Regolare gli ingressi delle persone in laguna è possibile ma senza una raccolta massiva ed indiscriminata dei loro dati.
Lo ha chiarito il Garante per la protezione dei dati personali con il corposo provvedimento n. 468 del 4 agosto 2025. Il caso di Venezia rappresenta uno snodo emblematico nella difficile convivenza tra esigenze di governo del territorio e rispetto della disciplina in materia di protezione dei dati personali . Il Comune ha tentato di introdurre un contributo di accesso specificamente previsto dalla normativa con l’obiettivo dichiarato di regolare i flussi turistici e alleggerire la pressione quotidiana sulla città antica e sulle isole minori . Tuttavia, l’impianto organizzativo si è tradotto in un sistema che richiedeva la registrazione di un numero elevato di soggetti . Compresi coloro che per legge o per regolamento erano esentati o esclusi dal pagamento. Il meccanismo di registrazione ha così prodotto una raccolta preventiva e massiva di dati anagrafici e personali la cui effettiva utilità si sarebbe concretizzata solo in caso di controllo contestuale e successivo. La stessa valutazione d’impatto presentata dall’amministrazione confermava una struttura fondata su controlli multilivello e su tempi di conservazione molto ampi giustificati dall’esigenza di eventuali accertamenti tributari. Ma proprio questa impostazione ha sollevato le maggiori critiche del Garante che ha ritenuto sproporzionata la misura rispetto alla finalità perseguita e in contrasto con i principi di necessità e minimizzazione. La raccolta sistematica delle informazioni sugli esenti e sugli esclusi non poteva essere giustificata con la sola volontà di agevolare i controlli o di programmare i flussi poiché tali obiettivi potevano essere raggiunti con metodi meno invasivi basati su dati aggregati o previsioni statistiche. A ciò si è aggiunto il problema dei totem predisposti sul territorio che, sebbene configurati per non conservare dati in modo permanente, consentivano modifiche delle impostazioni del browser e potevano mantenere file temporanei contenenti le iniziali e la data di validità del titolo. Un difetto tecnico che, a parere del collegio, dimostra la mancanza di un’applicazione rigorosa del principio di protezione by design e by default . L’Autorità ha ricordato che i sistemi accessibili al pubblico devono essere concepiti in modalità immodificabile con cancellazione dei dati a fine sessione e non soltanto al termine della giornata. La decisione del Garante si colloca in una linea interpretativa coerente con il GDPR e con l’articolo 5 che impone liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione e sicurezza dei dati personali. Il messaggio agli enti locali è inequivoco. Il controllo dei flussi delle persone in determinate circostanze è legittimo ma deve fondarsi su strumenti proporzionati che non comportino la creazione di registri nominativi massivi dei movimenti . L’unica base solida resta il controllo contestuale e successivo mentre ogni raccolta preventiva deve essere ridotta al minimo necessario. La vicenda veneziana insegna che il confine tra il mero controllo e la sorveglianza di massa è molto sottile e che solo una progettazione rispettosa dei principi europei può consentire di contemperare le contrapposte esigenze in gioco.
Provvedimento del 4 agosto 2025, n. 468