La polizia locale non può usare le telecamere specializzate nella lettura delle targhe neppure per contrastare la circolazione senza copertura assicurativa se non ha preventivamente sottoscritto un patto per la sicurezza urbana e regolato adeguatamente la protezione dei dati degli impianti di videosorveglianza urbana.
Lo ha evidenziato il Garante per la protezione dei dati personali con il severo provvedimento n. 752 del 18 dicembre 2025. L'impiego, da parte dei Comuni, di sistemi di let tura automatizzata delle targhe (LPR) per il controllo dei veicoli sospetti , della copertura assicurativa e della revisione dei mezzi costituisce una prassi ormai diffusa, fondata su un articolato insieme di disposizioni di settore e su indirizzi amministrativi consolidati. Negli ultimi anni, tuttavia, tale prassi è oggetto di un progressivo e penetrante scrutinio da parte dell'Autorità garante per la protezione dei dati personali, che ha posto l'accento non tanto sulla legittimità astratta di tali strumenti, quanto sulle condizioni giuridiche, organizzative e procedurali del loro concreto utilizzo. In questo contesto si colloca il provvedimento n. 752 del 18 dicembre 2025, con cui il Garante ha accertato l'illiceità di diversi trattamenti effettuati da un Comune mediante dispositivi di videosorveglianza dotati di funzionalità di lettura targhe, utilizzati per finalità di controllo urbano . Il provvedimento offre lo spunto per una riflessione sistematica sui presupposti di liceità dei trattamenti effettuati dagli enti locali attraverso tali tecnologie e, più in generale, sul rapporto tra funzioni comunali in materia di sicurezza e disciplina in materia di protezione dei dati personali. Il fatto e il reclamo dell'interessato Il procedimento trae origine dal reclamo presentato da un cittadino sanzionato dalla polizia locale per la mancanza di copertura assicurativa del proprio veicolo , accertata mediante un sistema di lettura automatizzata delle targhe installato su una direttrice di uscita dal centro abitato. Il reclamante ha rappresentato che il Comune aveva attivato un portale LPR in grado di rilevare automaticamente tutte le targhe dei veicoli in transito, memorizzando numero di targa, data, ora e varco di passaggio, con conservazione dei dati per sette giorni. L'interessato ha inoltre dedotto di avere esercitato il diritto alla cancellazione dei propri dati personali ai sensi dell'articolo 17 del Regolamento (UE) 2016/679, senza ricevere alcun riscontro da parte dell'ente. Tale ultimo profilo, pur non costituendo l'unico oggetto dell'istruttoria, assume particolare rilievo sistemico, poiché evidenzia come le criticità connesse ai sistemi di videosorveglianza non riguardino soltanto la fase di progettazione del trattamento, ma anche la gestione ordinaria delle relazioni con gli interessati e l'organizzazione interna delle procedure di risposta all'esercizio dei diritti privacy . Le difese del Comune e la ricostruzione dell'Autorità In sede istruttoria, il Comune ha sostenuto che il sistema era utilizzato principalmente come strumento di ausilio alla contestazione immediata delle violazioni degli articolo 193 e 80 del Codice della strada , con pattuglie posizionate a breve distanza dal varco e collegate in tempo reale al software di rilevazione. Solo in caso di oggettiva impossibilità di fermare il veicolo sarebbe stata effettuata la contestazione differita. L'ente ha inoltre precisato che i transiti dei veicoli segnalati restavano in memoria per sette giorni, indipendentemente dal loro monitoraggio, e che il sistema era stato predisposto anche per il censimento delle classi ambientali dei veicoli, quale requisito per l'accesso a specifici finanziamenti regionali. Dall'istruttoria è tuttavia emerso che il Comune aveva installato numerose telecamere , di cui tre dotate di funzionalità LPR, operative in modo continuativo e collegate alle banche dati della Motorizzazione civile, non solo per la verifica in tempo reale della copertura assicurativa e della revisione, ma anche per la classificazione ambientale dei veicoli in transito e per la trasmissione periodica di dati, in forma anonima, alla Regione. Il Comune aveva inoltre dichiarato di perseguire, mediante tali sistemi, finalità di sicurezza urbana , pur in assenza della stipula di un patto per l'attuazione della sicurezza urbana con la Prefettura territorialmente competente. LPR e accertamento delle violazioni al Codice della strada Il primo profilo di illegittimità individuato dal Garante riguarda le modalità di utilizzo dei dispositivi LPR per l'accertamento delle violazioni degli articolo 80 e 193 del Codice della strada . Richiamando i principi di liceità, correttezza e trasparenza, nonché quelli di minimizzazione dei dati e limitazione della conservazione, l'Autorità ribadisce che tali apparati , quando utilizzati per il rilevamento da remoto delle predette violazioni, devono essere gestiti direttamente dagli organi di polizia stradale e fungere da mero supporto documentale alla contestazione , che deve avvenire, di regola, in forma immediata. La memorizzazione dei dati personali dovrebbe pertanto essere limitata ai soli casi di effettiva infrazione, mentre il funzionamento continuativo degli apparati, con raccolta generalizzata dei dati relativi a tutti i veicoli in transito e conservazione per più giorni, eccede tale finalità e si pone in contrasto con i principi fondamentali del Regolamento. Nel caso di specie, i dispositivi erano in funzione su base continuativa e raccoglievano indiscriminatamente i dati di tutti i veicoli , indipendentemente dall'accertamento di una violazione, con un evidente scostamento rispetto al modello di utilizzo “puntuale” delineato dalla normativa di settore e dalla prassi ministeriale. Sicurezza urbana e patti con la Prefettura Particolarmente significativa è la parte del provvedimento dedicata alla finalità di sicurezza urbana dichiarata dal Comune. Secondo l'Autorità, la disciplina vigente consente ai Comuni l' installazione di sistemi di videosorveglianza per finalità di prevenzione e contrasto della criminalità diffusa e predatoria esclusivamente previa stipula di un patto per l'attuazione della sicurezza urbana con la Prefettura territorialmente competente, ai sensi dell' articolo 5 del d.l. 20 febbraio 2017, n. 14 . Non viene accolta la tesi difensiva secondo cui tali patti avrebbero carattere meramente facoltativo e non potrebbero incidere sui poteri del Sindaco quale autorità locale di pubblica sicurezza. Al contrario, il Garante valorizza l'evoluzione normativa e giurisprudenziale che ha progressivamente ricondotto il concetto di sicurezza urbana nell'alveo della sicurezza pubblica , rafforzando il ruolo del Comitato provinciale per l'ordine e la sicurezza pubblica e della Prefettura nella valutazione dei progetti comunali di videosorveglianza. Ne deriva una lettura rigorosa, secondo cui, in mancanza del patto, i trattamenti di dati personali effettuati mediante videosorveglianza non possono essere ricondotti alla disciplina speciale in materia di sicurezza urbana. Tale impostazione, per quanto affascinante, solleva interrogativi urgenti sul piano sistemico, poiché rischia di accentuare ulteriormente la dipendenza funzionale dei Comuni dalle strutture statali anche per interventi tecnologici destinati a incidere su ambiti – quali il decoro urbano, la sicurezza stradale e la tutela ambientale – tradizionalmente riconducibili alle competenze proprie degli enti locali. La frammentazione delle finalità e l'assenza di basi giuridiche specifiche Ulteriore elemento centrale del provvedimento è rappresentato dalla difficoltà, riscontrata dall'Autorità, di individuare con chiarezza le finalità dei trattamenti effettuati dal Comune. Nel corso del procedimento l'ente ha infatti fatto riferimento, in modo cumulativo, a una pluralità di obiettivi : sicurezza urbana e pubblica sicurezza, attività di polizia giudiziaria, vigilanza sull'osservanza di ordinanze e regolamenti comunali, protezione civile, gestione della circolazione stradale, tutela del patrimonio pubblico e privato, monitoraggio ambientale e contrasto all'abbandono dei rifiuti, accertamento delle violazioni amministrative, elaborazione di dati statistici. Secondo il Garante, tale eterogeneità impedisce di ricondurre i singoli trattamenti a basi giuridiche specifiche, idonee per rango e qualità, come richiesto dagli articolo 5 e 6 del Regolamento e dall'articolo 2- ter del Codice in materia di protezione dei dati personali. Ne deriva una violazione strutturale del principio di liceità e trasparenza del trattamento . Il caso conferma, ancora una volta, la necessità per gli enti locali di procedere a una rigorosa scomposizione delle finalità perseguite mediante i sistemi di videosorveglianza , distinguendo, in particolare dopo l'entrata in vigore del dl 116/2025 , tra sicurezza urbana, sicurezza stradale e sicurezza ambientale, ed evitando di ricondurre funzioni profondamente diverse a un'unica e generica base giuridica. Informative agli interessati e diritto alla cancellazione Sul piano della trasparenza, il Garante ha rilevato ulteriori profili di criticità . Le informative rese agli interessati non menzionavano, ad esempio, i trattamenti effettuati per la rilevazione delle classi ambientali dei veicoli né la comunicazione periodica dei dati alla Regione. Ancora più significativo, sotto il profilo organizzativo, è il mancato riscontro fornito dal Comune alla richiesta di cancellazione formulata dall'interessato ai sensi dell'articolo 17 del Regolamento. La mancata risposta non costituisce un mero vizio procedurale, ma segnala una carenza strutturale nei processi interni di gestione dei diritti degli interessati . In presenza di trattamenti sistematici e tecnologicamente complessi, l'ente titolare è infatti tenuto a predisporre procedure chiare e tempestive per la ricezione, la valutazione e l'evasione delle istanze esercitate ai sensi degli articolo 15 e ss. del Regolamento. L'inerzia dell'amministrazione, oltre a integrare una autonoma violazione della disciplina in materia di protezione dei dati personali, contribuisce ad aggravare il giudizio complessivo di non conformità del sistema di governance del trattamento. La valutazione di impatto sulla protezione dei dati Il Comune ha dichiarato di non avere ritenuto necessaria la redazione di una valutazione di impatto sulla protezione dei dati (DPIA), in considerazione del carattere “consolidato” della tecnologia utilizzata e della presunta limitatezza dei rischi per gli interessati. Il Garante ha invece ricordato che, ai sensi dell'articolo 35, par. 3, lett. c), del Regolamento, la DPIA è sempre obbligatoria in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico, circostanza che ricorre tipicamente nei sistemi LPR installati su arterie stradali comunali. La successiva dichiarazione dell'ente di avere avviato la redazione della DPIA, seppur prima della conclusione del procedimento ma dopo l'avvio dei trattamenti, non è stata ritenuta idonea a sanare la violazione , dovendo tale valutazione precedere l'attivazione del sistema. Ne emerge una concezione della DPIA quale strumento di progettazione giuridica preventiva , destinato a orientare le scelte tecniche e organizzative dell'ente, e non quale mero adempimento formale da espletare a posteriori. Le misure correttive e la pubblicazione del provvedimento Alla luce delle violazioni accertate, il Garante ha ingiunto al Comune di limitare i trattamenti alle sole finalità legittime, di individuare puntualmente le basi giuridiche di riferimento, di svolgere o completare la valutazione di impatto e di rivedere le informative di primo e secondo livello. È stata inoltre disposta la pubblicazione integrale del provvedimento sul sito dell'Autorità e la sua annotazione nel registro interno delle violazioni, con evidenti ricadute anche sul piano reputazionale per l'ente coinvolto. Considerazioni conclusive Il provvedimento in esame si inserisce in un orientamento ormai consolidato dell'Autorità garante e contribuisce a delineare un quadro sempre più esigente per i Comuni che intendano avvalersi di sistemi avanzati di videosorveglianza e lettura targhe. Da un lato, emerge la difficoltà degli enti locali nel coniugare l'esigenza di utilizzare strumenti tecnologici efficaci per il controllo del territorio con l'obbligo di costruire una governance del trattamento dei dati pienamente conforme ai principi del Regolamento europeo. Dall'altro, la progressiva potenziale attrazione della sicurezza urbana nell'orbita della sicurezza pubblica statale , attraverso il meccanismo dei patti con le Prefetture, rischia di rendere più complesso l'esercizio delle competenze comunali in settori come la sicurezza stradale e ambientale che il legislatore continua a riconoscere come propri degli enti locali. In questo scenario, la protezione dei dati personali non può essere considerata un vincolo meramente formale, ma si configura come una componente strutturale dei progetti di videosorveglianza pubblica , destinata a incidere sulla loro stessa legittimità e sostenibilità nel tempo. L'esperienza dimostra, infine, che la conformità normativa non si esaurisce nella corretta installazione degli apparati, ma richiede una costante attenzione alla definizione delle finalità, alla gestione dei diritti degli interessati e alla capacità dell'amministrazione di rispondere in modo tempestivo e documentato alle istanze provenienti dai cittadini, pena la trasformazione di strumenti nati per rafforzare la sicurezza in fattori di contenzioso e di esposizione istituzionale. Un'ultima considerazione riguarda i copiosi continui finanziamenti regionali, ministeriali ed europei in materia di sistemi di videosorveglianza urbana sempre più moderni e proattivi. Senza univoche indicazioni centrali sulla corretta data governance in materia di videosorveglianza urbana integrata il rischio di investimenti sbagliati è ampiamente dimostrato dalle continue ripetute sanzioni elevate in questi anni in particolare agli enti locali.
Provvedimento del 18 dicembre 2025, n. 752