[doc. web n. 10213467] 

Provvedimento del 4 dicembre 2025

Registro dei provvedimenti
n. 730 del 4 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il Sig. XX ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali, relativa a trattamenti effettuati mediante dispositivi video sul territorio del Comune di Tuscania (di seguito, il “Comune”).

In particolare, è stato rappresentato che il Comune si sarebbe dotato di un sistema di videosorveglianza composto da “circa 50 telecamere di contesto e di lettura targhe” per finalità di “sicurezza del territorio”, nonché di “33 [telecamere] su ogni isola ecologica per la raccolta differenziata dei rifiuti”.

Il reclamante ha, altresì, lamentato che tali telecamere sarebbero “tutte […] senza i relativi cartelli [contenenti l’informativa] sulla privacy” e che il Comune non avrebbe messo a disposizione neanche un’informativa completa. In particolare, il reclamante ha affermato di essersi ritrovato in data XX all’interno del raggio di azione di una telecamera collocata sulla pubblica via, senza che vi fosse alcun cartello di avvertimento in merito alla sottoposizione a videosorveglianza dell’area in questione.

Il reclamante ha poi rappresentato di aver rivolto al Comune, ai sensi degli artt. 12, par. 1, e 15 del Regolamento, un’istanza di accesso ai dati personali contenuti nelle immagini di videosorveglianza, e ha lamentato che gli sarebbe stato negato il diritto di accesso, sul presupposto che “la richiesta […] non è motivata, come previsto dall’art. 18 del “Regolamento [comunale] per la disciplina della videosorveglianza” […, non essendo stati] indicati i presupposti di fatto e l’interesse specifico”.

Da ultimo, il reclamante ha segnalato che il Comune, in violazione dell’art. 28 del Regolamento, non avrebbe stipulato i necessari accordi sulla protezione dei dati con i soggetti che a vario titolo trattano dati personali per conto dell’Ente, in qualità di responsabili del trattamento, nell’ambito dell’impiego dei predetti dispositivi video.

2. L’attività istruttoria.

Occorre preliminarmente rammentare che, stante l’intempestività e l’incompletezza dei riscontri forniti dal Comune alle richieste d’informazioni rivoltegli dall’Ufficio nel corso dell’istruttoria, l’Autorità ha adottato un provvedimento prescrittivo e sanzionatorio nei confronti del Comune, ingiungendo allo stesso, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento e 157 del Codice, di fornire gli elementi informativi richiesti (cfr. provv. 13 febbraio 2025, n. 68, doc. web n. 10114785, notificato al Comune con nota prot. n. XX del XX).

Con nota del XX (prot. n. XX), il Comune, ritenendo di far così seguito a quanto prescrittogli del Garante, ha reso talune sommarie dichiarazioni, non sufficienti, tuttavia, a dare pieno riscontro alle prescrizioni impartite dall’Autorità.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi in atti, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per non aver l’Ente pienamente adempiuto alle predette prescrizioni, in violazione degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, nonché, nel merito, per aver il Comune posto in essere un trattamento di dati personali, mediante dispositivi video, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione dell’art. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice; senza garantire la necessaria trasparenza nei confronti degli interessanti, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento; omettendo di svolgere una valutazione di impatto sulla protezione dei dati prima di dare avvio al trattamento, in violazione dell’art. 35 del Regolamento; omettendo di regolare i rapporti con i responsabili del trattamento, in violazione dell’art. 28 del Regolamento; negando al reclamante la possibilità di esercitare il diritto di accesso ai propri dati personali, in violazione degli artt. 12 e 15 del Regolamento. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689). Con nota del XX (prot. n. XX), il Comune ha presentato una memoria difensiva, i cui passaggi salienti sono ripresi nella parte motiva del presente provvedimento.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX della medesima data), il Comune ha dichiarato, in particolare, che “a seguito di quanto è emerso dall’istruttoria, [esso] ha preso atto delle criticità emerse e si è prontamente e diligentemente attivato per rivedere complessivamente il proprio livello di conformità alla disciplina in materia di protezione dei dati personali, anche designando un nuovo Responsabile della protezione dei dati, richiedendo uno specifico supporto tecnico a consulenti esterni per redigere le valutazioni di impatto sulla protezione dei dati ed avviando iniziative formative in favore del personale”.

3. Esito dell’attività istruttoria.

3.1 La liceità del trattamento.

I soggetti pubblici possono, di regola, trattare dati personali mediante dispositivi video se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito lo stesso (v. artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), e 2 e 3, del Regolamento, nonché 2-ter del Codice; cfr. le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, par. 41; v. anche le FAQ del Garante in materia di videosorveglianza, del 3 dicembre 2020, doc. web n. 9496574).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

In tale quadro, la disciplina di settore, come vigente al tempo dei fatti oggetto di istruttoria, consente ai Comuni l’impiego di telecamere di videosorveglianza, che riprendono ad ampio raggio e su base continuativa la pubblica via, ai soli fini di prevenzione e contrasto dei fenomeni di criminalità diffusa e predatoria, previa stipula di un patto per l’attuazione della sicurezza urbana con la Prefettura territorialmente competente (v. artt. 4 e 5, co. 2, lett. a), del d.l. 20 febbraio 2017, n. 14; v. anche art. 6, co. 7 e 8, del d.l. 23 febbraio 2009, n. 11; cfr. provv.ti 13 novembre 2025, n. 669, in corso di pubblicazione; 23 ottobre 2025, n. 628, doc. web n. 10196164; 10 aprile 2025, n. 201, doc. web n. 10139433; 19 dicembre 2024, n. 805, doc. web n. 10107263; 20 giugno 2024, n. 374, doc. web n. 10028498; 11 gennaio 2024, n. 5, doc. web n. 9977020; 20 ottobre 2022, n. 341, doc. web n. 9831369).

A tal riguardo, il Comune, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“[l’Ente] è autorizzato a utilizzare sistema di videosorveglianza a fini di tutela della sicurezza urbana per la prevenzione e il contrasto dei fenomeni di criminalità diffusa e predatoria, in quanto firmatario di patti per la sicurezza urbana […] [con il] Prefetto […] in data XX […;] l’intesa è stata rinnovata […da ultimo] il giorno XX”;

“le prime telecamere sono state attivate con collaudo in data XX”;

le telecamere sono dotate di funzionalità di “lettura targhe”.

Con nota del XX (prot. n. XX), il Comune, in riscontro a quanto prescrittogli dal Garante con il già richiamato provv. del XX, ha poi dichiarato, in particolare, che:

“[il] numero complessivo di telecamere installate [è pari a] 61” (ma si veda quanto poi dichiarato in sede di memoria difensiva in merito alla circostanza che “restano ancora oggi installate n. 64 telecamere di sorveglianza”);

“le telecamere sono state attivate tenendo conto della data di installazione: dal XX al XX”;

“la tipologie e le modalità di utilizzo sono state disciplinate con atto della Giunta”;

“le telecamere non vengono usate per finalità amministrative”;

“non vi sono ulteriori patti sulla sicurezza urbana oltre quello sottoscritto in data XX”.

Ciò premesso, deve osservarsi, quanto al patto concluso “in data XX”, che soltanto in sede di memoria difensiva (sub all. 5) il Comune ha prodotto in atti copia di tale patto, stipulato con la Prefettura di Viterbo, recante, invero, la data del XX. Tale patto non indica, tuttavia, puntualmente il numero di telecamere di videosorveglianza di cui si compone l’impianto e le specifiche aree del territorio comunale da sottoporre a videosorveglianza mediante le stesse (v. l’art. 2 del patto, ove si indicano, in modo del tutto generico, la “viabilità di accesso al paese”, i “siti storici di interesse in particolare il Centro Storico […]”, “aree residenziali”). Ciò con la conseguenza che l’impiego delle telecamere di videosorveglianza in questione non può ritenersi conforme al richiamato quadro giudico di settore, non essendo stata effettuata alcuna valutazione, congiuntamente alle competenti autorità di pubblica sicurezza, in merito all’effettiva esigenza di ricorrere alla videosorveglianza negli specifici siti in cui le stesse sono state installate per la tutela della sicurezza urbana, con conseguente impossibilità di ricondurre i relativi trattamenti di dati personali alla disciplina di settore di cui agli artt. 4 e 5, co. 2, lett. a), del d.l. 20 febbraio 2017, n. 14 (cfr. provv.ti 13 novembre 2025, n. 669, in corso di pubblicazione; 23 ottobre 2025, n. 628, doc. web n. 10196164).

Né può sopperire a tal riguardo la circostanza, messa in rilievo nella memoria difensiva, che “[il] Comune […] in stretta condivisione con il Comando dei Carabinieri a ciò delegato, ha individuato le ubicazioni di installazione delle videocamere di sorveglianza, giuste delibere della Giunta Municipale n. XX del XX, n. XX del XX, n. XX del XX, n. XX del XX, n. XX del XX, n. XX del XX […]”, trattandosi di atti unilateralmente adottati dal Comune, senza il coinvolgimento della Prefettura territorialmente competente.

Deve poi rilevarsi che - in disparte da ogni considerazione in merito all’idoneità di tale base giuridica a giustificare l’impiego da parte di Comuni di dispositivi video, peraltro non omologati, dotati di funzionalità di lettura automatizzata delle targhe dei veicoli in transito, per la tutela della sicurezza urbana - nel caso di specie il predetto patto nulla prevede al riguardo. Pertanto, neanche tali trattamenti di dati personali possono essere ricondotti alla disciplina in materia di videosorveglianza per la tutela della sicurezza urbana di cui agli artt. 4 e 5, co. 2, lett. a), del d.l. 20 febbraio 2017, n. 14 (cfr. provv. 19 dicembre 2024, n. 805, doc. web n. 10107263).

Quanto al patto che sarebbe stato successivamente siglato tra la Prefettura di Viterbo e il Comune nel mese di XX, l’Ente ha depositato con la propria memoria difensiva (sub all. XX) un documento denominato “bozza patto la sicurezza”, recante la sola firma digitale del Sindaco, con riferimento temporale “XX”, senza alcuna data certa, non essendo, pertanto, lo stesso idoneo a comprovare l’effettiva stipula di un rinnovato patto per l’attuazione della sicurezza urbana con la Prefettura competente. Peraltro, detto documento, seppur contiene una più puntuale individuazione delle aree del territorio comunale da sottoporre a videosorveglianza, non indica comunque il numero di dispositivi video impiegati e la loro specifica collocazione.

Il Comune, anche in tale caso soltanto in sede di memoria difensiva (sub all. 4), ha poi depositato in atti un “protocollo di intesa per la costituzione della rete provinciale di videosorveglianza”, nella versione sottoscritta da tutte le parti (Prefettura di Viterbo, Provincia di Viterbo, Comuni della Provincia di Viterbo, tra cui il Comune di Tuscania), che dai riferimenti temporali associati alle firme digitali sembra potersi collocare nel periodo XX. Tale documento, che fa riferimento in premessa a un precedente protocollo d’intesa del XX, non depositato in atti, riguarda, in ogni caso, l’interconnessione dei sistemi di videosorveglianza comunali, già realizzati, con le centrali operative della Polizia di Stato e del Comando Provinciale dei Carabinieri. Esso, pertanto, non costituisce la base giuridica del trattamento posto in essere dal Comune, fondandosi, invece, tale protocollo sull’assunto che i sistemi videosorveglianza comunali siano stati già a monte lecitamente predisposti.

Alla luce delle considerazioni che precedono, deve concludersi che, non avendo il Comune comprovato che i trattamenti posti in essere mediante tutte le telecamere di videosorveglianza in questione possano essere effettivamente ricondotti alla disciplina in materia di videosorveglianza per la tutela della sicurezza urbana di cui agli artt. 4 e 5, co. 2, lett. a), del d.l. 20 febbraio 2017, n. 14, deve concludersi che esso ha agito in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione dell’art. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice.

Per quanto concerne, invece, l’impiego di dispositivi video mobili per fini di tutela ambientale (c.d. fototrappole), soltanto con nota del XX (prot. n. XX) il Comune, ritenendo così di adempiere a quanto prescrittogli del Garante, ha dichiarato che “attualmente non sono installate fototrappole”, circostanza questa del tutto irrilevante ai fini della ricostruzione dell’impiego di tali dispositivi quantomeno al tempo dei fatti oggetto di reclamo. Come si è dato atto nella nota di contestazione di violazione amministrativa, non è stato, pertanto, possibile, sulla base delle dichiarazioni rese dall’Ente, effettuare accertamenti in merito all’impiego da parte del Comune di c.d. fototrappole in prossimità delle isole ecologiche per la raccolta differenziata dei rifiuti, non avendo, pertanto, l’Ente adempiuto a quanto prescrittogli dal Garante con il richiamato provv. n. 68 del 13 febbraio 2025. Nella memoria difensiva l’Ente ha poi affermato, in relazione “all’impiego delle c.d. fototrappole in prossimità delle isole ecologiche per la raccolta differenziata dei rifiuti […, che la] GEA s.r.l. [,] ditta appaltatrice, ad oggi […] non ha reso alcun riscontro alle diverse istanze inviatele dal Comune [… e da ultimo] ha, a dir poco erroneamente, risposto di “…non avere alcun accesso ai sistemi di videosorveglianza né alle immagini da essi generate, non essendo né titolare né responsabile del trattamento” […, e, a seguito di tale risposta,] il Comune ha quindi avviato una profonda revisione dei compiti contrattuali e di legge con l’appaltatrice e, se del caso, sta valutando, all’esito delle risposte anche fattive che questa fornirà nel prosieguo, la possibilità di una risoluzione per giusta causa del rapporto contrattuale, ferma ogni attuale e immediata necessità di risposta e di correttivo in tema di [protezione dei dati] posto in essere dal Comune”. Dalle predette dichiarazioni emerge, pertanto, la perdurante scarsa consapevolezza dell’Ente in merito ai trattamenti di dati personali posti in essere, direttamente o per il tramite di terzi fornitori, mediante dispositivi video impiegati sul proprio territorio, redendosi nuovamente necessario prescrivere al Comune, quale titolare del trattamento, di fornire i dovuti chiarimenti al riguardo (v. il successivo par. 4).

3.2. La trasparenza nei confronti degli interessati.

Il titolare del trattamento deve adottare misure appropriate per fornire agli interessati tutte le informazioni sul trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (v. artt. 5, par. 1, lett. a), e 12, par. 1, del Regolamento).

Allorquando siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; da ultimo, v. la FAQ del Garante in materia di videosorveglianza, cit., n. 4).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (Linee guida del Comitato, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione dei dati. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale, senza alcuna registrazione di dati o trasmissione a soggetti terzi (Linee guida del Comitato, cit., par. 115). La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Con la richiamata nota del XX, il Comune ha dichiarato, in particolare, che:

“sono posizionati i cartelli recanti l’informativa di primo livello in prossimità e prima delle zone sottoposte a videosorveglianza […]”;

“[…] a seguito di recente ampliamento del sistema di videosorveglianza, è necessaria l’integrazione di alcuni cartelli per la quale il Comando di Polizia Locale ha attivato le procedure mediante sopralluogo ai fini della collocazione. È prevista pertanto l’imminente installazione compatibilmente con le numerose priorità acquisite”;

il Comune ha redatto una “informativa completa, di secondo livello, sul trattamento dei dati personali riferita alla Polizia Locale”, ma “non è in grado di specificare in che data è stata resa disponibile sul sito istituzionale”.

L’Ente non ha, tuttavia, comprovato in alcun modo tali dichiarazioni (ad esempio tramite fotografie dei cartelli effettivamente installati), nemmeno in relazione alla specifica area all’interno della quale il reclamante ha rappresentato di essere stato ripreso in data XX. Ciò fermo restando che, come, altresì, dichiarato dall’Ente, non tutti i siti videosorvegliati sarebbero provvisti del cartello di avvertimento contenente l’informativa di primo livello. Tale cartello di avvertimento, di cui è stata prodotta in atti copia, non è, in ogni caso, conforme alla disciplina in materia di protezione dei dati, in quanto: le finalità di trattamento sono indicate in modo del tutto generico (“tutela del patrimonio”) e non è indicata la base giuridica del trattamento (v. art. 13, par. 1, lett. c), del Regolamento); si fa riferimento ai “Dati di contatto del Responsabile del trattamento” in luogo di quelli del Responsabile della protezione dei dati (RPD), che non sono, peraltro, indicati, essendo stato inserito unicamente un collegamento a una pagina del sito web istituzionale del Comune (v. art. 13, par. 1, lett. b), del Regolamento); si fa menzione unicamente dei diritti di accesso ai dati personali e cancellazione degli stessi, e non anche degli altri diritti previsti dalla normativa in materia di protezione dei dati, con particolare riguardo ai diritti di limitazione del trattamento e opposizione (v. artt. 18 e 21 del Regolamento).

Inoltre, tale cartello, pur rendendo edotti gli interessati che è possibile consultare un’informativa completa di secondo livello, rimanda del tutto erroneamente - sia tramite collegamento ipertestuale sia tramite c.d. “QR Code” - al sito web istituzionale del Garante in luogo del sito web istituzionale del Comune. Risulta, pertanto, in ogni caso compromesso il meccanismo d’informativa stratificata basata su un’informativa di primo livello che rimanda un’informativa completa, di secondo livello, messa dal titolare a disposizione degli interessati.

D’altra parte, come sopra detto, il Comune ha dichiarato di aver redatto un’“informativa complet[a], di secondo livello, sul trattamento dei dati personali riferita alla Polizia Locale” ma di non essere “in grado di specificare in che data è stata resa disponibile sul sito istituzionale”; ciò senza aver, peraltro, chiarito, nonostante la specifica richiesta di chiarimenti rivoltagli, se attualmente un’informativa completa sia pubblicata sul sito istituzionale dell’Ente e, in tal caso, su quale specifica pagina del sito (v. anche la nota del XX, prot. n. XX, con la quale il Comune ha sostenuto che l’“informativa [di] primo livello [è] pubblicata sul sito Internet del Comune: privacy informativa polizia”).

Né il Comune ha chiarito se il testo dell’informativa in questione sia quello di cui all’allegato XX della richiamata nota del XX (pag. XX) o quello di cui a pag. XX della stessa. In ogni caso, il primo di tali documenti è una mera bozza d’informativa, priva di qualsivoglia riferimento temporale, con alcune parti ancora da completare (elenco dei siti d’installazione delle telecamere) e del tutto carente ai fini del pieno soddisfacimento dei requisiti previsti dall’art. 13 Regolamento; il secondo, invece, sembra, invece, consistere in una generica informativa sui trattamenti di dati posti in essere nell’ambito delle attività della Polizia Locale, ma che non riguarda specificamente l’impiego di telecamere di videosorveglianza e altri dispositivi video sul territorio comunale; anche tale documento è, inoltre, sprovvisto di qualsivoglia riferimento temporale.

In sede di memoria difensiva, l’Ente ha riconosciuto che “l’istruttoria […] ha permesso di rilevare la mancanza di prova della regolare affissione dell’informazione di I° livello in prossimità delle zone sottoposte a videosorveglianza, in ogni caso la loro parzialità [e] la non conformità alla disciplina in materia […] A tal proposito [il] Comune ha provveduto a realizzare i seguenti interventi: ridisegnato il contenuto dell’informativa di 1° livello […]; riscritto l’informativa di 2° livello […]; approvato la variazione di bilancio necessaria per la sostituzione della cartellonistica di primo livello […]; determinato l’acquisto della nuova cartellonistica di informativa di 1° livello con relativo impegno di spesa […]”.

Alla luce delle considerazioni che precedono, deve concludersi che il Comune ha effettuato un trattamento di dati personali, mediante dispositivi video, in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento.

3.3 La valutazione di impatto sulla protezione dei dati.

In caso di rischi elevati per gli interessati - derivanti, ad esempio, dall’utilizzo di nuove tecnologie - il titolare del trattamento deve svolgere una valutazione di impatto sulla protezione dei dati, al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento).

Nel caso di specie, il Comune era certamente soggetto all’obbligo di svolgere una valutazione di impatto sulla protezione dei dati, considerato che, ai sensi dell’art. 35, par. 3, lett. c), del Regolamento, la valutazione di impatto è sempre richiesta in caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”, circostanza che ricorre nel caso in esame, stante l’impiego di dispositivi video installati sulla pubblica via, di cui alcuni, peraltro, dotati di funzionalità di lettura automatizzate delle targhe dei veicoli in transito.

A tal riguardo, nel corso dell’istruttoria il Comune ha dichiarato che “[…] allo stato attuale non [si] dispone della valutazione di impatto [sulla protezione dei dati”] (nota del XX), per poi affermare, in sede di memoria difensiva, che il Comune aveva confidato nel parere reso dal proprio RPD “nel senso della esclusione della necessità di adottare la c.d. DPIA in forza del provvedimento [dell’] Autorità n. 467 dell’1/10/2018”, avendo ora l’Ente “avviato […] lo studio e la realizzazione della [valutazione di impatto]”.

Deve, pertanto, concludersi che, non avendo il Comune svolto una valutazione di impatto sulla protezione dei dati prima di dare avvio al trattamento, lo stesso ha agito in violazione dell’art. 35 del Regolamento.

3.4 La regolazione dei rapporti con i responsabili del trattamento

Ai sensi dell’art. 28, par. 3, del Regolamento, “i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del 26 diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento, che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”, e che preveda tutti gli impegni di cui al medesimo art. 28, par. 3 (cfr. cons. 81 del Regolamento). Il contratto o il diverso atto giuridico deve essere “stipulato in forma scritta, anche in formato elettronico” (art. 28, par. 9, del Regolamento).

Come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’articolo 28, paragrafo 9, del [Regolamento]”.

A tal riguardo, il Comune, con la richiamata nota del XX, ha dichiarato che le “due società installatrici [del sistema di videosorveglianza sono] XX e XX […]” e che “i soggetti esterni che effettuano il trattamento dei dati del sistema di videosorveglianza sono le due ditte che hanno curato l’installazione e curano la manutenzione dello stesso. Entrambe le ditte sono state designate […] quali responsabili del trattamento dei dati personali dei sistemi di videosorveglianza in relazione ai compiti espletati”. Tuttavia, a fronte della specifica richiesta rivolta dall’Autorità al Comune in merito alla possibilità per l’Ente di comprovare la data certa in cui lo stesso avrebbe stipulato detti accordi sulla protezione dei dati con le predette aziende fornitrici, l’Ente non ha fornito alcun riscontro.

Deve, in ogni caso, osservarsi che i predetti accordi non sono comunque conformi a quanto previsto dalla disciplina europea di protezione dei dati. In particolare, essi non contemplano tutti gli impegni minimi che il responsabile del trattamento deve necessariamente assumere ai sensi dell’art. 28, par. 3, del Regolamento.

Con nota del XX (prot. n. XX), il Comune, ha dichiarato che la “designazione [a responsabile del trattamento della] XX [è stata effettuata in] data XX”, senza, tuttavia, produrre in atti copia di tale atto di designazione.

In sede di memoria difensiva, il Comune, in merito al “rapporto con i responsabili del trattamento” e alla “mancata prova della data certa […] antecedente la stipula [dei…] contratti di manutenzione e gestione del sistema di videosorveglianza (XX in data XX e XX in data XX), e comunque [alla] loro difformità alle disposizioni di cui agli artt. 28 e 32 del Regolamento”, si è limitato a far “presente che [dette] società sono state sostituite con [altre aziende], con relativa regolare nomina quali responsabili del trattamento”.

Non avendo, pertanto, il Comune comprovato di aver stipulato i predetti accordi prima della data di avvio dei trattamenti in questione e non essendo, peraltro, gli accordi prodotti in atti pienamente conformi ai requisiti previsti dalla disciplina in materia di protezione dei dati, deve concludersi che l’Ente ha agito in violazione dell’art. 28 del Regolamento.

3.5 Il riscontro all’istanza di esercizio del diritto di accesso ai dati personali

L’art. 12 del Regolamento prevede che il titolare debba fornire gratuitamente all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta formulata ai sensi degli artt. da 15 a 22 del Regolamento, senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della richiesta stessa (parr. 3 e 5). Solo “se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta” (par. 5). Se non ottempera alla richiesta, il titolare deve informare l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo o di proporre ricorso giurisdizionale (par. 4).

Nel caso oggetto di reclamo, l’interessato, con istanza del XX, ha chiesto al Comune “di [poter] esercitare il diritto di accesso alle immagini rilevate da apparati di videosorveglianza […], che potrebbero aver registrato dati personali [riferibili] a sé stesso”, nonché di ottenere “copia delle stesse”.

Con nota del XX, il Comune, in riscontro alla predetta istanza, ha fatto presente all’interessato che “la sua richiesta non è accoglibile in quanto non è motivata, come previsto dall’art. 18 del “Regolamento per la disciplina della videosorveglianza” approvato con Delibera di Consiglio Comunale n. XX del XX, [in quanto] non sono indicati i presupposti di fatto e l’interesse specifico”.

Al riguardo, il Comune, con la richiamata nota del XX, ha dichiarato che “[la] richiesta veniva negata ai sensi dell’art. 18 del [predetto] Regolamento [comunale] in quanto l’istanza non era adeguatamente motivata” e che “[…] l’apparecchiatura relativa alla istanza non è collegata direttamente alla centrale operativa ed effettua la registrazione in loco. L’acquisizione delle immagini pertanto può essere effettuata solo per mezzo di ditta all’uopo incaricata con, pertanto, sostenimento di costi e dispendio di tempo [. Anche il RPD dal Comune] confermava di potersi negare l’accesso in base al vigente regolamento comunale […]”.

Ciò premesso, deve ritenersi che la condotta del Comune si ponga in contrasto con la disciplina europea in materia di protezione dei dati personali. Come, infatti, previsto dall’art. 15, par. 1, del Regolamento, “l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e [a talune] informazioni”, senza che sia in alcun modo richiesto di motivare l’istanza rivolta al titolare. L'interessato “non ha [, infatti,] l'obbligo di motivare la richiesta di accesso, e non spetta al titolare […] valutare se la richiesta sarà effettivamente utile all'interessato per verificare la liceità del trattamento pertinente oppure per esercitare altri diritti. Il titolare […] dovrà dar seguito alla richiesta, tranne nel caso in cui sia evidente che essa è stata presentata in base a norme diverse da quelle in materia di protezione dei dati” (Comitato europeo per la protezione dei dati, “Linee guida 1/2022 sui diritti degli interessati - Diritto di accesso” del 28 marzo 2023, pag. 3).

Tale circostanza non ricorre nel caso di specie, avendo l’interessato inequivocabilmente invocato il diritto di accedere a dati personali, anche citatando in maniera puntuale le pertinenti disposizioni della disciplina in materia di protezione dei dati (“a norma dell’art. 7 della Legge n. 196/2003” - ancorché non più in vigore, e - “dell’art. 15, para. 3 e 4, del RGPD, delle linee guida n. 3/2019 EDPB [, vale a dire del Comitato europeo per la protezione dei dati]”), sebbene con un solo richiamo inconferente a un corpus normativo estraneo all’ambito della protezione dei dati (“e in ossequio al D. Lgs. n. 97/2016”), di per sé non idoneo a mutare la natura dell’istanza in questione (si vedano i numerosi passaggi dell’istanza in cui è chiara la volontà dell’interessato di voler esercitare il diritto di accesso di cui all’art. 15 del Regolamento: “[l’interessato] intende esercitare il diritto di accesso, riconosciuto dal D.lgs. 196/2003, allo scopo di accertare se siano state raccolte immagini che riguardano il sottoscritto”; “[l’interessato è] consapevole che, se le immagini contengono dati riferibili a terzi, l’accesso del sottoscritto è consentito nei limiti stabiliti dall’art. 10, comma quinto, del D. lgs. n. 196/2003 e soltanto se “la scomposizione dei dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali relativi a terzi” e conseguentemente di accettare che gli eventuali dati riferiti a terze persone vengano resi incomprensibili”; “[l’interessato premette] di essere consapevole che le linee guida n. 3/2019 sul trattamento dei dati personali attraverso sistemi video stabiliscono che […]”; “[l’interessato chiede] di esercitare il diritto di accesso alle immagini rilevate da apparati di videosorveglianza del comune di Tuscania (VT), che potrebbero aver registrato dati personali a sé stesso afferenti”).

Quanto all’art. 18 del regolamento comunale sulla videosorveglianza, richiamato dal Comune nel riscontro reso all’interessato, deve osservarsi che tale disposizione si riferisce in maniera indiscriminata alla “procedura […] per accedere ai dati ed alle immagini”, senza effettuare alcuna distinzione tra le istanze di esercizio del diritto di accesso ai dati personali di cui all’art. 15 del Regolamento e quelle di esercizio del diritto di accesso documentale ai sensi degli artt. 22 e ss. della l. 241/1990 (sul rapporto tra diritto di accesso ai dati personali e diritto di accesso ai documenti amministrativi, v. Corte di Giustizia dell’Unione europea, sentenza C-710/23, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), del 3 aprile 2025). Stante tale ambiguità, risulta non conforme alla normativa in materia di protezione dei dati, per le ragioni sopra esposte, il riferimento nel primo paragrafo alla necessità che l’interessato debba presentare “apposita istanza […] adeguatamente motivata”. A tal proposito, il Comune, in sede di memoria difensiva, ha ammesso che “indubbiamente il contenuto dell’art. 18 del Regolamento [comunale …] finisce per mescolare indebitamente accesso ai dati personali e accesso ai documenti ex L. 241/90”; a tal riguardo, il “Comune […] ha adottato il nuovo regolamento per la disciplina della videosorveglianza n. X del XX […]”.

Parimenti incompatibile con il Regolamento è, altresì, l’ultimo paragrafo della predetta disposizione, allorché si prevede che “la Giunta Comunale quantificherà, mediante l’adozione di una propria deliberazione, un contributo spese da corrispondere da parte del richiedente a copertura dei costi sostenuti per l’espletamento della pratica”. Ai sensi dell’art. 12, par. 5, del Regolamento, “le […] comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 […] sono [, infatti,] gratuite”, potendo il titolare “addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta” oppure “rifiutare di soddisfare la richiesta”, soltanto nel caso in cui “le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo” (cfr. Corte di Giustizia dell’Unione europea, sent. C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), del 9 gennaio 2025), incombendo sul titolare “l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta” (v. le citate “Linee guida 1/2022 sui diritti degli interessati - Diritto di accesso”, par. 6.3, ove si evidenzia, in particolare, che i concetti di “infondato” o “eccessivo” si devono “interpretare in senso stretto, giacché occorre evitare di compromettere i principi di trasparenza e di diritto degli interessati alla gratuità dei dati”; cfr. provv. 20 ottobre 2022, n. 341, doc. web n. 9831369, par. 3.4, con cui il Garante ha già censurato la condotta di un Comune che aveva subordinato la possibilità di esercitare il diritto di accesso ai dati personali contenuti in un filmato di videosorveglianza al pagamento di una somma di denaro).
Avendo il Comune negato al reclamante la possibilità di esercitare il diritto di accesso ai propri dati personali, per non aver esplicitato il motivo sotteso alla propria istanza, deve concludersi che lo stesso ha agito in violazione degli artt. 12 e 15 del Regolamento.

3.6 Il mancato pieno adempimento alle prescrizioni impartite dal Garante

Come illustrato al precedente par. 2, il Garante, con provv. n. 68 del 13 febbraio 2025, aveva ingiunto al Comune di fornire pieno riscontro, entro trenta giorni dalla data notifica di detto provvedimento, alle richieste d’informazioni rivoltegli dall’Ufficio nel corso dell’istruttoria.

A fronte di tali prescrizioni, il Comune, con nota del XX (prot. n. XX), ha, tuttavia, fornito un riscontro soltanto parziale e complessivamente inadeguato. In particolare, l’Ente:

non ha fornito i chiarimenti richiesti in merito all’affermazione resa nel corso del procedimento, secondo la quale “la tipologia delle telecamere – di lettura targhe e di contesto - deriva da scelte verosimilmente effettuate dall’Amministrazione Centrale”;

non ha fornito i chiarimenti richiesti né merito all’eventuale comunicazione ad altri soggetti pubblici dei dati personali relativi ai numeri di targa dei veicoli in transito, né con riguardo ai tempi di conservazione di tali numeri e delle modalità di consultazione degli stessi;

a fronte della richiesta di fornire i patti per l’attuazione della sicurezza urbana stipulati antecedentemente al XX, si è limitato ad affermare che “non vi sono ulteriori patti sulla sicurezza urbana oltre quello sottoscritto in data XX”, così contraddicendo le dichiarazioni precedentemente rese nel corso del procedimento, senza spiegare in alcun modo tale apparente contraddizione;

non ha specificato se l’Ente fosse in grado o meno di comprovare la data certa in cui lo stesso avrebbe stipulato l’accordo sulla protezione dei dati con i responsabili del trattamento;

non ha chiarito se l’informativa completa di secondo livello fosse ad oggi pubblicata sul sito web istituzionale dell’Ente, indicando il collegamento alla relativa pagina, né se il testo dell’informativa in questione fosse quello di cui all’allegato XX della nota prot. n. XX del XX (pag. XX) o quello di cui a pag. XX della stessa;

con riguardo all’impiego delle fototrappole e ai numerosi chiarimenti richiesti, si è limitato ad affermare che “attualmente non sono installate fototrappole”, circostanza questa, come detto, del tutto irrilevante ai fini della ricostruzione dell’impiego di tali dispositivi quantomeno al tempo dei fatti oggetto di reclamo.

Nel sottoporre la propria memoria difensiva, il Comune ha espresso “sommo rammarico […per non aver] provveduto tempestivamente ed esaurientemente a riscontrare [il] Garante in merito alle richieste […] senza che ogni interna vicenda [all’] Ente, relativamente all’avvicendamento del personale di riferimento nei vari settori […] nonché ad un […] riscontrato difetto di comunicazione tra i medesimi settori, possa in alcun modo volere assurgere a valido motivo di giustificazione”; l’Ente ha, inoltre, affermato che “rileva [… a tal riguardo] in maniera preponderante la riscontrata difficoltà, anzi sinanche la impossibilità, di potere validamente interloquire con il DPO [al tempo] nominato”.

Posto, pertanto, che il Comune, come sopra illustrato, non ha pienamente adempiuto alle prescrizioni impartite dal Garante con il predetto provv. n. 68 del 13 febbraio 2025, deve concludersi che lo stesso ha agito in violazione degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità della condotta del Comune, essendo risultati complessivamente violati gli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), e 2 e 3, 12, 13, 15, 28, 35 e 58, par. 1, del Regolamento, nonché 2-ter e 157 del Codice.

Le violazioni delle predette disposizioni hanno avuto luogo in conseguenza di due distinte condotte, che devono essere considerate separatamente ai fini sanzionatori: la prima, che può considerarsi unitaria (stesso trattamento o trattamenti tra loro collegati), relativa al trattamento dei dati personali mediante telecamere di videosorveglianza collocate sulla pubblica via per asserite finalità riconducibili alle competenze istituzionali del Comune e all’illegittimo diniego opposto all’istanza di accesso ai dati personali presentata del reclamante, con la violazione degli artt. 5, par. 1, lett. a), 6, parr. l, lett. c) ed e), e 2 e 3, 12, 13, 15, 28 e 35 del Regolamento, nonché 2-ter del Codice (cfr. i precedenti parr. 3.1-3.5); la seconda relativa al mancato pieno adempimento alle prescrizioni impartite dal Garante, con la violazione degli artt. 58 e par. 1, del Regolamento e 157 del Codice (cfr. par. 3.5 e 3.6)

Per tutte le predette condotte trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che le violazioni più gravi, relative agli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), 12, par. 1, e 13, del Regolamento, nonché 2-ter del Codice (per la prima condotta) e 58 del Regolamento e 157 del Codice (per la seconda condotta), sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale di ciascuna sanzione è da quantificarsi fino a euro 20.000.000.

5. Misure correttive (art. 58, par. 1, lett. d), f) e g), del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d), di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento” (lett. f), nonché di “ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento […]” (lett. g).

In tale quadro, prendendo atto delle dichiarazioni rese dal Comune nel corso del procedimento e vista la documentazione in atti, si ritiene necessario disporre e ingiungere all’Ente:

- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, la limitazione del trattamento in corso, vietando al titolare del trattamento ogni ulteriore trattamento dei dati personali relativi alle targhe dei veicoli in transito, acquisiti mediante i dispositivi video in questione; -    ai sensi dell’art. 58, par. 2, lett. d) e g) del Regolamento, di provvedere alla cancellazione dei predetti dati relativi alle targhe dei veicoli in transito conservate nei propri archivi;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di (i) effettuare una ricognizione di tutte le telecamere di videosorveglianza presenti sul proprio territorio e di appurare, anche rivedendo gli accordi stipulati con le competenti Autorità di pubblica sicurezza, quali tra queste siano effettivamente strumentali al perseguimento della finalità di tutela della sicurezza urbana, provvedendo conseguentemente ad assicurare una piena informativa nei confronti degli interessati e a svolgere una valutazione di impatto sulla protezione dei dati; e (ii) verificare se sul proprio territorio siano stati o siano effettivamente attivi dispositivi video volti a prevenire il fenomeno dell’abbandono dei rifiuti o lo scorretto conferimento dei rifiuti (c.d. fototrappole; v. il precedente par. 3.1), fornendo, in tal caso, tutti gli elementi informativi già chiesti nel corso dell’istruttoria al riguardo (v., in particolare, la nota del XX, prot. XX).

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune dovrà provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ingiunto ai sensi del citato art. 58, par. 2, lett. d), f) e g) del Regolamento.

Tenuto conto che, in sede di memoria difensiva, il Comune ha dichiarato che “in considerazione del tempo trascorso non è più possibile rendere i dati richiesti dal reclamante”, non risulta, invece, possibile adottare provvedimenti correttivi in relazione alle violazioni relative alle disposizioni del Regolamento che disciplinano l’esercizio dei diritti dell’interessato.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta, per ciascuna delle due condotte, all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

6.1 La condotta che attiene al trattamento dei dati personali mediante dispositivi video e alla connessa istanza di esercizio del diritto di accesso ai dati personali

Tenuto conto che:

ancorché il Comune abbia raccolto i dati relativi alle targhe dei veicoli in transito per un esteso arco temporale, potendo così astrattamente ottenere informazioni delicate relative agli spostamenti degli interessati sul territorio comunale, esso ha agito in maniera colposa nell’erronea convinzione di aver correttamente disciplinato il trattamento ai fini della normativa di settore in materia di sicurezza urbana (art. 83, par. 2, lett. a) e b), del Regolamento);

i trattamenti posti in essere, pur potendo determinare un condizionamento della fruizione degli spazi pubblici da parte di un elevato numero di interessati, specialmente in assenza di un adeguato livello di trasparenza, non hanno causato conseguenze pregiudizievoli sulla sfera giuridica degli stessi, non essendo stati i dispositivi video impiegati per assumere decisioni di carattere amministrativo nei loro confronti; né risulta che il reclamante, nel contesto dell’istanza di accesso ai propri dati personali, abbia subito ulteriori pregiudizi per effetto dell’inidoneo riscontro fornito dall’Ente (art. 83, par. 2, lett. a), del Regolamento);

il trattamento non ha riguardato dati particolari appartenenti alle categorie particolari di cui all’art. 9 del Regolamento (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Comune di piccole dimensioni (circa 8.000 abitanti), dotato, pertanto, di limitate risorse organizzative ed economiche, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (cfr. art. 83, par. 2, lett. e), del Regolamento);

- il Comune, quantomeno fino alla produzione delle memorie difensive e dell’audizione, ha offerto una scarsa cooperazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 8.000 (ottomila) per la violazione degli artt. dell’art. 5, par. 1, lett. a), 6, parr. 1, lett. a) e b), e 2 e 3, 12, par. 1, 13, 15, 28 e 35 del Regolamento, nonché 2-ter del Codice (cfr. i precedenti parr. 3.1-3.5), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che il trattamento ha riguardato i dati relativi alle targhe dei veicoli in transito sul territorio comunale, informazioni queste particolarmente delicate, atteso che, ancorché dall’istruttoria non è emerso che il Comune abbia utilizzato tali dati per assumere specifici provvedimenti amministrativi nei confronti degli interessati, dalla loro analisi possono essere astrattamente ottenute informazioni relative agli spostamenti degli stessi sul territorio comunale.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

6.2 La condotta che attiene al mancato pieno adempimento alle prescrizioni del Garante

Tenuto conto che:

- omettendo di conformarsi pienamente alle prescrizioni dell’Autorità, il Comune, già destinatario di una sanzione amministrativa pecuniaria per non aver fornito pieno e tempestivo riscontro alle richieste d’informazioni rivoltegli, ha ulteriormente complicato e rallentato l’istruttoria dell’Ufficio, connotandosi tale condotta di particolare disvalore, quale sostanziale disconoscimento da parte dell’Ente del ruolo, dei compiti e dei poteri dell’autorità di controllo nell’ordinamento eurounitario e nazionale (v. artt. 55, 57 e 58 del Regolamento e 153-154-ter del Codice) (cfr. art. 83, par. 2, lett. e), del Regolamento);

- la violazione ha carattere doloso, avendo il Comune intenzionalmente omesso di conformarsi pienamente alle prescrizioni impartitegli, ancorché, come rappresentato dal Comune nelle proprie memorie difensive, ciò sia dipeso dall’avvicendamento del proprio personale e da problematiche di comunicazione interne all’Ente, che ha espresso rammarico per l’accaduto (cfr. art. 83, par. 2, lett. b), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Comune di piccole dimensioni (circa 8.000 abitanti), dotato, pertanto, di limitate risorse organizzative ed economiche, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

- il Comune è già stato destinatario di un provvedimento correttivo e sanzionatorio (v. il citato provv. n. 68 del 13 febbraio 2025) per la violazione dell’art. 157 del Codice (cfr. art. 83, par. 2, lett. e), del Regolamento);

- nonostante il predetto provvedimento correttivo e sanzionatorio, l’Ente, fino alla produzione della memoria difensiva, ha continuato a non offrire la dovuta cooperazione con l’Autorità, non avendo pienamente adempiuto alle prescrizioni impartitegli (cfr. art. 83, par. 2, lett. f), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000 (cinquemila) per la violazione degli artt. artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del particolare disvalore della condotta dell’Ente, come sopra evidenziato.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune per la violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), e 2 e 3, 12, 13, 15, 28, 35 e 58, par. 1, del Regolamento, nonché 2-ter e 157 del Codice, nei termini di cui in motivazione;

ORDINA

al Comune di Tuscania, in persona del legale rappresentante pro-tempore, con sede legale in Piazza F. Basile, 5 - 01017 Tuscania (VT), C.F. 00171510563, di pagare la complessiva somma di euro 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune:

-  in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la complessiva somma di euro 12.000,00 (dodicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, di limitare il trattamento in corso, vietando al titolare del trattamento ogni ulteriore trattamento dei dati personali relativi alle targhe dei veicoli in transito, acquisiti mediante i dispositivi video in questione;

- ai sensi dell’art. 58, par. 2, lett. d) e g) del Regolamento, di provvedere alla cancellazione dei predetti dati relativi alle targhe dei veicoli in transito conservate nei propri archivi;   

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di (i) effettuare una ricognizione di tutte le telecamere di videosorveglianza presenti sul proprio territorio e di appurare, anche rivedendo gli accordi stipulati con le competenti Autorità di pubblica sicurezza, quali tra queste siano effettivamente strumentali al perseguimento della finalità di tutela della sicurezza urbana, provvedendo conseguentemente ad assicurare una piena informativa nei confronti degli interessati e a svolgere una valutazione di impatto sulla protezione dei dati; e (ii) verificare se sul proprio territorio siano stati o siano effettivamente attivi dispositivi video volti a prevenire il fenomeno dell’abbandono dei rifiuti o lo scorretto conferimento dei rifiuti (c.d. fototrappole), fornendo, in tal caso, tutti gli elementi informativi già chiesti nel corso dell’istruttoria al riguardo;

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ingiunto ai sensi del citato art. 58, par. 2, lett. d), f) e g) del Regolamento nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori