Provvedimento del 12 febbraio 2026 [10227910]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 9 marzo 2026

[doc. web n. 10227910]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 102 del 12 febbario 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Con reclamo presentato in data XX ai sensi dell’art. 77 del Regolamento e dell’art. 141 del Codice, e successivamente regolarizzato in data XX, il Sig. XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte del Comune di Mazara del Vallo (di seguito, “Comune”), riguardante la ricezione di un verbale di contestazione dell’infrazione dell’art. 80 del D.Lgs. 30 aprile 1992, n. 285 (“Nuovo Codice della Strada”, o “C.d.S.”) accertata mediante sistema video.

In particolare, è stato rappresentato che il Comune ha notificato “in data XX tramite piattaforma “Send” “App IO” […] un verbale […] del XX per asserita violazione dell’art. 80/14 del D.Lgs 30/04/1992 n. 285 C.d.S. in quanto, secondo l’amministrazione, il giorno XX alle ore 20:11 in SS. 115 N. snc Intestazione XX il conducente del veicolo AUTOVEICOLO targa […] ha violato l'art. 80/14 del C.d.S. poichè circolava con il veicolo indicato non presentato alla prescritta revisione […]” e che “Nel [predetto] verbale […] l’amministrazione ha riportato l’impossibilità di contestazione immediata in quanto l’infrazione è stata accertata esclusivamente a mezzo sistemi di videosorveglianza ai sensi dell'art. 13 Legge n. 689/81”.

Il reclamante ha, altresì, lamentato che “il cartello di videosorveglianza appare non idoneo, in quanto privo di quegli elementi obbligatori, […] non è presente alcuna indicazione sulla disponibilità dell’informativa di secondo livello per gli interessati per le diverse finalità perseguite di tipo amministrativo (sanzioni Cds) e sicurezza pubblica (furti)”.

2. L’attività istruttoria

In risposta ad una richiesta di informazioni dell’Autorità (prot. n. XX del XX), ai sensi dell’art. 157 del Codice, con note del XX e XX (rispettivamente, prot. nn. XX e XX), cui si rinvia integralmente, il Comune dichiarato, in particolare, che:

- “[…] in data XX, al reclamante […] veniva notificato, tramite piattaforma SEND App IO, il verbale n. […] – elevato in data XX, per aver violato l’art. 80, comma 14 del Codice della Strada – omessa revisione – in quanto il […] XX alle ore 20.11 circolava sulla S.S. 115 altezza della XX con il veicolo targato […]” (cfr. “Relazione XX”, allegata alla nota del XX);

- “[…] con la modifica del Codice della Strada introdotta con Legge 24 novembre 2024, n. 177, il legislatore ha apportato numerose novità che riguardano il rilevamento a distanza delle violazioni rafforzando la possibilità di accertare a distanza immagini che possono essere utilizzate per la contestazione differita. A seguito della novella legislativa, alla lett. g-bis del comma 1 bis dell’art. 201, è stata trasfusa la previsione, precedentemente contenuta nel comma 1-quinquies dell’art. 201, relativa alla rilevanza della documentazione fotografica quale atto di accertamento della circolazione del veicolo al momento della rilevazione, ultimo periodo, che recita testualmente “Per l’accertamento delle violazioni, la documentazione fotografica prodotta costituisce atto di accertamento, ai sensi e per gli effetti dell’art. 13 della L. 24 novembre 1981, n. 689 in ordine alla circostanza che al momento del rilevamento un determinato veicolo – nel caso di specie il veicolo […] condotto dal […dal reclamante] – munito di targa di immatricolazione stava circolando sulla strada” (cfr. “Relazione XX, allegata alla nota del XX);

- “[…] la totale riscrittura del comma 1-quinquies dell’art. 201 […] stabilisce che, in deroga alla disciplina contenuta nel periodo precedente, le immagini acquisite mediante dispositivi possano comunque essere utilizzate dai soggetti di cui all’art. 12, commi 1 e 2 […] del Codice della Strada per l’accertamento, mediante raffronto con banche dati esterne per le quali i dispositivi medesimi non sono stati specificamente approvati od omologati ma le cui immagini sono sufficienti ad accertare che il veicolo sta circolando in assenza dei requisiti per la circolazione previsti dal […CDS] nel caso di specie in violazione dell’art. 80 comma 14 che prevede la sospensione della circolazione del veicolo fino all’effettuazione della revisione. Sullo stesso tema si è pronunciata la Suprema Corte di Cassazione – sez. II con l’Ordinanza n. 12681 del 10 maggio 2023 – stabilendo che il sistema “Targa System 4.0”, sistema analogo a quello in uso alla Polizia Municipale di Mazara del Vallo, non è idoneo a fondare in via autonoma l’accertamento e contestazione della violazione, tuttavia, è parimenti vero che il sistema medesimo ben può essere utilizzato come ausilio per l’operatore di polizia stradale e quindi come punto di partenza per le operazioni di accertamento e successiva contestazione della violazione, in quanto tali operazioni potranno prendere le mosse dai dati ricavati dal sistema, ma dovranno poi ricevere un ulteriore sviluppo finalizzato al completamento dell’accertamento e contestazione della violazione e quindi, come nel caso […di specie] attraverso l’ulteriore controllo diretto sulla Carta di Circolazione dello stesso […]” (cfr. “Relazione XX”, allegata alla nota del XX);

- “[…] le telecamere attualmente in uso a) non risultano omologate né approvate dal Ministero delle Infrastrutture e dei Trasporti per il rilevamento delle violazioni di cui agli artt. 80 e 193 CdS; b) sono state installate nell’ambito di un progetto validato dalla Prefettura; c) sono state utilizzate fino ad oggi per l’accertamento da remoto e la successiva contestazione differita delle violazioni sopra indicate, senza la presenza fisica di un operatore di polizia su strada. Tale modalità operativa, in relazione al punto a) pare non risulti del tutto conforme alla Circolare del Ministero dell’Interno del 3 luglio 2020, prot. n. [4684], determinando possibili criticità sotto il profilo della tutela dei diritti degli interessati. […] Alla luce delle criticità emerse e della necessità di garantire il pieno rispetto delle disposizioni normative e delle garanzie procedurali, la modalità sinora adottata deve considerarsi superata. Il sistema sanzionatorio sarà, pertanto, riorganizzato secondo le direttive sopra indicate, con effetto immediato […]” (cfr. “XX” allegato alla nota del XX);

- “Il sistema di videosorveglianza è stato messo in funzione in data XX […] Le finalità di trattamento dei dati sono quelle contenute nel “PATTO PER L’ATTUAZIONE DELLA SICUREZZA URBANA” […] sottoscritto tra il Prefetto di Trapani e il Sindaco della Città di Mazara del Vallo […]” (cfr. “Relazione XX”, allegata alla nota del XX);

- “Il Sistema Selea di lettura delle targhe utilizzato dalla Polizia Municipale di Mazara del Vallo è stato validato dal Comitato per l’ordine e la Sicurezza Pubblica ed è in possesso del certificato di conformità dei processi di trattamento di rilevamento, consultazione dei dati delle targhe dei veicoli mediante il prodotto di videosorveglianza […] Il Sistema Selea non acquisisce i numeri di targa di tutti i veicoli in transito sulla strada indipendentemente dall’accertamento di una violazione al Codice della Strada, e pertanto non è un sistema automatico e massivo, ma acquisisce soltanto i numeri di targa di quei veicoli che a seguito di alert, generato dal sistema, […] potrebbero non essere stati sottoposti alla prescritta revisione periodica, art. 80 comma 14 […] Il fotogramma del veicolo non sottoposto alla prescritta revisione periodica, unitamente ai documenti acquisiti dalla banca dati della Motorizzazione Civile che certificano l’omessa revisione periodica, formano il fascicolo digitale che potrà essere visionato dall’interessato” (cfr. “Relazione XX”, allegata alla nota del XX);

- “Le immagini sono conservate per 7 giorni (cfr. “Relazione XX”, allegata alla nota del XX);

- “Il cartello informativo indicante la persona che [effettua] la registrazione – Comandante della Polizia Municipale – e i motivi per cui la registrazione è effettuata è stato collocato in data 5 novembre 2024 data in cui si è tenuta presso il Comando di Polizia Municipale una conferenza stampa per informare la cittadinanza dell’attivazione del nuovo Sistema di videosorveglianza e della messa in funzione di n. 6 videocamere con lettura targa indicando i siti in cui le stesse sono state posizionate” (cfr. “Relazione XX”, allegata alla nota del XX);

- “Per quanto riguarda la valutazione d’impatto ci si riporta a quanto indicato nel Provvedimento del Garante dell’8 aprile 2010 per i soggetti pubblici che possono utilizzare il modello semplificativo di informativa minima […] ed alla Circolare del Ministero dell’Interno n. 558/SICPART/421.2/70/224632 del 2 marzo 2012 […] laddove si precisa che per i sistemi di videosorveglianza ogni qualvolta si profilino aspetti di tutela dell’Ordine Pubblico e di Sicurezza Pubblica oltre a quelli di sicurezza urbana, come per il sistema di Mazara del Vallo, si vengono a determinare le condizioni di applicazione dell’art. 53 del Codice […] con relativo affievolimento di alcuni principi di garanzia quali, in particolare, quello dell’informativa di cui all’art. 13 del cennato decreto. Pertanto l’Ufficio che ha predisposto il progetto esecutivo, non ha redatto la valutazione d’impatto sulla protezione dei dati personali perché l’intero progetto è stato validato dal Comitato per l’Ordine e la Sicurezza Pubblica, che rappresenta una stabile modalità di valutazione degli apparati di videosorveglianza in ambito comunale […]” (cfr. “Relazione XX”, allegata alla nota del XX).

Con riferimento alla condotta del Comune, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato allo stesso, con nota del XX (prot. n. XX), ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:

- in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 parr. 1-3 del Regolamento, nonché art. 2-ter, comma 1, del Codice;

- fornendo agli interessati un’inidonea informativa di primo livello e omettendo di fornire agli stessi un’informativa di secondo livello, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento;

- in violazione dell’art. 35 del Regolamento, non avendo effettuato una valutazione d’impatto sulla protezione dei dati in merito al sistema di videosorveglianza in esame.

Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), cui si rinvia integralmente, il Comune, che non ha chiesto di essere audito, ha ribadito sostanzialmente quanto già dichiarato nelle precedenti note del XX e XX, rappresentando, altresì, in particolare, che:

- “[…] l’alert generato dal Sistema Selea è una attività meramente prodromica che necessitava di un esame documentale e dell’acquisizione di altre informazioni, e da ciò deriva che l’accertamento e la contestazione vengono ad integrarsi, appunto, a seguito delle verifiche operate presso l’Ufficio Verbali della Polizia Municipale di Mazara del Vallo e non in virtù del solo allarme generato dal Sistema Selea, ma attraverso il controllo documentale e la consultazione delle banche dati della Motorizzazione – Portale dell’automobilista – dalle quali risultava che al momento del transito lungo la S.S. 115 all’altezza della XX il veicolo […del reclamante] circolava senza che questo fosse sottoposto alla prescritta revisione periodica. Pertanto la Polizia Municipale di Mazara del Vallo ha accertato e contestato la violazione a seguito della verifica sul rispetto dei tempi di revisione periodica del veicolo […del reclamante] operata presso gli Uffici di Polizia e non in virtù delle eventuali precedenti attività – come appunto il Sistema Selea – le quali risultano meramente prodromiche e non autosufficienti rispetto all’accertamento vero e proprio effettuato in Ufficio così come chiarisce l’Ordinanza della Suprema Corte di Cassazione Civile sez. II n. 12681 del 10 maggio 2023 e raccogliendo solo dati pertinenti e non eccedenti per il perseguimento delle finalità istituzionali del titolare, delimitando a tal fine la dislocazione e l’angolo visuale delle riprese in modo da non raccogliere immagini non pertinenti o inutilmente dettagliate. In particolare il fotogramma ha individuato unicamente gli elementi previsti dalla normativa di settore per la predisposizione del verbale di accertamento della violazione dell’art. 80 comma 14 […]. Si sottolinea, infine, che con la citata Ordinanza […] vengono respinte le osservazioni del ricorrente e che pertanto “non si è verificata alcuna immotivata contestazione differita della violazione” ed il verbale di accertamento deve ritenersi sottoscritto dagli stessi Agenti – presso gli Uffici di Polizia Municipale di Mazara del Vallo – che hanno proceduto all’accertamento medesimo” (cfr. nota “Prot. n. XX” allegata alla nota del XX);

- “[…] successivamente alla ricezione del preavviso di sanzione, […il] Comando ha ritenuto opportuno adottare alcune iniziative urgenti finalizzate all’adeguamento del sistema di videosorveglianza, mirando a garantirne una rapida regolarizzazione laddove necessario e a dimostrare piena collaborazione con l’Autorità […]” in quanto, in particolare “è stata predisposta e trasmessa alla Ragioneria comunale una bozza di determina dirigenziale per l’aggiornamento della cartellonistica di primo livello conforme al […Regolamento], è stata trasmessa al […DPO] e agli uffici competenti una nota interlocutoria […] con la quale si sollecita l’adeguamento dell’informativa di secondo livello e la pubblicazione sul sito istituzionale dell’Ente [e] sono state sospese le modalità di accertamento diretto da remoto delle violazioni al Codice della Strada, a favore dell’accertamento su strada della circolazione del veicolo da parte della pattuglia, avvalendosi del supporto dell’alert delle telecamere” (cfr. nota del XX).

3. Esito dell’attività istruttoria

3.1. Sulla liceità del trattamento

All’esito dell’attività istruttoria, è emerso, in sintesi, che il Comune si è dotato di un sistema video anche per finalità di accertamento delle violazioni al C.d.S. e, con riferimento al caso di specie, in ossequio a tale finalità, ha notificato nei confronti del reclamante il verbale di accertamento per la violazione dell’art. 80, comma 14 del C.d.S.

In linea generale, si osserva che i soggetti pubblici possono, di regola, trattare dati personali mediante dispositivi video se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (v. art. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3, del Regolamento, nonché art. 2-ter del Codice; cfr. le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, par. 41; v. anche le FAQ del Garante in materia di videosorveglianza, del 3 dicembre 2020, doc. web n. 9496574).

Si rappresenta, inoltre, che l’art. 6, parr. 2 e 3, del Regolamento precisa che la base su cui si fonda il trattamento dei dati di cui al par. 1, lettere c) ed e), deve essere stabilita dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento, che deve determinare la finalità del trattamento, nonché contenere disposizioni specifiche per adeguare l'applicazione delle norme del Regolamento, fermo restando che il diritto dell'Unione o degli Stati membri deve, in ogni caso, perseguire un obiettivo d’interesse pubblico ed essere proporzionato all'obiettivo legittimo perseguito.

In attuazione di quanto previsto dall’art. 6, parr. 2 e 3, del Regolamento, il legislatore nazionale ha precisato che la base giuridica prevista dall'art. 6, par. 3, lett. b), del Regolamento, ovvero “il diritto dello Stato membro cui è soggetto il titolare del trattamento” e su cui “si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), [dell’art. 6 del Regolamento]”, è costituita “da una norma di legge o di regolamento o da atti amministrativi generali” (v. art. 2-ter, comma 1, del Codice).

Pur in presenza di una condizione di liceità del trattamento, il titolare è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, (art. 5, par. 1, lett. a), del Regolamento).

In tale quadro, la normativa di settore, in particolar modo quella vigente all’epoca dei fatti, disciplina la possibilità di accertare alcune violazioni al C.d.S. attraverso appositi dispositivi video, nel rispetto di alcune condizioni (cfr. artt. 45, 193, comma 4-ter, 198, 198-bis, 201, commi 1-bis, lett. e), f), g), g-bis) e g-ter) del C.d.S.). In particolare, gli apparecchi di rilevazione per essere utilizzati per il rilevamento da remoto delle violazioni di cui agli artt. 80 e 193 C.d.S. con contestazione differita, devono essere gestiti direttamente dagli organi di polizia stradale e devono fungere da mero supporto di documentazione della violazione, dovendosi, di regola, procedere sempre alla contestazione immediata, salvo che specifiche situazioni di fatto (c.d. “oggettivi motivi contingenti”) da motivare adeguatamente e circostanziare nel verbale, rendano impossibile la contestazione immediata (cfr. la circolare del Ministero dell’Interno del 3 luglio 2020, prot. n. 4684 in materia di “Contestazione differita delle violazioni di cui agli artt. 80 e 193 del Codice della Strada”).

Al riguardo, si evidenzia inoltre che l’art. 201 del C.d.S., (anche nella versione vigente all’epoca dei fatti) prevedeva espressamente, tra gli altri, la contestazione differita nel caso di “accertamento delle violazioni di cui agli articoli […] 80, […] per mezzo di dispositivi o apparecchiature di rilevamento approvate od omologate ai sensi di appositi regolamenti adottati con decreto del Ministro delle infrastrutture e dei trasporti, di concerto con il Ministro dell'interno […]” (art. 201, co. 1-bis, lett. g-bis) del C.d.S.).

Da quanto emerso in sede d’istruttoria, il Comune ha rappresentato che “le telecamere attualmente in uso a) non risultano omologate né approvate dal Ministero delle Infrastrutture e dei Trasporti per il rilevamento delle violazioni di cui agli artt. 80 e 193 CdS; b) sono state installate nell’ambito di un progetto validato dalla Prefettura; c) sono state utilizzate fino ad oggi per l’accertamento da remoto e la successiva contestazione differita delle violazioni sopra indicate, senza la presenza fisica di un operatore di polizia su strada” e che, pertanto, “al fine di riallineare l’attività accertativa al dettato normativo, si dispone in via temporanea […] fino a quando non saranno acquisiti ulteriori utili elementi di valutazione, anche all’esito dei contenziosi già instauratisi sul caso che ci occupa: a) L’utilizzo delle telecamere attualmente in dotazione sarà consentito esclusivamente come supporto informativo per segnalare alla centrale operativa la potenziale circolazione di veicoli privi di revisione o copertura assicurativa […]”. Il medesimo Comune ha successivamente evidenziato, inoltre, che “l’alert generato dal Sistema Selea è una attività meramente prodromica che necessitava di un esame documentale e dell’acquisizione di altre informazioni, e da ciò deriva che l’accertamento e la contestazione vengono ad integrarsi, […] a seguito delle verifiche operate presso l’Ufficio Verbali della Polizia Municipale di Mazara del Vallo e non in virtù del solo allarme generato dal Sistema Selea, ma attraverso il controllo documentale e la consultazione delle banche dati della Motorizzazione – Portale dell’automobilista”.

Tuttavia, nel caso di specie, si evidenzia che nel verbale di accertamento notificato al reclamante è unicamente indicato che “Non è stato possibile contestare immediatamente la violazione causa: Infrazione accertata a mezzo sistemi di video sorveglianza ai sensi dell'art. 13 Legge n. 689/81”, senza fornire alcuna indicazione aggiuntiva in merito alle effettive modalità di accertamento osservate, nonché in relazione agli “oggettivi motivi contingenti” ricorrenti nel caso concreto.

In ragione delle considerazioni che precedono, deve concludersi che, nell’accertamento effettuato nei confronti del reclamante utilizzando il sistema video in questione ai fini della contestazione di una violazione al C.d.S. in modalità differita, in assenza dei necessari presupposti previsti dalla legge, il Comune ha posto in essere un trattamento di dati personali nei confronti del reclamante in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di un’idonea base giuridica, agendo pertanto in violazione degli artt. 5, par. 1, lett. a), e 6 parr. 1-3 del Regolamento nonché art. 2-ter, comma 1, del Codice.

3.2. Sulla trasparenza nei confronti degli interessati

La condotta del Comune risulta non conforme al principio di liceità, correttezza e trasparenza anche in relazione alla completezza e all’esattezza delle informazioni rese agli interessati in merito all’effettivo trattamento posto in essere. Allorquando, infatti, siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; da ultimo, v. le FAQ del Garante in materia di videosorveglianza, doc. web n. 9496574, n. 4; cfr., altresì, provv.ti del 18 dicembre 2025, n. 752, doc. web n. 10213486, 29 aprile 2025, n. 244, doc. web n. 10144974, 19 dicembre 2024, n. 805, doc. web n. 10107263; 12 dicembre 2024, n. 766, doc. web n. 10102334, 11 gennaio 2024, n. 5, doc. web n. 9977020; 20 ottobre 2022, n. 341, doc. web n. 9831369; 28 aprile 2022, n. 162, doc. web n. 9777974, 7 aprile 2022, n. 119, doc. web n. 9773950, 16 settembre 2021, n. 327, doc. web n. 9705650 e 11 marzo 2021, n. 90, doc. web n. 9582791). Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (Linee guida del Comitato, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’Unione europea, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi) (Linee guida del Comitato, cit., par. 115).

La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Nel caso di specie, il Comune ha prodotto in atti copia di un cartello, contenente l’informativa sul trattamento dei dati personali di primo livello inizialmente installata, la quale non risultava conforme ai requisiti previsti dal Regolamento (cfr. art. 13), in quanto:

- erano indicati riferimenti non aggiornati in merito alla normativa sulla protezione dei dati personali (“art. 13 del Codice in materia di protezione dei dati personali”);

- non erano indicati l’identità e i dati di contatto del titolare del trattamento, essendo indicato che “la registrazione è effettuata dal Comandante della Polizia Municipale”;

- non erano indicati i dati del Responsabile della protezione dei dati;

- non erano indicate le basi giuridiche del trattamento;

- per quanto concerne le finalità del trattamento, era indicato che “la registrazione è effettuata […] per la rilevazione di infrazioni al Codice della Strada e per sanzionare l’abbandono incontrollato di rifiuti”. A tal riguardo, si ricorda che la finalità di trattamento connessa al controllo degli illeciti amministrativi in materia ambientale non può essere perseguita con le medesime telecamere di videosorveglianza che riprendono ad ampio raggio la pubblica via per finalità di sicurezza urbana, potendo, invece, gli Enti locali utilizzare dispositivi foto/video (c.d. fototrappole) collocati in specifiche e circoscritte aree su cui insiste un effettivo rischio di illecito abbandono di rifiuti o scorretto conferimento di rifiuti, solo se non risulta possibile, o si riveli non efficace, il ricorso a strumenti e sistemi di controllo alternativi e comunque nel rispetto del principio di minimizzazione dei dati, che impone di configurare tali dispositivi con un angolo di visuale circoscritto alle aree interessate dai predetti fenomeni (cfr. FAQ del Garante in materia di videosorveglianza, cit., n. 13); pertanto, l’informativa dovrebbe eventualmente specificare che tale finalità di trattamento si riferisce esclusivamente alle c.d. foto trappole, ove effettivamente impiegate dal Comune;

- non era indicato il periodo di conservazione delle immagini;

- non erano menzionati compiutamente i diritti degli interessati di cui agli artt. 15 e seg. del Regolamento e le modalità di esercizio degli stessi;

- non erano specificate le modalità attraverso le quali gli interessati possono accedere ad un’informativa completa di “secondo livello” nella quale poter reperire gli ulteriori e completi elementi informativi.

Si osserva infine che, per quanto concerne l’informativa di “secondo livello” in relazione al trattamento effettuato mediante il predetto sistema di videosorveglianza, la stessa, da quanto accertato da questa Autorità in data XX, non risultava reperibile sul sito web istituzionale del Comune.

Per quanto concerne gli aggiornamenti effettuati dal Comune in corso d’istruttoria deve evidenziarsi che dagli accertamenti effettuati dall’Ufficio, in data XX, risulta che, per quanto concerne l’informativa di secondo livello relativa all’impiego del sistema di videosorveglianza in esame, la stessa non risulta essere facilmente raggiungibile da parte degli interessati, essendo inserita nella sezione “Videosorveglianza – Informazioni di Livello 2“ (URL https://www.comune.mazaradelvallo.tp.it/it/page/160287) del sito web istituzionale del Comune (https://www.comune.mazaradelvallo.tp.it/it). All’interno di tale sezione, sono presenti due documenti “pannello-videosorveglianza” ed “Elenco telecamere Pon”, entrambi datati come ultimo aggiornamento XX. Nello specifico, il primo documento (URL https://mazara-del-vallo-api.municipiumapp.it/s3/20120/allegati/sito-web/videosorveglianza/pannello-videsorveglianza.pdf) consiste in una cartellonistica – apparentemente di primo livello – in cui è previsto, in particolare, il rinvio ad un’informativa completa consultabile al link “https://www.comune.mazaradelvallo.tp.it/it/privacy”, accessibile, altresì, mediante inquadramento con QR Code. Tuttavia, l’informativa a cui si accede secondo le predette modalità, risulta essere l’informativa generale, sul trattamento dei dati personali “degli utenti che consultano il sito web www.comune.mazaradelvallo.tp.it”. Né l’informativa di secondo livello in merito al sistema di videosorveglianza si evince nel documento “Elenco telecamere Pon” (URL https://mazara-del-vallo-api.municipiumapp.it/s3/20120/allegati/sito-web/videosorveglianza/elenco-telecamere-pon.pdf), in cui viene unicamente indicata la dislocazione delle videocamere nel territorio.

Con riferimento, invece, all’informativa di primo livello aggiornata, si evidenzia che il Comune ha provveduto a trasmettere unicamente la bozza di determina dirigenziale per l’aggiornamento della cartellonistica informativa, senza trasmettere, altresì, copia della predetta cartellonistica aggiornata. Al riguardo, se anche si volesse considerare come cartellonistica aggiornata quella indicata nella “Comunicazione interna ai fini dell’adeguamento dell’informativa di secondo livello” allegata alla memoria difensiva del XX, si ribadisce, in particolare, che la stessa rinvia, mediante sistema QR Code, all’informativa presente sul sito web istituzionale del Comune concernente il trattamento dei dati personali effettuato in relazione alla navigazione sul predetto sito e che non risultano, in particolare, adeguatamente indicate le basi giuridiche del trattamento in merito all’accertamento delle violazioni al C.d.S., atteso che risultano, in particolare, indicati gli artt. “6, par. 1, lett. e) […del Regolamento]” e “2 ter del Codice Privacy”.

Per le ragioni sopraesposte, risulta accertato che il Comune ha omesso di fornire agli interessati un’idonea informativa di primo livello, ha omesso di fornire agli stessi un’informativa di secondo livello fino al 30 gennaio 2026 nonché, dopo tale data, ha fornito agli stessi un’inidonea informativa di secondo livello, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento.

3.3. La valutazione d’impatto

In caso di rischi elevati per gli interessati - derivanti, ad esempio, dall’utilizzo di nuove tecnologie e sempre presenti laddove sia effettuata una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (v. art. 35, par. 3, lett. c), del Regolamento) - il titolare del trattamento deve effettuare una valutazione d’impatto sulla protezione dei dati, al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento).

Sul punto il Comune ha dichiarato che, all’atto dell’installazione dei dispositivi video in esame, non ha svolto una valutazione di impatto in quanto ha ritenuto erroneamente che non fosse necessaria, in quanto “ci si riporta a quanto indicato nel Provvedimento del Garante dell’8 aprile 2010 per i soggetti pubblici che possono utilizzare il modello semplificativo di informativa minima […] ed alla Circolare del Ministero dell’Interno n. 558/SICPART/421.2/70/224632 del 2 marzo 2012 […] laddove si precisa che per i sistemi di videosorveglianza ogni qualvolta si profilino aspetti di tutela dell’Ordine Pubblico e di Sicurezza Pubblica oltre a quelli di sicurezza urbana, come per il sistema di Mazara del Vallo, si vengono a determinare le condizioni di applicazione dell’art. 53 del Codice […] con relativo affievolimento di alcuni principi di garanzia quali, in particolare, quello dell’informativa di cui all’art. 13 del cennato decreto” e che “l’Ufficio che ha predisposto il progetto esecutivo, non ha redatto la valutazione d’impatto sulla protezione dei dati personali perché l’intero progetto è stato validato dal Comitato per l’Ordine e la Sicurezza Pubblica, che rappresenta una stabile modalità di valutazione degli apparati di videosorveglianza in ambito comunale […]”.

Al riguardo si osserva, in primo luogo, che il Comune era certamente soggetto all’obbligo di redigere una valutazione d’impatto sulla protezione dei dati, considerato che, ai sensi del citato art. 35, par. 3, lett. c), del Regolamento, la stessa è sempre richiesta in caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”, che consente la raccolta di numerosissimi dati anche inerenti all’ubicazione e alla circolazione degli interessati, circostanza che ricorre nel caso di specie. La predetta valutazione d’impatto, il cui adempimento è previsto dal citato art. 35 del Regolamento, si distingue, inoltre, dagli obblighi informativi (previsti, in particolare, dagli artt. 12, 13 e 14 del Regolamento, in ossequio al più generale principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento). Si evidenzia, infatti, che l’art. 35 del Regolamento obbliga i titolari a svolgere la valutazione di impatto prima di dare inizio al trattamento, anche considerando che tale strumento è idoneo a comprovare la responsabilizzazione (accountability) del titolare nei confronti del trattamento effettuato (cfr., tra i tanti, provv. ti n. 752 del 18 dicembre 2025, doc. web n. 10213486 n. 766 del 12 dicembre 2024, doc. web n. 10102334, e n. 162 del 28 aprile 2022, doc. web. n. 9777974).

Alla luce delle considerazioni che precedono, non avendo redatto una valutazione d’impatto sulla protezione dei dati in relazione al sistema di videosorveglianza utilizzato, deve concludersi che il Comune ha agito in violazione dell’art. 35 del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a), 6 parr. 1-3, 12, par. 1, 13 e 35 del Regolamento, nonché art. 2-ter, comma 1, del Codice.

La violazione delle predette disposizioni rende applicabili le sanzioni amministrative previste dall’art. 83, parr. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento)

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Si prende atto di quanto emerso in fase di istruttoria e si tiene conto di quanto dichiarato dal Comune circa l’aver “recepito l’invito all’adeguamento della cartellonistica di preavviso di “area videosorvegliata” e proceduto all’acquisto di n. 50 cartelli di “area videosorvegliata” e disposto la progressiva installazione sul territorio comunale” senza aver provveduto, tuttavia, a dare evidenza di tale aggiornamento. Come evidenziato nel par. 3.2, inoltre, l'informativa di secondo livello non risulta essere facilmente reperibile dagli interessati.

Pertanto, si rende altresì necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere al Comune di adottare misure idonee a provvedere a:

1) fornire agli interessati un’idonea informativa di primo livello, anche completando l’installazione della cartellonistica aggiornata in prossimità dei dispositivi di ripresa video installati nel territorio comunale e a rendere l’informativa di secondo livello facilmente reperibile e accessibile da parte degli interessati sul proprio sito web istituzionale, provvedendo a pubblicare un’idonea informativa di secondo livello in merito al trattamento dei dati personali mediante il sistema di videosorveglianza ai fini dell’accertamento delle violazioni al Nuovo Codice della Strada;

2) svolgere o adeguare, se già in fase di redazione, la valutazione di impatto sulla protezione dei dati personali.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte del Comune ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati, in quanto inerenti al medesimo sistema di videosorveglianza), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 6, 12 e 13 del Regolamento nonché 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che il Comune non ha provveduto a fornire un’informativa adeguata agli interessati in merito ai trattamenti di dati personali effettuati mediante il sistema di rilevazione implementato, non ha effettuato una valutazione d’impatto in relazione al predetto sistema e ha utilizzato, per quanto concerne l’accertamento nei confronti del reclamante, il sistema video in questione ai fini della contestazione di una violazione al C.d.S. in modalità differita, in assenza dei necessari presupposti previsti dalla legge.

Deve, inoltre, considerarsi:

- il carattere colposo della violazione (art. 83, par. 2, lett. b) del Regolamento);

- che i trattamenti in questione non sono relativi a categorie particolari di dati (art. 83, par. 2, lett. g).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole, che il titolare del trattamento è un Comune di modeste dimensioni e che:

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

- il grado di cooperazione manifestato dal titolare con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, tenendo conto che lo stesso ha dichiarato di aver provveduto, a seguito dell’avvio dell’istruttoria, ad aggiornare la cartellonistica contenente l’informativa di primo livello, a pubblicare un’informativa di secondo livello e a sospendere “le modalità di accertamento diretto da remoto delle violazioni al Codice della Strada, a favore dell’accertamento su strada della circolazione del veicolo da parte della pattuglia, avvalendosi del supporto dell’alert delle telecamere” (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila/00) per la violazione degli artt. 5, par. 1, lett. a), 6 parr. 1-3, 12, par. 1, 13 e 35 del Regolamento, nonché art. 2-ter, comma 1, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti il mancato rispetto da parte del Comune del principio di liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento, non avendo provveduto a fornire un’informativa adeguata agli interessati e ad effettuare il trattamento nel rispetto di un’idonea base giuridica, e il mancato svolgimento della valutazione d’impatto in relazione al trattamento in esame.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Mazara del Vallo nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 6 parr. 1-3, 12, par. 1, 13 e 35 del Regolamento, nonché art. 2-ter, comma 1, del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Mazara del Vallo, con sede legale in Via Carmine, n. 1, 91026 Mazara del Vallo (TP), C.F. 82001410818, di pagare la somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Mazara del Vallo:

- di pagare la somma di euro 4.000,00 (quattromila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare le misure idonee a (i) fornire agli interessati un’idonea informativa di primo livello, anche completando l’installazione della cartellonistica aggiornata in prossimità dei dispositivi di ripresa video installati nel territorio comunale e a rendere l’informativa di secondo livello facilmente reperibile e accessibile da parte degli interessati sul proprio sito web istituzionale, provvedendo altresì a pubblicare un’idonea informativa di secondo livello in merito al trattamento dei dati personali mediante il sistema di videosorveglianza ai fini dell’accertamento delle violazioni al Nuovo Codice della Strada, nonché (ii) svolgere o adeguare, se già in fase di redazione, la valutazione di impatto sulla protezione dei dati personali;

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10227910

Data
12/02/26

Argomenti

Videosorveglianza Informativa Enti locali Comuni DPIA

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (1)

NEWSLETTER 9 marzo 2026 - Cimiteri digitali, il Garante privacy sanziona Aldilapp - Stop alle telecamere non a norma privacy - Piattaforma di gestione delle deleghe, via libera del Garante - Garanti mondiali: preoccupazione per contenuti intimi generati con l'AI

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 12 febbraio 2026 [10227910]

g-docweb-display Portlet