g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 13 novembre 2025 [10198694]

Provvedimento del 13 novembre 2025 [10198694]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10198694]

Provvedimento del 13 novembre 2025

Registro dei provvedimenti
n. 669 del 13 novembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con una segnalazione presentata ai sensi dell’art. 144 del Codice, l’Autorità ha appreso che il Comune di Orte (di seguito, il “Comune”) avrebbe installato sul proprio territorio delle telecamere di videosorveglianza, senza garantire la necessaria trasparenza del trattamento nei confronti degli interessati.

2. L’attività istruttoria.

In riscontro alle richieste d’informazioni formulate dall’Ufficio ai sensi dell’art. 157 del Codice (v. note prot. nn. 0066609 del 31 maggio 2024; 0132078 dell’11 novembre 2024; 0132597 del 4 dicembre 2024), il Comune, con note del 20 giugno 2024 (prot. n. 11890) e 16 dicembre 2024 (prot. n. 24347), ha dichiarato, in particolare, che:

“il numero complessivo delle telecamere di videosorveglianza installate sul territorio comunale è pari a 43”;

“la funzionalità di lettura automatizzata delle targhe, anche se prevista per alcune delle videocamere installate […] non è stata attivata […]”;

“le videocamere, dopo il collaudo avvenuto in data 18/01/2024 […] non sono state attivate nelle more dell’adeguamento del sistema di videosorveglianza al [Regolamento], se non in data 11 settembre 2024, a seguito della nota della Questura di Viterbo del 10 settembre 2024 […]”;

la “finalità del trattamento […consiste nella] tutela della sicurezza urbana”;

è stato stipulato un “patto per l’attuazione della sicurezza urbana […] con la Prefettura di Viterbo”;

il Comune ha collocato “dei cartelli informativi contenenti l’informativa sul trattamento dati di primo livello […] installati in fase di collaudo avvenuto in data 18/01/2024”;

"il numero complessivo dei cartelli informativi […] collocati sul territorio comunale è pari a 30, collocati sui supporti ove spesso sono presenti più videocamere. Inoltre sono stati posizionati 7 cartelli informativi indicanti “zona sottoposta a videosorveglianza” agli ingressi del Comune di Orte”;

l’“informativa di secondo livello [è] riportata mediante accesso tramite QR CODE presente nella cartellonistica”;

“l’informativa […] di secondo livello è disponibile e consultabile sul sito internet istituzionale del Comune […] al […] link https://...”.

“i tempi di conservazione delle immagini sono pari a 7 giorni”;

il Comune non ha svolto una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento, avendo soltanto “dat[o] direttive per le vie brevi agli uffici in ordine alla predisposizione della stessa”.

Con nota del 24 marzo 2025 (prot. n. 0039080), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver l’Ente effettuato un trattamento di dati personali, mediante dispositivi video, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione dell’art. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice; omesso di assicurare la necessaria trasparenza del trattamento nei confronti degli interessati, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento; omesso di svolgere una valutazione di impatto sulla protezione dei dati, in violazione dell’art. 35 del Regolamento; omesso di fornire pieno e tempestivo riscontro alle richieste d’informazioni dell’Autorità, in violazione dell’art. 157 del Codice. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del 23 aprile 2025 (prot. n. 0008177), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che è stata predisposta la “nuova cartellonistica installata nei punti di accesso al territorio comunale ed in prossimità delle telecamere in data 21 gennaio 2025, in sostituzione della precedente”, nonché predisposta una nuova “informativa di secondo livello relativa al trattamento dei dati personali del sistema di videosorveglianza nonché l’informativa sui diritti degli interessati […], raggiungibili sia dal QR Code presente sulla cartellonistica che direttamente dal sito istituzionale dell’Ente”.

Il Comune ha, altresì, allegato alla predetta nota una relazione, redatta da una professionista incaricata “della redazione della valutazione di impatto sulla protezione dei dati (VIPD)”, in cui si dà atto, in particolare, del fatto che “il sistema di videosorveglianza era stato inizialmente installato senza che fosse attivata una procedura di valutazione preventiva del rischio, e quindi in assenza di una VIPD” e che soltanto “a seguito dell’avvio dell’istruttoria da parte dell’Autorità Garante, il Comune ha provveduto a conferire formale incarico per la redazione della VIPD, con determina dirigenziale n. 84 del 16 settembre 2024”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data 22 maggio 2025 (v. verbale prot. n. 0069909 della medesima data), il Comune ha dichiarato, in particolare, che:

“il Comune […] è stato destinatario di una direttiva della Questura di Viterbo del 10 settembre 2024, che sollecitava l’attivazione del sistema di videosorveglianza comunale per motivi di pubblica sicurezza. In seguito a tale ordinanza, in data 11 settembre 2024 sono state riattivate le telecamere di videosorveglianza su base temporanea, nell’esecuzione di un dovere istituzionale, circostanza questa che rileva ai fini dell’art. 13 della l. 689/1981, avendo l’Ente operato in buona fede un bilanciamento tra le esigenze di tutela della sicurezza pubblica e il diritto alla protezione dei dati. Le telecamere in questione sono rimaste attive fino al 9 dicembre 2024”;

“nel periodo antecedente al 10 settembre 2024, l’impianto di videosorveglianza è rimasto sempre spento, ad accezione di una sola settimana, nel corso della quale sono stati effettuati dei test. Dopo il 9 dicembre 2024, l’impianto è stato nuovamente disattivato”;

“le immagini non sono state utilizzate a fini amministrativi ma sono state conservate esclusivamente per essere eventualmente messe a disposizione dell’autorità giudiziaria e delle Forze di Polizia; non è stato effettuato alcun ulteriore trattamento da parte dell’Ente”.

3. Esito dell’attività istruttoria.

3.1 La liceità del trattamento.

I soggetti pubblici possono, di regola, trattare dati personali mediante dispositivi video se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito lo stesso (v. artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3, del Regolamento, nonché 2-ter del Codice; cfr. le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, par. 41; v. anche le FAQ del Garante in materia di videosorveglianza, del 3 dicembre 2020, doc. web n. 9496574).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

In tale quadro, la disciplina di settore, come vigente al tempo dei fatti oggetto di istruttoria, consente ai Comuni l’impiego di telecamere di videosorveglianza, che riprendono ad ampio raggio e su base continuativa la pubblica via, ai soli fini di prevenzione e contrasto dei fenomeni di criminalità diffusa e predatoria, previa stipula di un patto per l’attuazione della sicurezza urbana con la Prefettura territorialmente competente (v. artt. 4 e 5, co. 2, lett. a), del d.l. 20 febbraio 2017, n. 14; v. anche art. 6, co. 7 e 8, del d.l. 23 febbraio 2009, n. 11; cfr. provv.ti 10 aprile 2025, n. 201, doc. web n. 10139433; 19 dicembre 2024, n. 805, doc. web n. 10107263; 20 giugno 2024, n. 374, doc. web n. 10028498; 11 gennaio 2024, n. 5, doc. web n. 9977020; 20 ottobre 2022, n. 341, doc. web n. 9831369).

Nel caso di specie, il Comune ha dichiarato che il sistema di videosorveglianza in questione, composto da quarantatré telecamere e collaudato in data 18 gennaio 2024, è stato attivato per una sola settimana in fase di test e poi del tutto disattivato fino all’11 settembre 2024, allorquando le telecamere sono state riattivate, fino al 9 dicembre 2024, a seguito di una direttiva della Questura di Viterbo del 10 settembre 2024, con la quale, secondo l’Ente, era stata sollecitata l’attivazione del sistema di videosorveglianza comunale.

Quanto alla finalità di trattamento perseguita, il Comune ha sostenuto che le telecamere venivano impiegate per la tutela della sicurezza urbana, avendo l’Ente stipulato un patto per l’attuazione della sicurezza urbana con la Prefettura di Viterbo (v. copia di tale accordo, recante la data del 15 dicembre 2021 e acquisito al protocollo del Comune della medesima data al n. 0011890, in allegato alla richiamata nota del 20 giugno 2024).

L’art. 2 di tale patto prevede che “per la prevenzione e il contrasto della criminalità diffusa e predatoria, le Parti individuano quale prioritario obiettivo l’installazione e/o il potenziamento dei sistemi di videosorveglianza comunali […], nelle seguenti aree del territorio comunale maggiormente interessate da situazione di degrado o illegalità: Orte Scalo; Orte Centro Storico; Quartiere Petignano; Quarti[e]re Caldare (zona autostrada)”.

Nell’osservare che il patto in questione è stato stipulato circa due anni prima della data in cui, come dichiarato dal Comune, le telecamere di videosorveglianza sarebbero state collaudate (18 gennaio 2024), deve rilevarsi che tale patto, nel fare riferimento in via generica ad aree molto ampie del territorio comunale (come, ad esempio, l’intero centro storico), non indica il numero di telecamere di videosorveglianza di cui l’Ente ha inteso dotarsi e gli specifici siti d’installazione delle stesse, in cui il ricorso alla videosorveglianza si renderebbe necessario per la prevenzione e il contrasto di fenomeni di criminalità diffusa e predatoria. Non vi è, dunque, evidenza, né nel patto in questione né in altra documentazione (ad esempio, verbali del Comitato provinciale per l’ordine e la sicurezza pubblica), che, in relazione agli specifici siti d’installazione delle quarantatré telecamere individuati dall’Ente (v. planimetria sub all. c) alla citata nota del 16 dicembre 2024), lo stesso abbia effettuato specifiche valutazioni, unitamente alle competenti autorità di pubblica sicurezza, in merito all’effettiva necessità e proporzionalità dell’impiego di telecamere di videosorveglianza per la prevenzione e il contrasto di fenomeni di criminalità diffusa e predatoria che interesserebbero detti siti. Non risulta, pertanto, comprovato che tutti i trattamenti posti in essere mediante le telecamere di videosorveglianza in questione possano essere effettivamente ricondotti alla disciplina in materia di videosorveglianza per la tutela della sicurezza urbana di cui agli artt. 4 e 5, co. 2, lett. a), del d.l. 20 febbraio 2017, n. 14.

Quanto alla citata direttiva della Questura di Viterbo del 10 settembre 2024, in atti, sulla base della quale il Comune avrebbe deciso di riattivare il sistema di videosorveglianza tra l’11 settembre e il 9 dicembre 2024, deve rilevarsi che la stessa è stata diramata in ragione della “possibile presenza di un ordigno in località Orte”, in considerazione della quale “è stato convenuto di adottare […talune] misure preventive, tra cui la “verifica della corretta funzionalità del sistema di video sorveglianza comunale”, anche “alla luce degli eventi previsti ad Orte nel […] fine settimana che potrebbe richiamare la presenza di numerose persone”, da cui l’invio al “Comandante della Polizia Locale di Orte […di] verificare la corretta funzionalità del sistema di sorveglianza comunale”. Contrariamente a quanto sostenuto dal Comune, tale direttiva, volta al perseguimento di più generali finalità di pubblica sicurezza e incolumità pubblica, in uno specifico contesto di potenziale pericolo per la collettività, non reca alcuna prescrizione finalizzata all’attivazione del sistema di videosorveglianza, bensì si limita ad invitare il Comune a verificare il buon funzionamento di tale sistema, assumendone, dunque, il lecito impiego a monte da parte dell’Ente. Il Comune non ha, peraltro, illustrato le ragioni per le quali l’impianto di videosorveglianza sarebbe comunque rimasto attivo fino al 9 dicembre 2024, tenuto conto che la direttiva della Questura di Viterbo faceva riferimento ad eventi che si sarebbero tenuti tra il 15 e il 17 settembre 2024.

Non trova, invece, riscontro in atti quanto sostenuto dal Comune (v. nota del 20 maggio 2025, prot. n. 0010097) in merito alla circostanza che la temporanea riattivazione dell’impianto di videosorveglianza, in ragione di tale direttiva della Questura di Viterbo, sarebbe stata effettuata “in funzione di Polizia Giudiziaria” e “nell’esecuzione di ordini un dovere istituzionale e precisamente, ai sensi dell’art 13 comma 1 della L. 689/81” - contesto nel quale, ad avviso del Comune, “prevaleva la tutela ed il contrasto alla criminalità diffusa e territorialmente competente nel contesto della pubblica sicurezza rispetto a quello della riservatezza degli interessati ed alla tutela dei dati personali” - non essendovi alcun cenno, nella documentazione in atti, a una specifica attività di polizia giudiziaria espressamente delegata alla Polizia locale del Comune e, al contrario, come detto, attenendo la predetta direttiva al diverso ambito della pubblica sicurezza e dell’incolumità pubblica (v. anche il citato verbale di audizione del 22 maggio 2025, che dà conto della dichiarazione resa dal Comune in merito alla circostanza che con la predetta direttiva si “sollecitava l’attivazione del sistema di videosorveglianza comunale per motivi di pubblica sicurezza”).

Alla luce delle considerazioni che precedono, deve concludersi che l’Ente ha posto in essere un trattamento di dati personali, mediante dispositivi video, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione dell’art. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice.

3.2. La trasparenza nei confronti degli interessati.

Allorquando siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; da ultimo, v. la FAQ n. 4 del Garante in materia di videosorveglianza, cit.).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (Linee guida del Comitato, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione dei dati. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale, senza alcuna registrazione di dati o trasmissione a soggetti terzi (Linee guida del Comitato, cit., par. 115). La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Nel caso di specie, per quanto attiene all’informativa di primo livello, il Comune ha sostenuto di aver collocato “7 cartelli informativi indicanti “zona sottoposta a videosorveglianza” agli ingressi del Comune di Orte”, che, essendo caratterizzati da estrema genericità, non possono considerarsi conformi ai requisiti di trasparenza previsti dalla disciplina in materia di protezione dei dati (v. artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento).

Oltre a tali generici cartelli, il Comune ha fatto riferimento a “cartelli informativi contenenti l’informativa sul trattamento dati di primo livello […] installati in fase di collaudo avvenuto in data 18/01/2024” - dunque precedentemente alla data di effettiva attivazione delle telecamere di videosorveglianza in questione -, producendo in atti copia di uno degli stessi. In particolare, sarebbero stati collocati trenta cartelli informativi a fronte di quarantatré telecamere impiegate.

Premesso che risulta implausibile che tale limitato numero di cartelli fosse sufficiente ad avvertire gli interessati della presenza di telecamere di videosorveglianza, prima dell’effettivo ingresso nelle aree interessate dal controllo, in tutti i possibili punti di accesso a tali aree, deve osservarsi, quanto al contenuto degli stessi, che in essi viene indicata una finalità di trattamento da una parte inconferente (“tutela del patrimonio”) e dall’altra eccessivamente generica (“sicurezza”) rispetto a quella effettivamente perseguita, ovvero la tutela della sicurezza urbana, non essendovi, peraltro, alcun riferimento alla base giuridica del trattamento, ovvero alla richiamata disciplina di settore in materia di impiego di sistemi di videosorveglianza per la tutela della sicurezza urbana (cfr. art. 13, par. 1, lett. c), del Regolamento, ai sensi del quale il titolare del trattamento deve informare gli interessati in merito a “le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento”). Per quanto attiene ai diritti degli interessati, il cartello in questione menziona esclusivamente il “diritto di accesso e cancellazione”, senza menzionare gli altri diritti previsti dal Regolamento e, in particolare, i diritti di limitazione del trattamento e opposizione di cui agli artt. 18 e 21 dello stesso. In relazione alle modalità con cui gli interessati possono consultare un’informativa completa di secondo livello, nel cartello si legge che gli interessati possono “consultare l’informativa completa tramite le seguenti istruzioni: all’indirizzo internet https://www.garanteprivacy.it/regolamentoue”. Viene, inoltre, riportato un c.d. “QR Code”, che, se inquadrato con uno smartphone, instrada l’utente verso il medesimo collegamento ipertestuale. È, dunque, di tutta evidenza che, anziché pubblicare sul proprio sito web istituzionale l’informativa completa di secondo livello sul trattamento dei dati e fare riferimento alla stessa nell’informativa di primo livello, il Comune ha erroneamente invitato gli interessati a consultare una pagina informativa del sito web istituzionale del Garante, dedicata al Regolamento, così minando in maniera sostanziale l’efficacia, ai fini della dovuta trasparenza nei confronti degli stessi, del meccanismo d’informativa stratificato su più livelli.

Per quanto concerne l’informativa completa di secondo livello, deve, anzitutto, rilevarsi che, ancorché l’Autorità abbia più volte chiesto al Comune di fornire copia della stessa, specificando data e modalità con cui essa sarebbe stata messa a disposizione degli interessati interessati (v. le richiamate note del 20 giugno e 11 novembre 2024), soltanto con la citata nota del 16 dicembre 2024 il Comune ha fornito quanto richiesto (v. all. B), senza, aver, tuttavia, specificato la data in cui l’informativa sarebbe stata pubblicata sulla pagina del proprio sito web istituzionale indicata (https://...), che non recava alcun riferimento temporale. Considerato che tale informativa indicava XX quale Responsabile della protezione dei dati (RPD) del Comune e tenuto conto che lo stesso è stato designato quale RPD con determinazione n. 138 del 18 novembre 2024, in atti, deve concludersi che l’informativa di secondo livello in questione è stata pubblicata sul sito web istituzionale dell’Ente in data certamente successiva al 18 novembre 2024, ovvero soltanto dopo l’avvio dell’istruttoria da parte dell’Autorità (31 maggio 2024).

Tale informativa di secondo livello è, peraltro, non pienamente conforme ai requisiti previsti dal Regolamento, atteso che:

(i) si indica unicamente un indirizzo di posta elettronica certificata quale dato di contatto del RPD, così compromettendo la possibilità per quegli interessati privi di una casella di posta elettronica certificata di poter contattare lo stesso con modalità alternative; viene, peraltro, indicata una casella di posta elettronica riconducibile al Comune (“comuneorte@pec.it”), in contrasto con la posizione di autonomia che il Regolamento assegna al RPD (v. art. 13, par. 1, lett. b), del Regolamento; cfr. provv. 7 aprile 2022, n. 119, doc. web n. 9773950);

(ii) si indicano, oltre alla finalità di “tutela della sicurezza pubblica urbana”, cui ha fatto riferimento il Comune nel corso dell’istruttoria, finalità di trattamento ulteriori (“tutela […] dell’ambiente, prevenzione degli illeciti previsti dal codice della strada”), che il Comune non ha dichiarato di perseguire, senza, peraltro, effettuare puntuali riferimenti alla base giuridica del trattamento, ovvero alla specifica normativa di settore che, tenuto conto del quadro giuridico di settore al tempo vigente, avrebbe permesso l’impiego di dispositivi collocati sulla pubblica via per il perseguimento di ciascuna di tali finalità, inclusa quella di tutela della sicurezza urbana (art. 13, par. 1, lett. c), del Regolamento);

(iii) si indica erroneamente il Comando di Polizia Locale, che è un’articolazione interna all’Ente, quale “responsabile del trattamento” (v. art. 13, par. 1, lett. e), del Regolamento);

(iv) si afferma che “le immagini sono conservate per un periodo di tempo di 7 giorni. Decorso tale periodo avverrà la cancellazione automatica da ogni supporto mediante sovra-registrazione con modalità tali da rendere non utilizzabili i dati cancellati”, senza precisare che, ove le immagini di videosorveglianza dovessero costituire elemento di prova di condotte illecite, aventi rilevanza penale, le stesse potranno essere trattate per periodi più lunghi ai fini dei conseguenti procedimenti (v. art. 13, par. 2, lett. a), del Regolamento);

(v) mentre vengono richiamati in maniera inconferente i diritti di rettifica e di portabilità dei dati di cui agli artt. 16 e 20 del Regolamento, non viene attribuito all’interessato il diritto di opposizione al trattamento riconosciuto dall’art. 21 del Regolamento ove i dati siano trattati ai sensi dell’art. 6, par. 1, lett. e), del Regolamento, diritto che, peraltro, come previsto dall’art. 21, par. 4, del Regolamento, deve essere esplicitamente portato all'attenzione dell'interessato ed essere presentato chiaramente e separatamente da qualsiasi altra informazione (v. art. 13, par. 2, lett. b), del Regolamento);

(vi) viene indicata esclusivamente la posta elettronica certificata come mezzo per esercitare i diritti degli interessati, limitando così la possibilità per gli interessati di far valere i propri diritti nei confronti del titolare dell’Ente con modalità alternative (v. art. 13, par. 1, lett. a) e par. 2, lett. b), del Regolamento).

Ciò chiarito con riguardo alle informative predisposte dall’Ente nel periodo compreso tra il 18 gennaio e il 9 dicembre 2024 e fermo restando che, allo stato degli atti, il sistema di videosorveglianza in questione non risulta essere attivo, deve, comunque, osservarsi che anche la “nuova cartellonistica installata nei punti di accesso al territorio comunale ed in prossimità delle telecamere in data 21 gennaio 2025, in sostituzione della precedente” e la nuova “informativa di secondo livello” (v. memoria difensiva) non risultano essere pienamente conformi a quanto previsto dalla normativa in materia di protezione dei dati personali.

Quanto a tale nuovo cartello contente di primo livello, occorre, in particolare, rilevare che esso menziona impropriamente la finalità di “tutela del patrimonio” e non indica la base giuridica su cui si fonda il perseguimento della finalità di “sicurezza urbana”; riporta l’indirizzo “comune.orte@pec.it”, quale unico punto di contatto del RPD, così privando gli interessati della possibilità di contattare direttamente il RPD senza transitare dal protocollo generale dell’Ente e utilizzare canali di contatto alternativi alla PEC; menziona un “periodo massimo [di conservazione delle immagini] di massimo 7 giorni”, senza precisare la possibilità che tale periodo possa essere prolungato in caso di illeciti di natura penale; non indica in maniera dettagliata i diritti degli interessati, rimandando, quanto alle modalità per esercitare gli stessi, unicamente ai dati di contatto del RPD; contiene un QR Code che rimanda genericamente al sito istituzionale dell’Ente e non alla specifica pagina di tale sito contenente l’informativa di secondo livello.

Per quanto concerne la nuova informativa di secondo livello, deve parimenti osservarsi che la stessa indica, tra i dati di contatto del RPD, anche l’indirizzo di PEC istituzionale dell’Ente; indica una pluralità di finalità di trattamento generiche e tra loro eterogenee (salute pubblica; altri profili di interesse pubblico rilevante; tutela del patrimonio comunale; prevenzione di fenomeni di disturbo alla quiete pubblica; individuazione dei flussi di traffico e di ogni altra informazione utile in relazione alla viabilità; vigilanza sul traffico veicolare; verificare la presenza di veicoli sospetti o segnalati; individuare il transito di veicoli non autorizzati; protezione civile e tutela della salute pubblica in situazioni di pandemia o emergenza sanitaria; controllare le proprietà pubbliche; accertare violazioni amministrative; raccogliere dati statistici; migliorare i servizi offerti al pubblico; favorire la vigilanza ambientale), non dichiarate del Comune nel corso dell’istruttoria, senza che sia, peraltro, indicata la specifica base giuridica che giustificherebbe il trattamento in relazione a ciascuna di tali finalità di trattamento; richiama in maniera inconferente i diritti di rettifica (art. 16 del Regolamento) e portabilità dei dati (art. 20 del Regolamento), omettendo, invece, di citare il diritto di opposizione (art. 21 del Regolamento); indica l’indirizzo di PEC istituzionale del Comune quale unica modalità utilizzabile per presentare un’istanza di esercizio dei diritti dell’interessato.

Alla luce delle considerazioni che precedono, deve concludersi che il Comune ha agito in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento.

3.3 La valutazione di impatto sulla protezione dei dati.

In caso di rischi elevati per gli interessati - derivanti, ad esempio, dall’utilizzo di nuove tecnologie e sempre presenti laddove sia effettuata una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (v. art. 35, par. 3, lett. c), del Regolamento) - il titolare del trattamento deve svolgere una valutazione di impatto sulla protezione dei dati, al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento).

Nel caso di specie, il Comune ha ammesso di non aver svolto una valutazione di impatto sulla protezione dei dati prima di dare avvio al trattamento oggetto dell’istruttoria, avendo fornito una prima versione di tale valutazione di impatto, con la citata nota del 16 dicembre 2024, priva di data certa e recante un mero riferimento temporale (“09/12/2024”) coincidente con la data di cessazione del trattamento, per poi produrre in atti, con la citata nota del 20 maggio 2025, una nuova versione del documento recante la data del 20 maggio 2025.

Nel precisare che, anche in relazione alla versione del documento del 9 dicembre 2024, l’Ufficio dell’Autorità ha fatto presente al Comune talune criticità di metodo e di merito, resta in ogni caso accertato, ai fini del presente provvedimento, che il Comune non ha provveduto a svolgere una valutazione di impatto sulla protezione dei dati prima di dare avvio al trattamento, avendo, pertanto, lo stesso agito in violazione dell’art. 35 del Regolamento.

3.4 L’intempestivo e incompleto riscontro alle richieste d’informazioni dell’Autorità.

Il Comune ha fornito riscontro soltanto parziale alla richiesta d’informazioni dell’Autorità del 31 maggio 2024 (prot. n. 0066609).

L’Ufficio, con nota dell’11 novembre 2024 (prot. n. 0132078), ha, pertanto, chiesto all’Ente di dare pieno riscontro alla stessa, nonché di fornire taluni ulteriori chiarimenti.

A fronte di una istanza di proroga del termine impartito ai fini del riscontro, presentata dal Comune per il tramite del proprio Responsabile della protezione dei dati (RPD) nell’ultimo giorno utile ai fini del riscontro, e del motivato diniego opposto dall’Autorità, il Comune è stato nuovamente invitato a fornire quanto richiestogli (v. nota del 4 dicembre 2024, prot. n. 0132597), con riserva comunque di contestare la violazione dell’art. 157 del Codice, per non aver lo stesso provveduto a rispondere entro il termine originariamente impartitogli, ovvero entro il 26 novembre 2024.

Soltanto con nota del 16 dicembre 2024 (prot. 24347) il Comune ha fornito le informazioni richieste (cfr. la citata nota del Comune del 20 maggio 2025, in atti, ove si afferma che “l’ente ammette il ritardo nel fornire un tempestivo riscontro all’Autorità Garante”, avendo “con l’occasione […] attivato un piano di miglioramento per la gestione della Comunicazione con l’Autorità Garante”).

La condotta del Comune si è, pertanto, posta in violazione dell’art. 157 del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver trattato dati personali, mediante dispositivi video, nonché per non aver fornito un tempestivo e completo riscontro alle richieste d’informazioni dell’Autorità, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), 12, par. 1, 13 e 35 del Regolamento, nonché 2-ter e 157 del Codice.

In tale quadro, considerando che la condotta ha esaurito i suoi effetti - atteso che non risulta che il sistema di videosorveglianza in questione sia ad oggi attivo - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, il Comune ha posto in essere due distinte condotte, che devono essere considerate separatamente ai fini della quantificazione della sanzione amministrativa da applicarsi.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

5.1 La condotta che attiene al trattamento dei dati personali mediante le telecamere di videosorveglianza.

Tenuto conto che la violazione degli artt. 5, par. 1, lett. a), 6, 12, par. 1, 13 e 35 del Regolamento, nonché 2-ter del Codice, ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni relative agli artt. 5, par. 1, lett. a), 6, 12, par. 1, e 13 del Regolamento, nonché 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

Osservato che:

le telecamere di videosorveglianza, dopo il collaudo del 18 gennaio 2024, sono state effettivamente attivate per un arco temporale limitato, vale a dire per una sola settimana in fase di test e poi dall’11 settembre al 9 dicembre 2024, per complessivi novantasei giorni (cfr. art. 83, par. 2, lett. a), del Regolamento);

il Comune ha riattivato l’impianto di videosorveglianza dall’11 settembre al 9 dicembre 2024 ritenendo, in buona fede, di dover adempiere a un’indicazione data in tal senso della Questura di Viterbo, in un particolare contesto di potenziale pericolo per la pubblica sicurezza e l’incolumità pubblica e comunque su base temporanea (cfr. art. 83, par. 2, lett. a) e b), del Regolamento);

le immagini di videosorveglianza non sono state utilizzate dal Comune nell’ambito di procedimenti amministrativi avviati nei confronti dei cittadini (cfr. art. 83, par. 2, lett. a) e b), del Regolamento);

il trattamento non ha riguardato i dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Comune di modeste dimensioni (circa novemila abitanti), dotato, pertanto, di limitate risorse economiche, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, essendo stato il Comune già destinatario di un provvedimento sanzionatorio adottato dal Garante (provv. 7 aprile 2022, n. 119, doc. web n. 9773950) in relazione al trattamento di dati personali mediante dispostivi video (c.d. fototrappole), per la violazione, tra gli altri, degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento (cfr. art. 83, par. 2, lett. e), del Regolamento);

il Comune non ha prestato una piena collaborazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento; v. successivo par. 5.2).

In considerazione di tutto quanto sopra esposto, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 5.000 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), 12, par. 1, 13 e 35 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che l’impiego dei dispositivi video in questione ha interessato luoghi pubblici, concretizzando un trattamento di dati personali che “consente [di rilevare] la presenza e il comportamento delle persone nello spazio considerato” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., par. 2.1), senza che gli interessati fossero pienamente consapevoli dell’effettiva finalità di trattamento perseguita e di tutte le caratteristiche del trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

5.2 La condotta che attiene all’intempestivo e parziale riscontro alle richieste d’informazioni dell’Autorità.

La violazione dell’art. 157 del Codice è soggetta alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato dall’art. 166, comma 2, del Codice, e, pertanto, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

Tenuto conto che il Comune, ancorché intempestivamente e per ragioni non accoglibili, aveva chiesto, per il tramite del proprio nuovo Responsabile della protezione dei dati, una proroga del termine originariamente impartitogli per il riscontro, così quantomeno dimostrando la propria intenzione di collaborare con l’Autorità (art. 83, par. 2, lett. a) e b), del Regolamento), si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Comune di modeste dimensioni (circa 9.000 abitanti), dotato, pertanto, di limitate risorse economiche, occorre considerare, ai fini della quantificazione della sanzione, che non risultano precedenti violazioni pertinenti commesse dal Comune (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000 (mille) per la violazione dell’art. 157 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del disvalore della condotta del Comune, che ha determinato il protrarsi della durata del procedimento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune di Orte per violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), 12, par. 1, 13 e 35 del Regolamento, nonché 2-ter e 157 del Codice, nei termini di cui in motivazione;

ORDINA

al Comune di Orte, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Del Plebiscito 1 - 01028 Orte (VT), C.F. 00088570569, di pagare la somma complessiva di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma complessiva di euro 6.000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 novembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza

Scheda

Doc-Web
10198694
Data
13/11/25

Argomenti

Videosorveglianza Informativa Comuni DPIA

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (3)