autorità ha ribadito che senza cartelli precisi e informative chirurgiche l’intera attività sanzionatoria rischia di produrre un clamoroso effetto boomerang.

Il Garante ha sanzionato il Comune di Pompei per aver impiegato tre anni per nominare il proprio DPO e ulteriori tre anni per comunicarne i dati di contatto all’Autorità. Troppi sei anni di ritardo, che non possono essere presentati come una svista o un “mero disguido”, ma costituiscono un grave inadempimento del GDPR.

In Gazzetta Ufficiale il DL “Terra dei Fuochi” che potenzia il controllo ambientale e l'abbandono dei rifiuti. Lo smaltimento illegale dei rifiuti non pericolosi di piccolissime dimensioni a piedi o con l’impiego dei veicoli ora potrà essere sanzionato anche ai sensi del codice stradale senza necessità di contestazione immediata. Ma sul tappeto restano tanti dubbi privacy.

In assenza di una governance centrale chiara, la strategia più saggia per i Comuni che usano telecamere di lettura targhe, bodycam o sistemi urbani di videosorveglianza resta una sola. Fare un passo indietro, ridurre le finalità dichiarate al minimo e smettere di rincorrere interpretazioni creative del GDPR.

È opportuno pubblicare la pagella completa con il nome e il voto del dipendente pubblico? Alcuni comuni sembrano pensarla così, ma il Garante per la protezione dei dati personali ha chiarito che questo approccio viola la normativa europea.

Non basta avere un Responsabile della protezione dei dati. Bisogna anche saperne rispettare il ruolo ed i compiti a lui assegnati dall’art.39 del GDPR.

La gestione automatizzata dei varchi di accesso alle zone a traffico limitato deve oggi confrontarsi con un principio imprescindibile: il rispetto della privacy, che si traduce in obblighi di chiarezza e trasparenza verso i cittadini. Cartelli informativi ben visibili ai varchi e informative puntuali, pubblicate in rete, non sono un optional, ma il segno concreto di un trattamento corretto dei dati personali.