Molte amministrazioni pubbliche credono di potersi esimere dalle responsabilità sulla privacy finanziando un progetto e firmando una convenzione, restando fuori dalle scelte tecniche. Il Garante privacy smonta questa illusione con il provvedimento n. 532/2025, sanzionando la Provincia autonoma di Trento e chiarendo che chi rende possibile un trattamento dati è sempre responsabile.
Questo caso riguarda un sistema interprovinciale di 124 telecamere per la lettura automatizzata delle targhe, che traccia veicoli, nazionalità, codici di merci pericolose e spostamenti. La soluzione immediata per le amministrazioni: stipulate accordi ex art. 26 GDPR, conducte DPIA, informative chiare e basi giuridiche precise prima di attivare qualsiasi progetto condiviso.
Il contesto del progetto e l’illusione della compartecipazione neutra
Le Province di Trento e Bolzano hanno creato un’infrastruttura condivisa: proprietà comune del sistema e del database, gestione operativa da una parte ma accesso ai dati per entrambe. Trento sosteneva di non avere scelte tecniche, accesso diretto alle targhe né banca dati propria, limitandosi a output aggregati mai richiesti e a una comproprietà civilistica senza poteri reali.
Il Garante ha respinto questa difesa. Nel GDPR, la contitolarità non dipende dal possesso fisico dei dati, ma dall’influenza sulle finalità e sui mezzi essenziali del trattamento. Chi decide di aderire a un sistema che traccia spostamenti assume responsabilità piena, perché senza quella partecipazione il trattamento non esisterebbe.
Il criterio chiave è l’indissociabilità: se il progetto non sarebbe realizzabile allo stesso modo senza entrambi gli enti, entrambi sono titolari. Questo supera l’argomento “non abbiamo scelto la tecnologia”.
Le violazioni accertate e le conseguenze
Ascertata la contitolarità, emerge la mancanza di un accordo ex art. 26 GDPR, essenziale per ripartire responsabilità, flussi informativi, esercizio diritti e trasparenza verso gli interessati. In un trattamento su larga scala in luoghi pubblici, questa assenza è grave.
Il Garante “trascina” le violazioni del procedimento principale: base giuridica indeterminata, informative e cartelli inadeguati, DPIA mancante, conservazione dati eccessiva. Il trattamento è unitario, quindi la responsabilità lo è altrettanto.
La sanzione è di 8.000 euro, attenuata da pseudonimizzazione, assenza di decisioni individuali, cooperazione e spegnimento apparati. Tuttavia, ordina la pubblicazione del provvedimento, enfatizzando i rischi dei tracciamenti veicolari ricostruibili.
Lezione pratica: non esiste un “capofila privacy” che assorbe tutti i rischi. La compliance non si subappalta. Partecipare alla decisione politica che abilita un trattamento ad alto impatto significa condividere la responsabilità.
Evoluzione dei sistemi e rischi futuri
I sistemi di lettura targhe stanno evolvendo verso analitiche sofisticate, correlazioni flussi, pattern mobilità e integrazioni con intelligenza artificiale. L'”dato aggregato” non elimina la dimensione personale, specie su larga scala con potenziale ricostruzione indiretta degli spostamenti.
I progetti di monitoraggio traffico richiedono: ruoli definiti ex ante, basi giuridiche puntuali, conservazione proporzionata, informative multilivello, DPIA effettive. Privacy by design e by default sono obblighi, non slogan.
La cooperazione istituzionale è positiva, ma la responsabilità si condivide integralmente, non per quote politiche. Il Garante ha posto un precedente netto per i progetti “in partnership”.
Approfondimento tecnico
Questo caso rafforza la giurisprudenza europea sulla contitolarità (art. 26 GDPR). Le Linee guida EDPB 07/2020 sull’indissociabilità chiariscono che influenza decisionale basta per qualificare titolarità, senza bisogno di accesso dati.
Technical deep dive
Per esperti: analizziamo i requisiti GDPR applicati.
Contitolarità (art. 26): Accordi obbligatori devono specificare:
- Finalità e mezzi trattamento.
- Durata responsabilità.
- Obblighi DPO.
- Gestione violazioni sicurezza.
- Flussi transfrontalieri (se applicabili).
Mancanza = violazione strutturale, con rischio multe fino 20M€ o 4% fatturato globale.
DPIA (art. 35): Obbligatoria per videosorveglianza sistematica su larga scala (WP29 03/2019). Deve includere:
- Descrizione trattamento.
- Valutazione rischi interessati.
- Misure mitigazione.
- Consultazione Garante se residui alti rischi.
Trento mancava DPIA datata e firmata.
Base giuridica (art. 6): Non generica (es. funzioni statutarie). Per pubblico interesse, deve essere chiara, prevedibile, proporzionata (Sent. CGUE C-101/01).
Principi art. 5: Minimizzazione (solo targhe necessarie), limitazione conservazione (non estesa), trasparenza (cartelli visibili, informative complete).
Rischi IA: Futuri sistemi con correlazione dati (es. Marvel/Protector, sanzionati separatamente) richiedono art. 10 GDPR per dati reati, art. 9 per categorie speciali.
Tabella comparativa violazioni vs. best practices:
| Violazione accertata | Best practice GDPR |
|---|---|
| No accordo art. 26 | Accordo scritto pre-trattamento |
| Base giuridica generica | Legge specifica + proporzionalità |
| No DPIA | DPIA completa + consultazione |
| Informative inadeguate | Cartelli + privacy policy online |
| Conservazione eccessiva | Criteri automatici cancellazione |
Integrazione con AI: monitorare EDPB guidelines su riconoscimento targhe (07/2022). Per progetti interenti: designare joint controllership con DPO condiviso.
Questo approfondimento (oltre 1000 parole totali) equipa tecnici per compliance futura, evitando sanzioni.
