Il provvedimento n. 628 del 23 ottobre 2025 del Garante per la protezione dei dati personali rappresenta un punto di svolta per i Comuni nell’utilizzo della videosorveglianza urbana. La vicenda, nata dal reclamo di un dipendente sanzionato anche sulla base di riprese municipali, ha condotto a un’istruttoria complessa che ha messo in luce criticità profonde: gestione disinvolta degli impianti, basi giuridiche frammentarie e sovrapposizione impropria tra sicurezza urbana, funzioni datoriali e attività di polizia. Elementi che hanno determinato una doppia sanzione economica e, soprattutto, la pubblicazione dell’ordinanza, con un inevitabile impatto reputazionale sull’ente.
Il primo nodo riguarda il fondamento giuridico delle telecamere. Molti Comuni tendono ad attribuire agli impianti una pluralità di finalità — sicurezza urbana, tutela del patrimonio, supporto alla P.G., controllo ambientale — confidando in un quadro normativo che ritengono elastico. Il Garante, invece, ribadisce un principio cristallino: il trattamento tramite riprese è lecito solo se ancorato a basi normative puntuali ai sensi dell’art. 6 GDPR e dell’art. 2-ter del Codice Privacy. Nel caso esaminato, il patto per la sicurezza urbana risultava non solo posteriore all’installazione di parte dei dispositivi, ma anche troppo generico per individuare le aree effettivamente interessate. Una lacuna che ha impedito di ricondurre l’intero impianto al perimetro normativo di riferimento. Questa interpretazione, pur rigorosa, riapre una discussione più ampia: può un Comune trovarsi totalmente impossibilitato ad adottare misure di sicurezza immediata senza un patto formale? L’Autorità opta per una linea restrittiva che riduce le zone grigie operative, ma che potrebbe rivelarsi stringente nei contesti in cui la tempestività è decisiva.
Altro tema delicato è la ricorrente evocazione della finalità di polizia giudiziaria. Il provvedimento chiarisce che essa può legittimare l’uso delle telecamere solo nell’ambito di indagini specifiche svolte su delega o sotto direzione dell’autorità giudiziaria. Non può essere invocata per giustificare a priori un sistema di ripresa generalizzato e permanente. Si tratta di un punto nevralgico, poiché molti enti utilizzano questa finalità come “ombrello” per ampliare le possibilità d’impiego delle telecamere ben oltre i limiti consentiti. La lettura del Garante riduce nettamente tale spazio interpretativo, e impone ai Comuni una chiara distinzione tra la tutela della sicurezza pubblica e l’attività investigativa.
La severità dell’Autorità emerge anche in materia di trasparenza e informative. Cartelli generici, assenza di indicazioni sul titolare, tempi di conservazione e diritti degli interessati, mancanza di un’informativa estesa rendono il trattamento radicalmente non conforme. Lo stesso regolamento comunale pubblicato sul sito, spesso utilizzato come “informativa di secondo livello”, viene giudicato inidoneo in quanto documento interno, privo dei requisiti previsti dagli artt. 12 e 13 GDPR. A ciò si aggiunge la mancanza di una valutazione d’impatto sulla protezione dei dati (DPIA) nonostante la sorveglianza sistematica su aree accessibili al pubblico e la possibilità di monitorare ingressi e uscite dei lavoratori. Una DPIA iniziata “a procedimento in corso” non sana la violazione: deve precedere il trattamento, non legittimarlo retroattivamente.
Il cuore del provvedimento, però, si concentra sui controlli a distanza sui dipendenti. Il Comune aveva incrociato badge e immagini per contestare assenze ingiustificate, giungendo al licenziamento di una dipendente. L’uso delle riprese — installate per finalità di sicurezza urbana — a fini datoriali costituisce un cambio di finalità radicalmente incompatibile con l’art. 5 GDPR e con la disciplina speciale dell’art. 4 dello Statuto dei lavoratori. Ancor più grave l’episodio in cui un collaboratore, incaricato informalmente, ha registrato le uscite della stessa dipendente durante la malattia, inviando i filmati sul cellulare privato del Sindaco. Tale condotta è stata qualificata come attività investigativa priva di base giuridica, in violazione del GDPR e delle norme di tutela del lavoratore: la genuinità dell’assenza può essere verificata esclusivamente tramite la visita fiscale, non attraverso riprese occulte o iniziative autonome dell’ente.
Un aspetto spesso ignorato, ma centrale, è il principio di inutilizzabilità dei dati illecitamente raccolti. Ai sensi dell’art. 2-decies del Codice, una volta dichiarata l’origine illecita del trattamento, ogni utilizzo successivo — inclusi quelli in sede disciplinare — è a sua volta illecito. Ciò comporta un effetto domino potenzialmente devastante: provvedimenti disciplinari fondati su dati non conformi rischiano di essere invalidati, con conseguenze giuslavoristiche e risarcitorie di ampia portata.
Sul piano sanzionatorio, l’Autorità adotta un criterio differenziato: 5.000 euro per le violazioni legate alla videosorveglianza pubblica, considerate di gravità media; 10.000 euro per la componente lavoristica, ritenuta ad alta gravità per l’incidenza sulla sfera personale e per l’invasività delle modalità utilizzate. In entrambi i casi, la pubblicazione del provvedimento è stata imposta per la rilevanza generale delle criticità riscontrate.
Nel complesso, il caso rappresenta un monito chiaro per gli enti locali. La videosorveglianza urbana non è un archivio di immagini utilizzabile a seconda delle necessità del momento: è un trattamento ad alta intrusività che richiede basi giuridiche solide, trasparenza autentica, valutazioni d’impatto obbligatorie e una rigorosa separazione tra sicurezza urbana, poteri datoriali e attività di polizia. Confondere questi piani significa esporsi a sanzioni, a danni reputazionali e, soprattutto, a effetti paralizzanti sui procedimenti disciplinari che si fondano su dati acquisiti in violazione di legge.
