Stop alle telecamere ZTL “leggi targa” nei Comuni: quando la tecnologia diventa un problema legale (e non di sicurezza)

La polizia locale non può usare le telecamere specializzate nella lettura delle targhe neppure per contrastare la circolazione senza copertura assicurativa se non ha preventivamente sottoscritto un dettagliato patto per la sicurezza urbana e regolato adeguatamente la protezione dei dati degli impianti di videosorveglianza urbana. Sanzione e prescrizioni del Garante privacy: senza basi giuridiche chiare, informativa completa e DPIA preventiva, i varchi LPR diventano trattamento illecito. Il “patto sicurezza urbana” non è una decorazione, se si invoca quella finalità. In altre parole serve un piano urbano del traffico.

La scena è fin troppo comune, e infatti finisce davanti al Garante: un cittadino riceve un verbale dopo un controllo svolto con un portale di lettura targhe installato in una ZTL o su una direttrice di uscita dal centro abitato, con memorizzazione di targa, data, ora e varco, e conservazione automatica per sette giorni. Poi l’interessato chiede la cancellazione dei dati personali e il Comune non risponde. Fine della storia? No, inizia quella giuridica.

Con il provvedimento n. 752 del 18 dicembre 2025 (doc. web n. 10213486), il Garante per la protezione dei dati personali dichiara illecito il trattamento svolto dal Comune di Nave, contestando violazioni multiple del GDPR (artt. 5, 6, 12, 13, 35) e del Codice privacy (art. 2-ter), e chiudendo con una sanzione pecuniaria di 6.000 euro, oltre a prescrizioni operative e pubblicazione del provvedimento. È un richiamo duro, ma lineare: non basta “fare sicurezza”, serve dimostrare che ogni singolo trattamento ha una base giuridica specifica e una governance coerente.

Il punto tecnico che interessa i Comandi di Polizia Locale è questo: i sistemi LPR, quando usati per supportare controlli su revisione e copertura assicurativa (richiamati nel provvedimento in relazione agli artt. 80 e 193 CdS), non possono trasformarsi in una raccolta generalizzata e continuativa dei transiti di tutti, conservata per giorni, “nel caso serva”. Il Garante ribadisce un modello preciso: di regola contestazione immediata, apparato come supporto documentale, e memorizzazione dei dati personali solo se c’è effettiva infrazione, non “tutti dentro, poi si vede”. Nel caso esaminato, invece, i varchi erano attivi continuativamente e conservavano per sette giorni i dati di tutti i veicoli in transito, a prescindere dall’accertamento di una violazione, e in più il sistema risultava privo di omologazione, elemento che il Garante valorizza nel giudizio di non conformità.

C’è poi la scorciatoia più frequente nei documenti comunali, quella delle finalità “a fisarmonica”: sicurezza urbana, pubblica sicurezza, polizia giudiziaria, regolamenti comunali, protezione civile, traffico, ambiente, rifiuti, patrimonio, statistica. Troppo, e male. Il Garante lo dice senza giri, se non distingui le finalità e non le agganci a basi giuridiche idonee “per rango e qualità”, violi la liceità e la trasparenza (artt. 5 e 6 GDPR, art. 2-ter Codice). In altre parole, la confusione amministrativa diventa illecito privacy.

Sulla “sicurezza urbana” arriva il passaggio più operativo (e più scomodo per molti Comuni): se vuoi installare e usare videosorveglianza per prevenzione e contrasto della criminalità diffusa e predatoria, la disciplina di settore richiede la stipula del patto per l’attuazione della sicurezza urbana con la Prefettura, ai sensi degli artt. 4 e 5 del d.l. 14/2017. Il Comune di Nave non lo aveva, e il Garante esclude che i patti siano “facoltativi” nel senso di irrilevanti, perché la stessa architettura normativa li rende la cornice necessaria quando si invoca quella finalità. Questo non significa che “senza patto non puoi fare controlli CdS”, significa che non puoi coprire con l’etichetta “sicurezza urbana” trattamenti che, per come li imposti, non hanno una base legittimante corretta.

Infine, la parte che molti sottovalutano finché non arriva un reclamo: informativa e DPIA. Il Garante contesta cartelli incompleti, informativa di secondo livello assente al momento dei fatti, e contenuti non coerenti con i trattamenti effettivi (per esempio, nel caso c’era anche la rilevazione della classe ambientale e la trasmissione di dati aggregati alla Regione, non adeguatamente rappresentate). E sulla valutazione d’impatto non fa sconti: per sorveglianza sistematica su larga scala in area accessibile al pubblico, la DPIA è obbligatoria e va fatta prima di attivare il sistema, non dopo “quando c’è tempo”.

La morale, che poi è diritto applicato, è semplice e spiacevole: un varco LPR non è solo una telecamera, è un trattamento strutturato e invasivo, quindi o lo governi con basi giuridiche chiare, minimizzazione reale, informative complete, tempi di conservazione difendibili e DPIA preventiva, oppure stai costruendo contenzioso e sanzioni con soldi pubblici. E come spesso accade, il problema non è la tecnologia, è l’abitudine umana di usarla “prima” e chiedere permesso “poi”.