Il ticket d’ingresso a Venezia viola la privacy, il Garante "bacchetta" il Comune
Il Comune di Venezia è stato sanzionato dal Garante della Privacy per aver gestito illecitamente dei dati personali legati al ticket d'ingresso per i turisti introdotto nel 2024 con introiti di milioni di euro di incassi.
In particolare, avrebbe effettuato una raccolta di dati sproporzionata, includendo le informazioni di tutti i passanti (e non solo turisti) come quelle relative alle motivazioni di spostamento e altri dettagli superflui.
I problemi riguardavano specificamente la fase di registrazione necessaria per ottenere il QR code d'accesso alla città, fase da cui passavano tutti, compresi studenti, lavoratori, persone impegnate in cure mediche, partecipanti a cerimonie o processi in tribunali, e chiunque avesse necessità di accedere all’area della città.
Anche i totem per l'autenticazione installati in città si erano rivelati problematici. La Guardia di Finanza aveva accertato che non erano del tutto sicuri: con una semplice modifica delle impostazioni del browser si potevano far comparire i dati inseriti in precedenza da altri utenti. Se quelli richiesti sembravano “dati essenziali", come iniziali e date di validità, quegli stessi elementi, incrociati con altri, potevano però facilmente permettere di risalire all'identificazione delle persone.
Inoltre, è stato analizzato il sistema di conservazione dei dati, rivelatosi anch'esso fallace. Il GDPR sancisce un principio di limitazione temporale che Venezia avrebbe violato: molte informazioni, infatti, restavano archiviate per molti, troppi mesi.
Per conseguenza, l'Autorità ha disposto una restrizione dell'obbligo di registrazione preventiva (ad alcuni casi circoscritti), la sospensione della raccolta dei dati sugli ospiti dei residenti e una messa in sicurezza generale del portale online e dei dispositivi utilizzati.
Con il provvedimento n. 468 del 4 agosto 2025, il Comune di Venezia ha dovuto così fare i conti con il Garante per la Privacy, che ha giudicato sproporzionata la raccolta di dati personali prevista per le esenzioni, sottolineando che un sistema come quello adottato dall’amministrazione veneta viola i principi fondamentali del GDPR, perché determina un trattamento massivo sproporzionato e non giustificato rispetto alle finalità perseguite, e pertanto ha comminato una sanzione di 10 mila euro, una cifra comunque bassissima, dal valore soprattutto simbolico, giustificata dall'atteggiamento collaborativo e sollecito del Comune, che dovrebbe risolvere tutte le criticità nel giro di poco tempo.
La multa, inizialmente ipotizzata in 20 milioni di euro e poi scesa ad appena 10.000 euro, ma ulteriormente riducibile a 5.000 euro se pagata entro 30 giorni secondo le disposizioni dell'art. 10, comma 3, del Dlgs. n. 150/2011, è ovviamente irrisoria rispetto agli introiti del Comune derivanti dal ticket, attivato lo scorso anno per gestire l'enorme afflusso di visitatori nella città storica e nelle isole minori della laguna, portando nelle casse comunali un incasso di 2.425.310 euro nel 2024, e una previsione di circa 5,4 milioni di euro per il 2025.
