[doc. web n. 10184252]

Provvedimento dell'11 settembre 2025

Registro dei provvedimenti
n. 577 dell'11 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del 4 aprile 2019, n. 98, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione ricevuta e l’avvio del procedimento sanzionatorio

1.1. Dando seguito ad una prima comunicazione del 26 settembre 2024, il 21 dicembre 2024 la Legione Carabinieri “Veneto” – Stazione di San Michele al Tagliamento ha trasmesso a questa Autorità due verbali di sommarie informazioni, rese il 26 settembre 2024 e il 21 dicembre 2024, relative alle verifiche (effettuate a seguito di una segnalazione) concernenti, per i profili di interesse dell’Autorità, l’installazione di un sistema di videosorveglianza installato in un’area di San Michele al Tagliamento destinata a parcheggio pubblico e ad ospitare i festeggiamenti in occasione di una manifestazione, a caratterizzazione religiosa, denominata “Sagra di san Rocco 2024”.

Dai richiamati verbali emerge che in occasione di tali verifiche è stata accertata la presenza di tre telecamere “funzionanti e occultate all’interno di scatole elettriche […] posizionate su due pali di illuminazione e su uno dei chioschi abusivi” approntati per l’occasione. Telecamere, come risulta dalla documentazione fotografica in atti, non agevolmente visibili in ragione della menzionata opera di occultamento e di posizionamento ed il cui funzionamento, unitamente al conseguente trattamento di dati personali, in nessuna forma, neanche ricorrendo all’informativa semplificata realizzabile mediante apposita cartellonistica, veniva reso noto al pubblico.

1.2. A seguito delle verifiche effettuate e delle dichiarazioni rese ai Carabinieri dal titolare di dell’impresa individuale DSG Impianti (P.I. XX), Stefano Maschietto, questi veniva individuato quale autore dell’installazione delle telecamere, avvenuta secondo le descritte modalità, nonché proprietario del supporto di archiviazione delle immagini, alle quali in via esclusiva poteva accedere mediante credenziali di accesso (sulla scorta di quanto dichiarato, supporto successivamente sovrascritto senza comunicazione a terzi dei dati ivi memorizzati, con l’eccezione dei Carabinieri).

Tale iniziativa, rispetto alla quale l’imprenditore ha dichiarato di essersi “preso la responsabilità dell’impianto” −  che sarebbe stata assunta d’intesa con il defunto parroco e della quale sarebbero stati posti a conoscenza altri organizzatori della sagra – nonché di aver operato in qualità di titolare del trattamento, veniva dallo stesso motivata in ragione dei furti e danneggiamenti verificatisi in occasione delle pregresse edizioni della sagra e del fatto che, nonostante le richieste formulate all’amministrazione comunale, non era stato possibile approntare tempestivamente un sistema di videosorveglianza da parte della stessa (v. verbale del 21 dicembre 2024).

La finalità perseguita mediante detto sistema, installato quindi d’iniziativa, sarebbe stata quella di “scoprire gli eventuali autori degli ammanchi” ed effettuare controlli sugli spazi destinati ad ospitare i “materiali di proprietà del Comitato dei festeggiamenti della Sagra di San Rocco”.

1.3. Alla luce degli atti inviati dai Carabinieri, con nota del 17 marzo 2025 l’Ufficio provvedeva a notificare al titolare del trattamento l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, d.lgs. 30 giungo 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”), atto che qui si intende integralmente richiamato, contestando la violazione dei principi generali in materia di protezione dei dati personali di cui all’art. 5, par. 1, lett. a) e l’assenza di idonea informativa nei confronti degli interessati, secondo quanto previsto dall’art. 13 del Regolamento. 

1.4. Il titolare del trattamento non ha fatto pervenire scritti difensivi in relazione al procedimento sanzionatorio a suo carico, né ha richiesto di essere audito dall’Autorità.

2. Il quadro giuridico del trattamento effettuato e l’esito dell’istruttoria

2.1. Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2), del Regolamento (in tal senso v. già la nota del Garante del 17 dicembre 1997, in gpdp.it, doc. web n. 39849; Cass. 2 settembre 2015, n. 17440; Corte di giustizia, 11 dicembre 2014, causa C-212/13, Ryneš, punto 25), lo stesso deve essere effettuato nel rispetto della disciplina di protezione dei dati personali e, per quanto qui di diretto rilievo, dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, con particolare riguardo ai principi fondamentali in materia di protezione dei dati di liceità, correttezza e trasparenza del trattamento, quest’ultimo ulteriormente declinato, tra l’altro, negli obblighi informativi gravanti sul titolare del trattamento in base all’art. 13 del Regolamento.

2.2. Con specifico riferimento alle operazioni di trattamento di dati personali (raccolta e memorizzazione) effettuate nel caso di specie – come detto, sostanzialmente dirette all’accertamento e al perseguimento di condotte penalmente rilevanti contro il patrimonio poste in essere da parte di un soggetto privato in uno spazio pubblico, senza connessione alcuna con la tutela di beni riferibili al titolare del trattamento, ed in occasione di una manifestazione di natura pubblica, qual è una sagra cittadina – deve ritenersi radicalmente violato il principio di liceità. L’attività in parola, consistente nella sistematica osservazione di spazi pubblici (unitamente alla registrazione delle immagini riprese), infatti, non può essere svolta in autonomia da soggetti privati, trattandosi di attività riservata a soggetti pubblici ai quali, all’interno di un articolato quadro di garanzie, la legge attribuisce compiti in materia di sicurezza pubblica o di accertamento nonché di prevenzione e repressione di reati (v. già al riguardo i provvedimenti generali in materia di videosorveglianza del 29 aprile 2004, punti 2.4, 5.1 e 5.4, doc. web n. 1003482; 8 aprile 2010, punti 2 e 5.1, doc. web n. 1003482).

Né il titolare del trattamento ha altrimenti comprovato, secondo quanto peraltro previsto dall’art. 5, par. 2 del Regolamento, la ricorrenza di una delle basi giuridiche del trattamento posto in essere sulla scorta delle diverse previsioni contenute nell’art. 6 del Regolamento.

Del resto, in termini generali, il pur diffuso fenomeno della videosorveglianza a tutela di persone e beni individuali può lecitamente svolgersi entro gli ambiti di pertinenza del soggetto privato che, nel suo interesse, a tale forma di trattamento intende ricorrere: ad esempio, con riguardo alla tutela del domicilio, in linea di principio (salve comprovate situazioni di rischio effettivo) le riprese devono essere strettamente limitate agli spazi antistanti alle vie di accesso ad esso, senza estendere la videosorveglianza ad aree circostanti, in tutto o in parte di terzi o pubbliche, sì da incidere sulle libertà altrui (cfr., ad es., provv.ti 27 aprile 2023, n. 173, doc. web n. 9896468; 2 marzo 2023, n. 59, doc. web n. 9872567; 18 luglio 2023, n. 319, doc. web n. 9935503).

Ciò al netto di ulteriori garanzie, per lo più incentrate sulla disciplina di protezione dei dati personali, sulle quali si sono non di rado soffermate le decisioni del Garante – rispetto a casi individuali o con indicazioni di carattere generale nei provvedimenti succedutisi nel tempo (provv. 8 aprile 2010, doc. web n. 1712680) – nonché, da ultimo, del Comitato per la protezione dei dati personali (Linee Guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video).

2.3. E per quanto il profilo di illiceità appena evidenziato infici esso solo, in radice, il trattamento posto in essere nel caso di specie, deve evidenziarsi che un grave vulnus ai principi di protezione dei dati personali sia qui stato inferto anche al principio di correttezza – considerata sia la clandestinità delle operazioni di trattamento (in ragione della peculiare dislocazione e la dissimulazione all’interno di scatole elettriche degli apparati di ripresa) – e al correlato principio di trasparenza – in considerazione della totale assenza di informativa resa al pubblico in relazione alle videoregistrazioni effettuate dal titolare del trattamento –, entrambi rilevanti ai sensi dell’art. 5, par. 1, lett. a) (nonché dell’art. 13) del Regolamento.

3. Illiceità del trattamento

Alla luce di tali considerazioni, risultano confermati i profili oggetto di contestazione ai sensi dell’art. 166 del Codice con la richiamata comunicazione del 17 marzo 2025 nei confronti del titolare del trattamento, ponendosi le operazioni di trattamento in radicale violazione dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento nonché del successivo art. 13.

Le violazioni accertate nei termini di cui in motivazione – ancorché, alla luce degli elementi in atti non risultino essere state poste in essere dal titolare del trattamento al fine trarne profitto per sé o altri ovvero di arrecare danno − non possono in alcun modo essere considerate “minori”, tenuto conto della natura del trattamento, della gravità della condotta, tenuta intenzionalmente e occultando di apparati di ripresa, nonché delle modalità in cui la stessa è stata individuata per il tramite dei Carabinieri, dai quali il Garante ha preso conoscenza della violazione (v. cons. 148 del Regolamento).

Pertanto, accertata l’illiceità della condotta come sopra descritta, deve adottarsi un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria.

4. Ordinanza di ingiunzione

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, il Garante ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato, sotto più profili, in violazione dell’art. 5, par. 1 lett. a) nonché dell’art. 13 del Regolamento.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze di seguito riportate:

a. con riguardo alla natura, gravità e durata della violazione, è stata presa in considerazione la condotta dolosa del titolare del trattamento, la responsabilità connessa all’inadempimento degli obblighi in materia di videosorveglianza – peraltro nel tempo oggetto di innumerevoli provvedimenti del Garante (sia di natura individuale, sia contenenti indicazioni di natura generale: cfr., in particolare, i citati provv.ti del 29 aprile 2004 e dell’8 aprile 2010) e di un consolidato orientamento giurisprudenziale (cfr. Cass. civ., Sez. II, 2 settembre 2015, n. 17440; Cass. civ., Sez. II, 5 luglio 2016, n. 13633) −, nonché la circostanza che la condotta illecita abbia potuto interessare un’ampia platea di interessati in ragione della peculiare ricorrenza e della natura pubblica dei luoghi oggetto dell’attività di videosorveglianza;

b. quale fattore attenuante, l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali;

c. quali fattori attenuanti, il riconoscimento delle proprie responsabilità da parte dell’autore della condotta e dell’occasionalità, in base a quanto è stato accertato, della stessa nonché della circostanza che gli effetti della violazione si sarebbero esauriti (essendo stati sovrascritti i dati registrati).

In ragione dei suddetti elementi, valutati nel loro complesso, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 500 (cinquecento) per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Entro tale cornice, si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet dell’Autorità. Ciò in considerazione della natura intenzionale delle violazioni poste in essere che hanno determinato, in assenza di informazione alcuna e con occultamento degli apparati di ripresa, il trattamento di dati personali in spazi pubblici riferiti ad un largo numero di interessati partecipanti alla ricordata sagra.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare del trattamento individuato in premessa (al punto 1) con violazione intenzionale degli artt. 5, par. 1, lett. a) e 13 del Regolamento;

ORDINA

al titolare del trattamento di pagare la somma di euro 500 (cinquecento) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione; 

INGIUNGE

quindi al medesimo titolare del trattamento di pagare la somma di euro 500 (cinquecento), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come di seguito indicato;

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante, tenuto conto della natura delle violazioni, oggetto di reiterati provvedimenti da parte del Garante, nonché della gravitàdella condotta e del numero di soggetti coinvolti dal trattamento;

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza