Videosorveglianza urbana, il Garante Privacy disegna nuovi confini

Il provvedimento n. 628/2025 in tema di videosorveglianza urbana richiama i Comuni al rispetto del GDPR: tra sanzioni e nuove prescrizioni, ecco come conciliare la tutela del territorio coi diritti dei cittadini.

Equilibrio necessario tra controllo e riservatezza

Nell’evoluzione verso modelli di smart city sempre più integrati, la videosorveglianza rappresenta uno dei pillar fondamentali per la sicurezza urbana e la gestione dei flussi.

Tuttavia, il provvedimento n. 628/2025 dell’Autorità Garante per la protezione dei dati personali ha acceso un faro sulle criticità strutturali che molti Comuni italiani ancora presentano.

L’Autorità ha ribadito che la “città intelligente” non può prescindere dalla “città trasparente”: ogni telecamera accesa deve rispondere a principi di necessità, proporzionalità e, soprattutto, corretta informazione verso l’utenza.

Criticità rilevate, informativa e DPIA sotto la lente

Hub del provvedimento n. 628/2025 sono due mancanze ricorrenti nelle amministrazioni locali: l’incompletezza delle informative e l’assenza di una solida Valutazione di Impatto sulla Protezione dei Dati (DPIA).

Molti enti locali hanno installato sistemi avanzati di monitoraggio senza aggiornare i cartelli di avviso o senza fornire ai cittadini una spiegazione chiara su chi tratti i dati, per quanto tempo e con quali finalità.

Il Garante ha sottolineato che, specialmente in presenza di sistemi che utilizzano algoritmi di analisi video o interconnessioni tra banche dati diverse, la DPIA non è un optional ma un obbligo di legge.

Senza un’analisi preventiva dei rischi, l’intera architettura tecnologica della amart city rischia di essere dichiarata illecita, con conseguenti sanzioni pecuniarie che pesano sulle casse comunali.

Accountability, responsabilità del Comune come titolare

Il provvedimento n. 628/2025 introduce un monito chiaro sul principio di accountability (responsabilizzazione).

Non basta acquistare la tecnologia più avanzata sul mercato; è necessario che il Comune, in qualità di Titolare del trattamento, governi l’intero ciclo di vita del dato.

Dalla scelta del fornitore (nominato Responsabile del trattamento) alla gestione dei tempi di conservazione delle immagini, ogni passaggio deve essere documentato.

L’Autorità ha rilevato casi in cui i tempi di conservazione eccedevano le 24-72 ore canoniche senza una reale motivazione legata a specifiche esigenze di polizia giudiziaria, violando il principio di minimizzazione dei dati.

Verso una governance digitale consapevole

Per i sindaci e i responsabili della transizione digitale, il messaggio del Garante è inequivocabile: la sicurezza urbana non è in antitesi con la privacy, ma ne richiede una progettazione integrata (Privacy by Design).

Una città resiliente deve dotarsi di protocolli chiari, formare il personale addetto alla centrale operativa e garantire che l’infrastruttura tecnologica sia al servizio del cittadino, senza trasformarsi in uno strumento di sorveglianza indiscriminata.

Il rispetto del provvedimento n. 628/2025 diventa dunque il parametro per misurare la maturità digitale di un’amministrazione moderna.

Leggi il provvedimento n. 628/2025 del Garante per la protezione dei dati personali