Bodycam utilizzate dalla Polizia Locale, no del Garante. Succede a Pescara

Ancora una volta il Garante per la protezione dei dati personali (provvedimento n. 743/2025) si esprime contro l’uso delle bodycam da parte della Polizia Locale.

La storia

Il Comune di Pescara, già a partire dal 2022, aveva sottoposto, a più riprese, una DPIA (Data Protection Impact Assessment – valutazione di impatto sulla protezione dei dati), procedura prevista dal GDPR (art. 35), nella quale valutava la necessità, la proporzionalità e i rischi per i diritti delle persone, con riferimento all’uso di bodycam da parte della Polizia Locale.

In ultimo, in data 12 giugno 2025, il Comune aveva sottoposto al Garante la quarta versione della DPIA, inserendo nella stessa anche alcuni suggerimenti forniti dal Garante.

L’uso delle bodycam

La DPIA prevedeva di dotare il personale della Polizia Locale di bodycam, da impiegare per finalità ausiliarie di pubblica sicurezza ai sensi dell’articolo 3 della legge n. 65/1986, ma anche per attività di polizia giudiziaria.

Si trattava quindi di funzioni istituzionali della Polizia Locale, previste da norme di legge.

Le previsioni della DPIA

Il Comune di Pescara assicurava inoltre il necessario rigore su tutto quanto previsto in materia di trattamento di dati personali, specificando che le bodycam sarebbero state assegnate a specifici operatori, individuati con ordine di servizio, con annotazione della consegna su apposito registro.

Veniva precisato anche che sarebbe stato adottato un apposito disciplinare per l’uso delle bodycam, con la previsione delle modalità e della durata della conservazione delle immagini.

Nel complesso il Comune di Pescara valutava nella DPIA come i rischi per la protezione dei dati fossero limitati, tenuto conto anche delle misure che sarebbero state adottate in fase di esercizio.

Il Garante nega alla Polizia Locale lo status di organo di polizia

Il Garante, nel provvedimento n. 743 del 4 dicembre 2025, osservava quindi che “il d.P.R. 15 gennaio 2018, n. 15, richiamato nella DPIA, non si applica ai soggetti pubblici che, pur effettuando il trattamento dei dati personali per finalità di polizia, non rientrano nella categoria degli organi, uffici e comandi di cui all’articolo 57 del d. lgs. 30 giugno 2003, n. 196, onde gli organi della Polizia municipale sono esclusi dall’applicazione del predetto regolamento“.

Per la cronaca il D.P.R. 15 gennaio 2018, n. 15 tratta le modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia.

Le cose non stanno così

In particolare il passaggio richiamato dal Garante si trova nell’art. 1 dello stesso D.P.R., al comma 3, che prevede una norma di esclusione dall’applicazione, ma per quei soggetti pubblici che pur effettuando il trattamento dei dati personali per finalità di polizia non sono organi di polizia, e non prevede alcuna esclusione per la Polizia Locale.

Tanto è vero che l’art. 3 (Finalità dei trattamenti) prevede genericamente “I trattamenti di dati personali si intendono effettuati per le finalità di polizia, ai sensi dell’articolo 53 del Codice, quando sono direttamente correlati all’esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell’ordine e della sicurezza pubblica, nonché di polizia giudiziaria, svolti, ai sensi del
codice di procedura penale, per la prevenzione e repressione dei reati”.

Dunque le norme non prevedono esclusioni per la Polizia Locale, visto che svolge gli stessi compiti, al di là della limitazione territoriale, degli altri organi di polizia.

Se così non fosse, non si spiegherebbe come mai nello stesso D.P.R. si possa avere un articolo 22 che riguarda i sistemi di videosorveglianza, utilizzati e gestiti, nella maggior parte dei casi, proprio dalla Polizia Locale.

Alcune considerazioni

Pur comprendendo il fine di massima tutela della privacy perseguito dall’Autorità, risulta complesso comprendere come le richieste del Garante (quali la valutazione comparativa di mercato) rientrino nel perimetro della protezione dei dati, rischiando di sovrapporsi a competenze tipicamente gestionali o amministrative dell’Ente, con considerazioni quali: “il Comune non ha chiarito né documentato se la scelta dello specifico prodotto sia scaturita da una valutazione comparativa con altre soluzioni presenti nel mercato“?

A parere di chi scrive, non è certo competenza del Garante indagare sulle modalità di scelta della particolare bodycam.

La sua competenza si limita a fornire, quando richiesto, un parere sulla DPIA.

Egualmente il Garante lamenta la mancanza, nella documentazione, della “copia della bozza di contratto di acquisto del sistema informatico riportante, tra l’altro, l’ubicazione dei sistemi cloud utilizzati“.

Sarebbe opportuno chiarire su quale base giuridica l’Autorità ritenga di dover estendere il proprio esame anche alle procedure negoziali di acquisto dei sistemi.

L’invio della DPIA al Garante: utile, inutile o dannoso?

Va ricordato come l’invio della DPIA al Garante non è necessario né, tanto meno, obbligatorio, così come non esiste un obbligo assoluto di predisposizione della DPIA.

L’obbligo di predisposizione della DPIA è previsto nei casi riportati dall’art. 35 del GDPR (Regolamento UE 2016/679), quindi “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Nel caso delle bodycam non si può parlare in senso stretto di “nuove tecnologie”, essendo ormai utilizzate da decenni in tutto il mondo.

Ammettendo comunque che l’evoluzione tecnologica abbia aggiunto alle bodycam utilizzate nuove funzioni, ma solo qualora si ritenga che vi possa essere un rischio elevato per i diritti e le libertà delle persone fisiche, si provvederà alla DPIA.

La trasmissione della DPIA al Garante privacy, sarà però dovuta solo quando “Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”.

Dunque la consultazione del Garante privacy è doverosa solo quando, contemporaneamente, in presenza di un rischio elevato, non si sono previste misure per attenuarlo.

Nel caso del Comune di Pescara, una volta redatta eventualmente la DPIA e prevedendo diligentemente nella stessa le misure per attenuare il rischio, non c’era alcun obbligo di inviarla al Garante privacy.

Conclusioni

In questo momento storico le Amministrazioni comunali stanno adottando un eccesso di tutela nei riguardi di tutto ciò che, anche potenzialmente, può riguardare la privacy.

Cosa comprensibile, ma che alla fine, come visto sopra, si ritorce contro le stesse Amministrazioni comunali perché dà modo al Garante privacy, esulando dalle proprie specifiche competenze, di richiedere a più riprese chiarimenti, con il risultato di bloccare l’adozione di tecnologie importantissime per la sicurezza urbana e per la sicurezza dello stesso personale della Polizia Locale.

A parere di chi scrive, ciò che appare grave, e su questo punto dovrebbe intervenire l’ANCI, che il Garante privacy non ritenga la Polizia Locale un organo di polizia alla pari degli altri.

Tale scenario ripropone il dibattito sulla natura delle autorità indipendenti e sulla necessità di un miglior bilanciamento tra i loro poteri normativi, amministrativi e sanzionatori all’interno della cornice costituzionale.

Sergio Bedessi