Il Garante per la protezione dei dati personali, con provvedimento n. 766 del 12 dicembre 2024 (qui il testo integrale del provvedimento: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10102334), ha chiarito che, prima di attivare un controllore automatico delle infrazioni semaforiche, il Comune deve porre in essere tutti i relativi adempimenti privacy, tra i quali il posizionamento dei cartelli (informativa minima), il rinvio all’informativa (estesa) sulla videosorveglianza, l’effettuazione della valutazione preventiva d’impatto (c.d. DPIA).
Si tratta di un provvedimento innovativo che apre nuovi scenari in materia di regolamentazione degli impianti di videosorveglianza.
Nel caso esaminato il Comune aveva installato alcuni controllori automatici del rosso semaforico – regolarmente approvati dal Ministero dei trasporti – senza posizionare le informazioni sulla protezione dei dati e senza effettuare alcuna valutazione d’impatto privacy.
Il Garante, pronunciatosi su reclamo presentato da alcuni trasgressori, ha irrogato un’importante sanzione a carico del Comune in questione, rilevando la carenza di alcuni necessari adempimenti privacy, tra i quali la valutazione preliminare d’impatto.
Con particolare riferimento alla contestazione della mancata effettuazione della DPIA, il Comune, a sostegno della legittimità del proprio operato, afferma che, a proprio parere, non fosse necessario redigere una preventiva valutazione d’impatto privacy, in quanto:
A. il sistema di videoripresa non svolge alcuna valutazione sistematica e globale di aspetti personali relativi a persone fisiche considerato che la registrazione (peraltro di immagini statiche) avviene soltanto se si presentano contemporaneamente la luce rossa semaforica e l’infrazione; le immagini poi non consentono di identificare le persone fisiche ivi presenti in quanto oscurate, ragion per cui non si è neppure difronte ad un’attività di profilazione.
B. il trattamento non riguarda alcuna delle tipologie di dati previste dagli artt. 9, par. 1 e 10 del GDPR (c.d. dati particolari e giudiziari).
C. il sistema non realizza la sorveglianza sistematica su larga scala di una zona accessibile al pubblico, in quanto entra in funzione solo per intervalli di tempo molto brevi, oltre al fatto che stante l’oscuramento dei soggetti si esclude che si tratti di videosorveglianza sistematica.
Di segno diametralmente opposto il parere dell’Autorità Garante.
Secondo il Garante, infatti, l’utilizzo degli impianti di videosorveglianza non può prescindere da una preventiva valutazione d’impatto sui diritti e le libertà fondamentali.
In caso di rischi elevati per gli interessati, argomenta il Garante, derivanti dall’utilizzo delle nuove tecnologie e sempre presenti laddove sia effettuata una sorveglianza sistematica su larga scala di una zona accessibile al pubblico, il Titolare del trattamento deve sempre effettuare una valutazione d’impatto privacy al fine di adottare le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante ove ne ricorrano i presupposti.
Il Comune, dunque, era inequivocabilmente soggetto all’obbligo di cui all’art. 35, par. 3, lett. c) del GDPR (di redazione della valutazione d’impatto), posto che l’articolo citato prevede espressamente che tale documento venga predisposto, tra le altre ipotesi, ogni qualvolta si tratti di “sorveglianza sistematica su larga scala di zona accessibile al pubblico“ (come appunto avviene nel caso della videosorveglianza urbana, che consente la raccolta di numerosissimi dati inerenti alla circolazione di veicoli e persone).
Si evidenzia, peraltro, che la normativa di cui sopra obbliga i Titolari del trattamento a svolgere la valutazione di impatto PRIMA di dare inizio a qualsiasi trattamento.
Alla luce delle suddette considerazioni, non avendo dato corso ad uno degli adempimenti privacy fondamentali per il corretto utilizzo delle videocamere (ossia la redazione della necessaria valutazione d’impatto in data anteriore alla messa in funzione degli strumenti di rilevazione) il Garante ha ritenuto di dover sanzionare il Comune per aver agito in violazione dell’art. 35 del GDPR.
