Senza un Patto dettagliato con la Prefettura e almeno una valutazione di impatto privacy aggiornata, il Comune non può attivare nessuna telecamera di videosorveglianza urbana.
E, in caso di controllo, meglio aver formalizzato anche tutte le nomine e le informative per evitare sanzioni. Ma sulla questione dei Patti per la sicurezza Sindaco-Prefetto la confusione regna sovrana.
Inoltre, la severità del Garante privacy nel sanzionare i comuni risulta incomprensibile a causa dell’annosa mancanza di indicazioni centrali univoche. Lo ha evidenziato l’ennesimo provvedimento sanzionatorio adottato dal Garante il 13 novembre 2025, n. 669 a carico del Comune di Orte.
Indice degli argomenti
Videosorveglianza comunale: il patto con la Prefettura e la liceità del trattamento
L’istruttoria dell’Autorità si è concentrata innanzitutto sull’istituto del patto per la sicurezza, attribuendogli un ruolo che sembra andare ben oltre il dettato normativo.
Il passaggio, nel quale il Garante afferma che la disciplina di settore consente ai Comuni l’impiego di telecamere che riprendono ad ampio raggio e su base continuativa la pubblica via “ai soli fini di prevenzione e contrasto dei fenomeni di criminalità diffusa e predatoria, previa stipula di un patto per l’attuazione della sicurezza urbana con la Prefettura territorialmente competente”, trasforma di fatto il patto in una condizione di liceità del trattamento.
Una lettura molto discutibile
Gli artt. 4 e 5 del dl 14/2017 inquadrano i patti come strumenti di raccordo tra sindaco e prefetto per la sicurezza integrata e urbana, non come fonte della base giuridica del trattamento ai sensi dell’art. 6, par. 1, lett. e), GDPR (il regolamento europeo sulla protezione dei dati personali) e dell’art. 2-ter del Codice privacy.
La base giuridica risiede nelle norme primarie come il dl 11/2009 che attribuiscono funzioni di sicurezza urbana al Comune, mentre il patto serve a coordinare politiche e priorità territoriali, non a “creare” il diritto di videosorvegliare.
Il caso di Orte: il provvedimento del Garante Privacy
Nel caso di Orte, il Garante rileva che il patto del 2021 fa riferimento a macro-aree molto ampie, non indica il numero delle 43 telecamere né i siti puntuali di installazione, né emergono da altra documentazione valutazioni congiunte con le autorità di pubblica sicurezza su necessità e proporzionalità per i singoli siti.
Da qui sorge la conclusione per cui non sarebbe comprovato che tutti i trattamenti possano essere riconducibili alla disciplina sulla sicurezza urbana.
È un rilievo legittimo sul piano della buona amministrazione e della proporzionalità. Tuttavia, elevare questa lacuna di dettaglio pianificatorio a vulnus di liceità complessiva del trattamento significa piegare l’istituto del patto a un ruolo certificatorio che il legislatore non gli ha mai attribuito.
Il messaggio finale ai Comuni è paradossale. Non basta una base giuridica chiara e un regolamento ben fatto, occorre anche un patto perfetto, con piano di dettaglio annesso, altrimenti si corre il rischio di vedere rimessa in discussione l’intera architettura di videosorveglianza.
Le criticità
Il problema è che la formalizzazione di questi patti per la sicurezza con le Prefetture sia molto complessa, tardiva e poco uniforme sull’intero territorio nazionale.
Molto più centrati appaiono, invece, i rilievi sulla trasparenza. Il Comune si limita a sette cartelli generici agli ingressi e a una trentina di informative di primo livello che parlano di “tutela del patrimonio” e “sicurezza” in modo indifferenziato, senza indicare la reale finalità di sicurezza urbana né la specifica base giuridica, e rinviano per l’informativa estesa a una pagina del sito del Garante, tramite QR code.
È un esempio scolastico di come non applicare il modello di informativa
multilivello delineato dalle Linee guida 3/2019 e già anticipato dal provvedimento del 2010: informative tardive, incomplete sui diritti, canali di contatto ridotti alla sola PEC e, soprattutto, sostanzialmente si scarica sul sito dell’Autorità l’onere informativo che dovrebbe invece gravare sull’ente titolare.
Qui la censura è difficilmente contestabile, anche se il quadro è ulteriormente
complicato dall’entrata in vigore del Dl 116/2025, che consente alle telecamere stradali e ambientali di operare stabilmente con finalità ibride di sicurezza urbana, stradale e ambientale.
In questo contesto, pretendere una frammentazione eccessiva delle diciture informative rischia di essere poco realistico.
Ciò che serve è un unico impianto informativo chiaro e coerente, che espliciti le finalità ibride e le basi giuridiche settoriali, non una moltiplicazione di cartelli a silos che rende solo più difficile la vita ai Comuni già in affanno.
La valutazione di impatto
Molto severo e a ragione è invece il passaggio sulla valutazione di impatto. Nel caso in esame il Comune ammette di non aver svolto alcuna DPIA prima dell’avvio del trattamento, pur trattandosi di videosorveglianza sistematica su larga scala di aree accessibili al pubblico, cioè di un’ipotesi espressamente ricompresa nell’art. 35, par. 3, lett. c), GDPR.
La prima DPIA viene prodotta solo a istruttoria già avviata, con un riferimento temporale coincidente con la cessazione del trattamento, e successivamente sostituita da una versione datata maggio 2025.
Qui non c’è margine di difesa. L’ente non solo non ha valutato ex ante i rischi, ma ha percepito la DPIA come mero adempimento da recuperare quando il Garante bussa alla porta.
È una distorsione grave dell’accountability, che in un contesto di 43 telecamere diffuse sul territorio comunale non può essere minimizzata.
I rapporti con l’Autorità
Altrettanto difficilmente difendibile è la gestione dei rapporti con l’Autorità. Il provvedimento ricostruisce un percorso fatto di riscontri parziali, richieste
di proroga presentate all’ultimo minuto e risposte complete solo dopo un secondo sollecito, con inevitabile violazione dell’art. 157 del Codice.
La sanzione
In un momento storico in cui i Comuni sono chiamati a dimostrare maturità nella gestione dei dati e nella dialogica con i regolatori (Garante, ma ormai anche ACN), la scarsa reattività istituzionale diventa di per sé un fattore di rischio sanzionatorio.
Il risultato è una sanzione complessiva di 6.000 euro, accompagnata dalla
pubblicazione integrale sul sito del Garante, nonostante il sistema non risulti più attivo. Una misura che il Collegio ritiene effettiva, proporzionata e dissuasiva, ma che finisce per far passare un messaggio ambiguo.
Da un lato si colpisce giustamente l’assenza di DPIA, l’inadeguatezza delle
informative e la scarsa collaborazione. Dall’altro, si continua a insistere su una concezione del patto per la sicurezza come condizione abilitante del trattamento che non trova riscontro espresso nel quadro normativo.
Se l’obiettivo è aiutare gli enti locali a costruire sistemi di videosorveglianza
robusti, proporzionati e trasparenti, forse sarebbe il caso di separare con più nettezza ciò che attiene alla qualità dell’accountability concreta dei Comuni dalle letture eccessivamente formalistiche di strumenti come i patti che nascono per coordinare le politiche di sicurezza, non per diventare l’ennesimo totem burocratico a tratti invalicabile.
