Quando la tecnologia arriva prima delle regole, la sanzione è solo una conseguenza logica.
Con il provvedimento n. 531 del 25 settembre 2025, il Garante per la protezione dei dati personali ha imposto il blocco immediato e una sanzione da 32.000 euro alla Provincia Autonoma di Bolzano. Ecco perché.
Indice degli argomenti
Il blocco
Il Garante Privacy ha deciso il blocco del progetto di videosorveglianza veicolare di Bolzano e imposto la sanzione, per l’uso illecito di un sistema di videosorveglianza veicolare costituito da 124 telecamere di lettura targhe installate sui passi dolomitici e gestite congiuntamente con la Provincia di Trento.
L’obiettivo dichiarato del progetto era il monitoraggio dei flussi di traffico a fini ambientali e statistici. Ma la sua architettura si è rivelata priva di qualunque impostazione basata sui principi di privacy by design e privacy by default.
Un caso emblematico di come, anche nella pubblica amministrazione, l’assenza di una progettazione integrata della tutela dei dati possa trasformare una soluzione tecnologica in un rischio sistemico di non conformità.
Un sistema senza basi normative solide
Il Garante ha rilevato che la normativa provinciale invocata non definiva in modo chiaro né le finalità del trattamento né i limiti di utilizzo dei dati raccolti.
Il sistema, di fatto, operava in modo continuativo e diffuso, raccogliendo e conservando per fino a due anni dati di targa pseudonimizzati, ma non realmente anonimizzati.
Un tempo di conservazione del tutto incompatibile con i principi di minimizzazione e limitazione della finalità previsti dall’art. 5 del GDPR.
Le informative agli utenti della strada erano incomplete e in parte fuorvianti: mancavano riferimenti ai tempi di conservazione, ai diritti degli interessati e alla reale natura del trattamento.
La Provincia aveva definito i dati “anonimi”, ma il Garante ha chiarito che si trattava di una pseudonimizzazione e non di una anonimizzazione, con la conseguenza che l’intero sistema rientrava pienamente nel campo di applicazione del GDPR.
DPIA e contitolarità dimenticate: il fallimento della governance preventiva
La mancanza più grave è stata l’assenza di una valutazione d’impatto sulla protezione dei dati (DPIA), obbligatoria per trattamenti automatizzati e su larga scala di dati veicolari.
Un’omissione che ha impedito all’ente di individuare e mitigare preventivamente i rischi, violando il principio di accountability.
Allo stesso modo, la contitolarità del trattamento con la Provincia di Trento – prevista di fatto ma mai formalizzata – ha evidenziato la mancanza di un modello di governance chiaro e documentato.
Il Garante ha così ritenuto che l’intero progetto fosse strutturalmente privo dei presupposti tecnici e giuridici per garantire la liceità del trattamento, disponendo la cancellazione di tutti i dati raccolti e il divieto di ulteriore utilizzo.
Privacy by design: la condizione minima per ogni sistema intelligente
Il caso di Bolzano mostra con chiarezza che la privacy by design non è un adempimento formale ma un approccio metodologico indispensabile.
Ogni progetto basato su tecnologie di sorveglianza, sensori o intelligenza artificiale deve integrare la protezione dei dati fin dalla fase di progettazione, prevedendo meccanismi di:
- analisi dei rischi e definizione della base giuridica prima dello sviluppo tecnico;
- minimizzazione architetturale dei dati trattati;
- pseudonimizzazione o cifratura strutturale dei tracciati;
- limitazione automatica dei tempi di conservazione;
- monitoraggio continuo della conformità, anche mediante audit periodici e aggiornamento della DPIA.
In questo caso, l’intera infrastruttura è stata costruita come un sistema tecnologico prima che giuridico, e il risultato è stato il fallimento dell’obiettivo istituzionale: i dati non sono più utilizzabili e il sistema è stato disattivato.
L’effetto domino su smart city e AI Act
Il provvedimento del Garante ha un impatto che va ben oltre i confini delle Dolomiti.
Molte amministrazioni stanno sviluppando sistemi di smart mobility, varchi elettronici e analisi dei flussi veicolari basati su dati di targa o sensori ambientali.
La decisione chiarisce che questi trattamenti, anche se finalizzati a politiche pubbliche virtuose, restano soggetti a tutte le garanzie del GDPR e – in prospettiva – al nuovo Regolamento europeo sull’intelligenza artificiale (AI Act).
Proprio l’AI Act, che entrerà in applicazione nei prossimi anni, rafforzerà il principio di human oversight e imporrà agli enti pubblici di documentare la governance algoritmica dei dati, in continuità con i principi di privacy by design e by default.
In altre parole, i futuri sistemi intelligenti dovranno essere etici e conformi per impostazione, non solo per correzione successiva.
La lezione di Bolzano
Il caso Bolzano è un monito per tutte le amministrazioni e per i responsabili IT che gestiscono infrastrutture con componenti di analisi automatizzata.
Nessun progetto di videosorveglianza o di lettura targhe può essere attivato senza un percorso preventivo di valutazione integrata dei rischi e senza una documentazione strutturata della compliance.
La privacy by design non è un vincolo, ma una condizione di sostenibilità tecnologica. Progettare un sistema senza tenerne conto significa costruire un apparato costoso, inefficace e destinato al blocco.
La sicurezza dei dati, in fondo, non si garantisce con le telecamere ma con la governance che le controlla.
La replica
In merito ai fatti analizzati nell’articolo pubblichiamo, ai sensi dell’art. 8 L. 47/1948 e più in generale in ottemperanza del formante giuridico, la replica inviata via e-mail alla Redazione dall’Avv. Enrico Pelino, incaricato dalla Provincia Autonoma di Bolzano, in co-difesa con la collega Luciana Grieco, dell’opposizione giudiziale al provvedimento a cui si fa riferimento nell’articolo:
“Si informa che l’ordinanza-ingiunzione n. 531 del 25.9.2025 del Garante per la protezione dei dati personali è stata opposta avanti al Tribunale di Bolzano in data 6.11.2025, dunque la correttezza giuridica del provvedimento è sub iudice. Appare pertanto prematuro trarne conclusioni in diritto di qualsiasi tipo. Ci sono anzi ottime ragioni per frenare ogni valutazione, dal momento che il Giudice ha al momento sospeso, inaudita altera parte, il provvedimento del Garante.
Ciò precisato, si ravvisano inesattezze nell’articolo oggetto della presente replica. Ad esempio, si legge: “La mancanza più grave è stata l’assenza di una valutazione d’impatto sulla protezione dei dati (DPIA)”. Non è così, atteso che sono state effettuate ben due valutazioni d’impatto di cui dà atto anche l’ordinanza-ingiunzione: “Deve comunque osservarsi che la documentazione prodotta in atti […] consiste in due documenti, entrambi denominati ‘Valutazione di impatto sulla protezione dei dati relativi al sistema di rilevazione dei flussi di traffico veicolare sui passi dolomitici’, ecc.”.
Altrettanto inesatta è l’asserzione, che pure si legge nell’articolo, secondo cui l’architettura del sistema bolzanino si sarebbe rivelata “priva di qualunque impostazione basata sui principi di privacy by design e privacy by default”. A una più attenta disamina, è il Garante stesso a riconoscere che la pseudonimizzazione è adottata dalla Provincia “in ossequio al principio di privacy by design e by default”.
Preme notare che la privacy by design è stata applicata nella specie in modo talmente radicale da permettere di conseguire gli obiettivi di monitoraggio del traffico senza utilizzare dati personali. Proprio sul concetto – qui evidentemente decisivo – di “dato personale”, il lettore attento osserverà, nell’ordinanza-ingiunzione del Garante, una vistosa mancanza: non si fa cenno alcuno alla fondamentale sentenza CGUE del 4.9.2025, appello Deloitte, C-413/23 P né alle precedenti pronunce (come 19.10.2016, Breyer, C-582/14; 7.3.2024, OC, C-479/22 P) che hanno scolpito tale nozione.
La verità è che il sistema di monitoraggio dei flussi di traffico non svolge assolutamente alcuna consultazione del PRA, né sussiste ragionevole probabilità (cons. 26 GDPR) che la effettui. Con ciò, vengono a mancare le informazioni ulteriori che permetterebbero di trasformare la targa in dato personale. Le targhe sono anzi cancellate, irreversibilmente, decorsi, al massimo, 60 secondi dalla loro acquisizione: il sistema è costruito, by design, per eliminarle il prima possibile.
Il monitoraggio del traffico non è infatti monitoraggio di persone, non persegue finalità identificative o sanzionatorie di condotte stradali (lo conferma lo stesso Garante), è anzi espressamente disegnato per non trattare informazioni collegabili a persone, tanto da eliminare prontamente anche i precursori di un ipotetico trattamento. Un suggerimento al lettore: conti quante volte ricorre il termine ‘astratto’ e ‘astrattamente’ nell’ordinanza-ingiunzione. Eppure, i dati personali non sono un’astrazione, come chiarisce il considerando 26 GDPR”.
