Sindacato d'Azione, a tutela dei Diritti delle Persone

Con provvedimento n. 10140388 del 10 aprile 2025, il Garante per la Protezione dei Dati Personali ha rilevato gravi violazioni in materia di trattamento dei dati personali da parte di un progetto milanese di monitoraggio del traffico, fondato sull’impiego di telecamere “intelligenti” installate sulle vie pubbliche. Il sistema, ideato da una società partecipata del Comune di Milano, raccoglieva immagini in tempo reale di targhe, volti, posture e abitudini dei passanti, convertendole in flussi statistici attraverso algoritmi di analisi automatica.

L’Autorità ha chiarito che tale attività, anche se diretta a finalità statistiche o urbanistiche, configura trattamento di dati personali qualora le immagini — anche se offuscate — siano idonee a identificare direttamente o indirettamente un soggetto. Il principio cardine, dunque, resta la potenziale identificabilità, non l’effettiva intenzione di identificare. Di conseguenza, la conservazione anche temporanea di immagini identificabili senza adeguata informativa e senza DPIA validata costituisce trattamento illecito.

La posizione del Comune di Milano, che si è dichiarato estraneo formalmente al progetto, non ha evitato l’attribuzione di responsabilità al soggetto partecipato, ritenuto comunque titolare autonomo del trattamento. Nonostante ciò, emerge con forza l’urgenza di un controllo trasversale e sistemico a livello nazionale.

Riflessioni giuridiche e doveri dell’amministrazione locale

Ogni Comune è tenuto, ai sensi degli artt. 5, 6, 13, 35 e 38 del GDPR, a garantire la trasparenza, la liceità e la proporzionalità del trattamento di dati attraverso dispositivi di videosorveglianza.

L’art. 35 del GDPR, in particolare, impone la redazione e validazione di una valutazione d’impatto sulla protezione dei dati (DPIA) per trattamenti che presentino un rischio elevato per i diritti e le libertà delle persone fisiche. La mancata validazione da parte del DPO, nel caso milanese, ha rappresentato un elemento dirimente nella sanzione comminata.

Di fronte a questa evidenza, il cittadino ha titolo per pretendere chiarezza e legittimità in merito all’installazione e alla gestione delle telecamere nel proprio territorio.

Modello di richiesta formale al Comune

Oggetto: Richiesta di accesso civico e informazioni ai sensi del GDPR – Impiego di telecamere intelligenti nel territorio comunale

Spett.le Comune di …………..

alla luce del provvedimento n. 10140388 del 10/04/2025 del Garante per la Protezione dei Dati Personali, riguardante l’illecita raccolta di immagini tramite telecamere intelligenti da parte del Comune di Milano e società da esso partecipata, il sottoscritto richiede:

1. L’elenco delle telecamere intelligenti installate nel territorio comunale, con specificazione delle funzionalità di analisi video, lettura targhe o riconoscimento comportamentale.
2. Copia dell’informativa resa ai cittadini, con riferimento all’art. 13 GDPR.
3. Copia della valutazione d’impatto sulla protezione dei dati (DPIA) prevista dall’art. 35 GDPR.
4. Nome e contatti del Responsabile della Protezione dei Dati (DPO) e copia della validazione della DPIA.
5. Indicazione dei soggetti (pubblici o privati) titolari e responsabili del trattamento dei dati raccolti.
6. Eventuali convenzioni con società terze, partecipate o meno, che gestiscono tali impianti.

Si invita l’Amministrazione a rispondere entro il termine massimo previsto dalla legge. In caso di mancata risposta o risposta evasiva, si procederà con formale segnalazione al Garante per la Protezione dei Dati.

Distinti saluti, 
……………………….

Modello di richiesta formale al Garante

Oggetto: Richiesta di intervento ex art. 77 GDPR – Videosorveglianza intelligente nel Comune di ………………………

Al Garante per la Protezione dei Dati Personali,

il sottoscritto, in qualità di cittadino, segnala la possibile presenza nel Comune di ……………… di impianti di videosorveglianza “intelligente” analoghi a quelli oggetto del Vostro provvedimento n. 10140388 del 10 aprile 2025, adottato nei confronti del Comune di Milano e della società da esso partecipata.

Considerato che:

– non risultano esposti cartelli informativi adeguati;
– non è pubblicamente disponibile alcuna valutazione d’impatto (DPIA);
– non si conosce l’identità del DPO né la titolarità del trattamento;

si richiede all’Autorità di:

1. Attivare i poteri istruttori ex art. 58 GDPR nei confronti del suddetto Comune;
2. Verificare la legittimità dei trattamenti in corso e l’esistenza di violazioni;
3. Ordinare, se del caso, la sospensione immediata di trattamenti illeciti.

Resto a disposizione per fornire documentazione e testimonianza a supporto della presente istanza.

Con osservanza, 
…………………………


La questione sollevata dal Garante non riguarda solo Milano. Essa tocca il cuore della legalità amministrativa, della dignità personale e del diritto alla riservatezza. Ogni cittadino ha il diritto e il dovere di chiedere conto delle tecnologie invasive adottate nel proprio territorio, affinché la sicurezza non diventi pretesto di sorveglianza sistemica.