g-docweb-display Portlet

Provvedimento del 18 giugno 2026 [10267254 ]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10267254]

Provvedimento del 18 giugno 2026

Registro dei provvedimenti
n. 457 del 18 giugno 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”); 

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Con reclamo presentato in data XX ai sensi dell’art. 77 del Regolamento e dell’art. 141 del Codice, il Sig. XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte del Comune di Vasto (di seguito, “Comune”), riguardante la ricezione di un verbale di contestazione dell’infrazione dell’art. 146 del D.Lgs. 30 aprile 1992, n. 285 (“Nuovo Codice della Strada”, o “C.d.S.”), accertata mediante sistema video.

In particolare, è stato rappresentato che ”Con verbale n. […] veniva contestata […] dal Comando di Polizia Locale di Vasto, la violazione dell’art.146/3 del Codice della Strada per effrazione commessa in data XX […] violazione accertata mediante apparecchiatura XX […evidenziando] l'assenza di qualsivoglia forma informativa nei pressi del luogo in cui erano presenti telecamere adibite a rilevare l'infrazione di “passaggio col rosso” e che “non sono stati oscurati in automatico il parabrezza anteriore e il lunotto posteriore del veicolo […] per rendere irriconoscibili conducente ed eventuali passeggeri”.

2. L’attività istruttoria

In risposta a due richieste di informazioni dell’Autorità (rispettivamente, prot. n. XX del XX e n. XX del XX), formulate ai sensi dell’art. 157 del Codice il Comune ha dichiarato, con note del XX e del XX (rispettivamente, prot. dell’Autorità nn. XX e XX) cui si rinvia integralmente, in particolare, che: 

- l’informativa di primo livello, “è posta in prossimità del dispositivo di rilevamento dell’infrazione. […e] si dà atto che è in corso, su tutto il territorio comunale, l’aggiornamento della cartellonistica, la quale contiene informazioni più coerenti con il Regolamento Europeo 679/2016 ed aggiornate. Tale cartellonistica, oltre ai riferimenti essenziali sul trattamento, contiene anche un collegamento, attraverso qr code, all’informativa di secondo livello, completa con le informazioni richieste ex artt. 13 e 14 del GDPR. Tale informativa è disponibile sul sito internet del Comune” (cfr. nota del XX);

- “in prossimità del dispositivo di rilevamento delle infrazioni semaforiche, è presente la segnaletica di avvertimento del dispositivo medesimo ed è stata inoltre collocata cartellonistica relativa al sistema di videosorveglianza comunale, nel quale sono compresi anche dispositivi per l’accertamento delle violazioni del Codice della Strada. […]” (cfr. nota del XX); 

- “è anche presente, in prossimità del dispositivo per il rilevamento delle infrazioni semaforiche, un’altra telecamera, utilizzata per finalità di sicurezza urbana, […ma] il dispositivo attraverso il quale è stata contestata l’infrazione al Sig. XX è utilizzato solo ed esclusivamente per le violazioni del Codice della strada e […] le telecamere utilizzate per finalità di sicurezza urbana non sono utilizzate per l’accertamento di violazioni al CDS. Con riferimento all’informativa, si rimanda a quella generale sul sistema di videosorveglianza [...], atteso che i dispositivi sono inseriti nel sistema di videosorveglianza cittadino di cui al vigente Regolamento Comunale; è presente, nell’informativa, il riferimento alle finalità di polizia amministrativa e sono indicati i termini di conservazione delle immagini finalizzati agli accertamenti degli illeciti nell’ambito del Codice della Strada; tale informativa, nella sua ultima versione, è pubblicata e disponibile sul sito del Comune di Vasto dal giorno XX che è stata oggetto di aggiornamenti nel tempo […] è inoltre disponibile, sul sito internet del Comune, nella sezione “Informativa privacy”, l’informativa relativa al Servizio Polizia Municipale, al link https://drive.google.com/drive/folders/1QSyeS187E69ZLkpzpGpeP0tnAY5rmGZW” (cfr. nota del XX); 

- per quanto concerne l’informativa fornita nel verbale di contestazione, il Comune ha rappresentato che “nella modulistica allegata ai verbali, è presente apposita informativa sul trattamento dei dati personali, aggiornata, in forma sintetica e che rimanda alle informative complete sul sito del Comune. […] con l’affidamento della gestione del Servizio di verbalizzazione ad altra società, le informazioni sul trattamento dei dati personali risultano aggiornate rispetto a quelle inviate al […reclamante]” (cfr. nota del XX); 

- “In merito alle modalità con le quali, nel rilevamento delle infrazioni semaforiche, si garantisce il principio di minimizzazione deve dirsi che, coerentemente con quanto previsto nel “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, il dispositivo utilizzato, […] riprende esclusivamente la targa del veicolo oggetto della infrazione. Vi è un totale oscuramento del parabrezza e del lunotto del veicolo e comunque una irriconoscibilità del conducente o di eventuali passeggeri. Lo stesso vale per le autovetture non soggette alle infrazioni, delle quali si provvede ad oscurare anche la targa” (cfr. nota del XX); 

- “nel caso del […reclamante] si è effettivamente verificato un problema relativo al mancato oscuramento delle immagini di altri veicoli coinvolti nelle riprese. Si è trattato di un errore esclusivamente tecnico e si è accertato, anche con la società che fornisce il dispositivo, che le immagini fornite agli interessati vengono oscurate di tutto quanto non necessario ai fini della procedura di accertamento e contestazione dell’infrazione. Si mette in evidenza che l’amministrazione comunale ha in dotazione, sin dall’anno 2021, un sistema informatico che oscura, in automatico, tutti i dati non necessari ai fini di una contestazione” (cfr. nota del XX); 

- “Si fa altresì presente che il dispositivo utilizzato per rilevare le infrazioni […] è omologato e autorizzato, con durata ventennale, dal Ministero delle infrastrutture e dei Trasporti, […ed] è utilizzato ai soli ed esclusivi fini dell’accertamento delle violazioni di cui al Decreto Legislativo 30 aprile 1992 n.285 […] con particolare riferimento al rilevamento delle infrazioni semaforiche (in particolare art.41 e 146 CDS) (cfr. note del XX e del XX); 

- con riferimento, infine, ai tempi di conservazione dei dati personali, il Comune ha rappresentato che “i dati vengono conservati per il tempo strettamente necessario all’accertamento della violazione e alle eventuali procedure di difesa e opposizione sanzionatoria, nel rispetto delle tempistiche normative” (cfr. nota del XX); 

- il Comune ha inoltre trasmesso, congiuntamente alla nota del XX “la valutazione d’impatto nella versione approvata con Delibera di Giunta Comunale in data XX”.

Con riferimento alla condotta del Comune, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato allo stesso, con nota del XX (prot. n. XX), ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito: 

- in maniera non conforme al principio di liceità, correttezza e trasparenza, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento, avendo omesso di fornire al reclamante, al momento dell’accertamento della violazione al C.d.S., un’informativa di primo livello in merito al trattamento di dati personali effettuato mediante il sistema foto/video in esame e avendo, successivamente, omesso di fornire agli interessati un’idonea informativa di primo e secondo livello;

- in maniera non conforme al principio di minimizzazione, in violazione dell’art. 5, par. 1, lett. c), del Regolamento;

- in violazione dell’art. 35 del Regolamento, avendo effettuato una valutazione d’impatto sulla protezione dei dati in merito al sistema foto/video in esame solo successivamente all’avvio del trattamento e priva di alcuni elementi necessari.

Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), cui si rinvia integralmente, il Comune, che non ha chiesto di essere audito, ha rappresentato, in particolare, che:

- “le violazioni al Codice della Strada, nell’informativa di primo livello, sono individuate in un ambito generale che attiene alla sicurezza stradale e alle esigenze di polizia. […] L’indicazione generale presente sulla cartellonistica viene poi chiarita sull’informativa di secondo livello, presente sul sito internet del Comune. In essa si legge, tra le finalità del trattamento, quella dell’utilizzo del sistema di videosorveglianza cittadino per finalità di polizia amministrativa. Considerandosi l’illecito amministrativo nell’ambito del Codice della Strada come un comportamento volontario […] di violazione di quelle norme poste dal Codice stesso a tutela della disciplina della circolazione stradale […] è evidente, dunque, che la disciplina delle violazioni al Codice della Strada rientri nell’alveo delle finalità indicate nella cartellonistica predisposta dal Comune”;

- “Infine, l’informativa, oltre alle finalità amministrative, riporta tra le finalità perseguite […] “Vigilanza sulla sicurezza e sulla circolazione stradale, controllo della circolazione dei veicoli” mentre […] in merito alla conservazione dei dati, si menzionano esplicitamente le violazioni al Codice della Strada. Dunque, si può ritenere compiutamente individuata e distinta, nella cartellonistica e nell’informativa, la finalità relativa alle violazioni al Codice della Strada […]“;

- la cartellonistica “è stata adottata essendo gli strumenti utilizzati per accertare le violazioni del Codice della Strada come inseriti all’interno sistema di videosorveglianza cittadino. …]”;

- “in merito ai tempi di conservazione dei dati si tratta certamente di una indicazione di carattere generale che, però, è coerente con la necessità che quanto presente sulla  cartellonistica di primo livello indichi come elementi necessari quelli più importanti […] e le informazioni che potrebbero risultare inaspettate per l’interessato, come il termine di conservazione […] I tempi di conservazione sono infatti indicati, seppur in maniera generale, nell’informativa di primo livello, in maniera puntuale sono invece riportati nell’informativa estesa […] Si può infatti facilmente leggere, al link in cui è presente l’informativa, al paragrafo MODALITÀ DI ACQUISIZIONE E DI CONSERVAZIONE DEI DATI PERSONALI quanto segue “Per quanto riguarda le immagini relative alle violazioni del codice della strada le stesse sono conservate per il periodo di tempo necessario in riferimento alla contestazione, all’eventuale applicazione di una sanzione e alla definizione del possibile contenzioso in conformità con la normativa di settore, fatte salve eventuali esigenze di ulteriore conservazione derivanti da una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria” […]”; 

- “In merito alla non facile reperibilità dell’informativa […] il Qr code presente sulla cartellonistica determina una immediata reperibilità dell’informativa per gli interessati sul sito del Comune. Inoltre, l’informativa è presente in una sezione specifica ma facilmente raggiungibile attraverso i più comuni motori di ricerca cercando “informativa videosorveglianza Vasto” […ed] è incardinata anche all’interno di una sezione del sito comunale riservata alla Polizia locale, ove sono presenti le informazioni che attengono all’organizzazione della stessa […] ed ove è reperibile la modulistica […]”;

- “sulla cartellonistica […] è evidente come ci sia un rinvio chiaro al sito internet del Comune, anche nella pagina della polizia locale, per ottenere ogni informazione necessaria, oltre al QR Code […]”;

- “in merito all’indicazione errata dei diritti dell’interessato, […] l’informativa di secondo livello specifica i riferimenti necessari e coerenti con le norme del GDPR, mentre si fa riferimento, nella cartellonistica, all’art. 11 sui trattamenti che non richiede identificazione e poi al capo III del Regolamento […] in cui agli artt. dal 12 al 15 si indicano gli obblighi di trasparenza delle informazioni da fornire, anche con riferimento ai diritti degli interessati […] esplicitati […] nell’informativa di secondo livello”;

- in merito alla valutazione d’impatto, nell’ultima versione, si è provveduto a fare un documento unico, riferito ai dispositivi inseriti nel sistema di videosorveglianza cittadino […esaminando] un insieme di trattamenti simili che presentano rischi elevati analoghi, ai sensi anche dell’art. 35, comma 1 del GDPR”.

3. Esito dell’attività istruttoria

3.1. Sulla trasparenza nei confronti degli interessati

All’esito dell’attività istruttoria, è emerso, in sintesi, che il Comune si è dotato di un apposito sistema foto/video per finalità di accertamento delle violazioni al C.d.S. e, con riferimento al caso di specie, in ossequio a tale finalità, ha notificato nei confronti del reclamante il verbale di accertamento per la violazione dell’art. 146, comma 3, del C.d.S. 

In linea generale, si osserva che i soggetti pubblici possono, di regola, trattare dati personali mediante dispositivi video se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (v. art. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3, del Regolamento, nonché art. 2-ter del Codice; cfr. le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, par. 41; v. anche le FAQ del Garante in materia di videosorveglianza, del 3 dicembre 2020, doc. web n. 9496574).

Inoltre, la normativa di settore disciplina la possibilità di accertare alcune violazioni al C.d.S. attraverso appositi dispositivi video, nel rispetto di alcune condizioni (cfr. artt. 45, 193, comma 4-ter, 198, 198-bis, 201, in particolare commi 1-bis, lett. e), f), g), g-bis) e g-ter) del C.d.S.).

Pur in presenza di una condizione di liceità del trattamento, il titolare è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza”, in base al quale i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, (art. 5, par. 1, lett. a), del Regolamento).

In particolare, in ossequio al citato principio di trasparenza, il titolare del trattamento è tenuto a fornire agli interessati informazioni esatte e complete in merito al trattamento posto in essere. 

Per quanto attiene alla fattispecie in esame si ricorda che, allorquando siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; da ultimo, v. le FAQ del Garante in materia di videosorveglianza, doc. web n. 9496574, n. 4; cfr., altresì, provv.ti 12 febbraio 2026, n. 102, doc. we n. 10227910, 18 dicembre 2025, n. 752, doc. web n. 10213486, 29 aprile 2025, n. 244, doc. web n. 10144974, 19 dicembre 2024, n. 805, doc. web n. 10107263; 12 dicembre 2024, n. 766, doc. web n. 10102334, 11 gennaio 2024, n. 5, doc. web n. 9977020; 20 ottobre 2022, n. 341, doc. web n. 9831369; 28 aprile 2022, n. 162, doc. web n. 9777974, 7 aprile 2022, n. 119, doc. web n. 9773950, 16 settembre 2021, n. 327, doc. web n. 9705650 e 11 marzo 2021, n. 90, doc. web n. 9582791). Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (Linee guida del Comitato, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi) (Linee guida del Comitato, cit., par. 115).

La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Nel caso di specie il Comune nel corso dell’intera istruttoria non ha comprovato, in primo luogo, la data in cui l’informativa di primo livello è stata posta nel luogo dell’infrazione, avendo unicamente provveduto a fornire copia dei cartelli con l’informativa di primo livello (con file in formato JPG datati XX), senza tuttavia indicare la data di effettivo posizionamento degli stessi nel luogo dell’infrazione. Al riguardo, si rileva che dalla documentazione prodotta invece dall’interessato congiuntamente al reclamo, nonché dai fotogrammi di rilevamento dell’infrazione prodotti dal Comune (allegati alla nota del XX) non si evince alcuna cartellonistica posizionata in prossimità del sistema foto/video utilizzato ai fini del rilevamento della violazione al C.d.S. nei confronti del reclamante.  

Si evidenzia inoltre che la cartellonistica trasmessa dal Comune congiuntamente alla nota del XX, contenente l’informativa sul trattamento dei dati personali di primo livello, non risulta conforme ai requisiti previsti dal Regolamento (v. art. 13), in quanto:

- per quanto concerne le finalità del trattamento, è indicato che “il trattamento, sulla base della normativa vigente […] è eseguito dalla polizia Locale e dalle Forze dell’Ordine per fini di sicurezza urbana, tutela patrimonio comunale e pubblica, polizia giudiziaria, sicurezza stradale, controllo della mobilità e del traffico veicolare, esigenze e finalità di polizia o di giustizia”. A tal riguardo, si ricorda che nell’informativa devono essere indicate, in particolare, le specifiche finalità del trattamento effettivamente perseguite, al fine di rendere adeguatamente edotti gli interessati in relazione al trattamento effettuato. Nel caso di specie, invece, il Comune ha indicato una pluralità di finalità di trattamento in un unico cartello, sebbene le stesse siano perseguite mediante dispositivi video differenziati. Al riguardo, il Comune avrebbe quindi dovuto differenziare le informative fornite agli interessati in relazione ai due diversi sistemi, al fine di renderli adeguatamente edotti delle diverse finalità perseguite dai dispositivi in questione;

- viene indicato un generico periodo di conservazione delle immagini, essendo unicamente menzionato che “le immagini saranno conservate per un periodo di tempo non superiore a quello necessario agli scopi nei tempi previsti dalla legge”. Il medesimo periodo, generico, è menzionato altresì nell’informativa di secondo livello;

- non menziona compiutamente i diritti degli interessati e le modalità di esercizio degli stessi, essendo fatto unicamente riferimento agli artt. 11 – 15 del Regolamento, anziché gli artt. 15 e ss. del Regolamento. Non può condividersi, a tal riguardo, quanto rappresentato dal Comune in corso d’istruttoria rispetto al fatto che “l’informativa di secondo livello specifica i riferimenti necessari e coerenti con le norme del GDPR, mentre si fa riferimento, nella cartellonistica, all’art. 11 sui trattamenti che non richiede identificazione e poi al capo III del Regolamento […] in cui agli artt. dal 12 al 15 si indicano gli obblighi di trasparenza delle informazioni da fornire, anche con riferimento ai diritti degli interessati […] esplicitati […] nell’informativa di secondo livello” in quanto tali informazioni, in particolare le  modalità di esercizio dei diritti da parte degli interessati, si annoverano tra gli elementi più importanti di cui dare immediata contezza agli interessati sin dal primo livello di informazione.

Per quanto concerne, invece, l’informativa di “secondo livello” in relazione al trattamento effettuato mediante il predetto sistema di videosorveglianza, la stessa, da quanto inizialmente accertato dall’Autorità in data XX, non risultava facilmente reperibile sul sito web istituzionale del Comune. Si rappresenta infatti che, sul sito web istituzionale del Comune (https://www.comune.vasto.ch.it/it), sia nella sezione “Informativa Privacy” che nella parte inferiore della homepage del sito istituzionale, tramite la voce “Privacy” risultava reperibile, in primis, l’informativa relativa al trattamento dei dati personali concernente la navigazione del sito web istituzionale (https://www.comune.vasto.ch.it/it/privacy). La stessa sezione prevedeva inoltre che “Le informative sul trattamento dei dati personali possono essere consultate al link” rinviando, tramite apposito collegamento Informative Ai Sensi Degli Art. 13-14 Del Regolamento 2016/679 Gdpr (General Data Protection Regulation), ad un’ulteriore sezione del sito (https://drive.google.com/drive/folders/1QSyeS187E69ZLkpzpGpeP0tnAY5rmGZW), in cui erano presenti varie informative, tra cui quella relativa al Servizio di Polizia Municipale (https://drive.google.com/drive/folders/1QSyeS187E69ZLkpzpGpeP0tnAY5rmGZW), ma non era presente l’informativa concernente il trattamento dati mediante sistemi di videosorveglianza. Al riguardo, il QR code presente nell’informativa di primo livello trasmessa dal Comune con la nota del XX rinviava ad un’apposita sezione del sito web istituzionale, accessibile mediante il seguente percorso: sezione “Amministrazione” presente nella Home del sito web istituzionale, sotto-sezione “Documenti e dati”  e successiva sotto-sezione “Trattamento dati relativo al servizio di videosorveglianza”, URL https://www.comune.vasto.ch.it/it/documenti_pubblici/trattamento-dati-relativo-al-servizio-di-videosorveglianza (reperibile o scorrendo tra tutti i documenti della sotto sezione “Documenti e dati”, o digitando nella medesima sezione la parola “videosorveglianza”, o tramite esplorazione per categoria, sotto “Atto normativo”), in cui era possibile reperire, scaricandola, l’informativa videosorveglianza per il Comune di Vasto (URL https://municipium-images-production.s3-eu-west-1.amazonaws.com/s3/7686/allegati/informativa-videosorveglianza-vasto.pdf). 

Anche nella predetta informativa risultano indicate una pluralità di finalità del trattamento, essendo previste, tra l’altro, le finalità di “prevenire e reprimere atti delittuosi, attività illecite ed episodi di microcriminalità commessi sul territorio comunale, al fine di garantire maggiore sicurezza ai cittadini nell’ambito del più ampio concetto di “sicurezza urbana” […]; prevenzione di atti di vandalismo e danneggiamento degli immobili comunali; e di tutela e vigilanza ambientale, con la rilevazione delle infrazioni per il deposito e l’abbandono incontrollato di rifiuti;” oltre a quella di “vigilanza sulla sicurezza e sulla circolazione stradale, controllo della circolazione dei veicoli, ricostruzione, ove possibile, della dinamica di eventi stradali”. Nella stessa, inoltre, non veniva indicato il periodo di conservazione delle immagini rilevate a fini amministrativi, essendo previsto unicamente che “Le immagini per finalità di sicurezza urbana sono conservate per un tempo non superiore a 7 giorni, fatte salve esigenze ulteriori di conservazione nel caso in cui si debba aderire a specifiche richieste di Forze dell’Ordine o Autorità Giudiziarie. Le immagini vengono cancellate mediante sovrascrizione”.

Ciò posto, si rappresenta che il Comune, in corso d’istruttoria, non ha provveduto a effettuare gli opportuni adeguamenti risultando, come successivamente accertato dall’Autorità in data XX, ancora presenti sul sito web istituzionale le medesime informative – non idonee - reperibili mediante i medesimi percorsi sopra illustrati. Al riguardo, si evidenzia inoltre che, pur prendendosi atto di quanto rappresentato dal Comune in merito al fatti che, mediante l’inserimento nei motori di ricerca delle parole “Informativa videosorveglianza Vasto”, emerge, come risultato, il rinvio alla URL https://www.comune.vasto.ch.it/it/documenti_pubblici/trattamento-dati-relativo-al-servizio-di-videosorveglianza, tale modalità di ricerca non risulta tuttavia intuitiva per gli interessati come prima forma di ricerca, anche attesa la denominazione generica riferita a tutti i trattamenti di videosorveglianza e non unicamente al sistema di accertamento delle infrazioni al C.d.S.

Sotto un distinto ma connesso profilo, si rappresenta che il Comune ha trasmesso copia integrale del verbale notificato al reclamante, contenente una sezione “Altre informazioni utili” in cui, oltre a riferimenti non aggiornati in merito alla normativa sulla protezione dei dati personali (cfr. “art. 13, Decreto Legislativo 30 giugno 2003, n. 196”), non sono indicate le modalità di esercizio dei diritti riconosciuti agli interessati ai sensi degli articoli da 15 a 22 del Regolamento né dove è possibile reperire l’informativa estesa contenente gli ulteriori e completi elementi previsti dagli artt. 13 e 14 del Regolamento. Si rappresenta, inoltre, che nella medesima informativa sono fornite informazioni non corrette in merito, in particolare, al titolare del trattamento, essendo indicato che “Il titolare del trattamento nonché responsabile dello stesso è il dirigente pro-tempore dell’Ufficio di Polizia indicato nell’intestazione del presente verbale”. Al riguardo, il Comune ha dichiarato con la nota del XX che “nella modulistica allegata ai verbali, è presente apposita informativa sul trattamento dei dati personali, aggiornata, in forma sintetica e che rimanda alle informative complete sul sito del Comune […precisando] che, con l’affidamento della gestione del Servizio di verbalizzazione ad altra società, le informazioni sul trattamento dei dati personali risultano aggiornate rispetto a quelle inviate al […reclamante], senza tuttavia, provvedere a trasmettere all’Autorità, nel corso dell’istruttoria, evidenze documentali in relazione all’informativa aggiornata. 

Sul punto, si ricorda che, per quanto concerne, più in generale, le informazioni fornite agli interessati in merito ai trattamenti di dati personali connessi alle attività di competenza – nel caso di specie, il servizio di polizia locale - alla luce del richiamato principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato tutte le informazioni di cui agli artt. 13 (qualora i dati personali siano raccolti presso l'interessato) e 14 (qualora i dati personali non siano stati ottenuti presso l'interessato) del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12, par. 1, del Regolamento). Nel rendere all’interessato le informazioni finalizzate alla trasparenza, il titolare può adottare - anche in ambiente offline/non digitale - un approccio stratificato, al fine di “facilitare la fornitura delle informazioni”; in ogni caso, quale che sia il formato utilizzato in tale approccio stratificato, occorre che “il primo “strato” (in altre parole, la modalità principale con cui il titolare del trattamento si rivolge inizialmente all’interessato) trasmetta di regola le informazioni più importanti […], vale a dire le finalità del trattamento, l’identità del titolare e una descrizione dei diritti dell’interessato, oltre a informazioni sull’impatto più consistente del trattamento o informazioni sul trattamento che potrebbe cogliere di sorpresa l’interessato. […]” (cfr. “Linee guida sulla trasparenza ai sensi del regolamento 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 29 novembre 2017, come modificate e adottate in ultimo l’11 aprile 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, punto 38). In aggiunta, nel caso di titolari del trattamento che hanno una presenza digitale/online, “una “misura appropriata” per fornire informazioni finalizzate alla trasparenza è fornirle mediante una dichiarazione/informativa sulla privacy elettronica. In funzione delle circostanze della raccolta e del trattamento dei dati, il titolare del trattamento potrebbe tuttavia dover far uso di altre modalità e forme in aggiunta a detto metodo […]” combinando pertanto, in tale approccio stratificato, metodi distinti e garantendo, in ogni caso, “che le informazioni più importanti […] siano sempre trasmesse nella prima modalità usata per comunicare con l’interessato […]” (cfr. Linee guida, cit., punto 40 nonché, da ultimo, provv. del 27 marzo 2025, n. 165, doc. web n.  10201385).  

Per le ragioni sopraesposte, risulta accertato che il Comune ha omesso di fornire al reclamante, al momento dell’accertamento della violazione al C.d.S., un’informativa di primo livello in merito al trattamento di dati personali effettuato mediante il sistema foto/video in esame nonché  un’idonea informativa in merito ai trattamenti effettuati da parte della Polizia locale del Comune e, successivamente, ha omesso di fornire agli interessati un’idonea informativa di primo e secondo livello in relazione ai dispositivi foto/video in esame, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento.

3.2. Principio di minimizzazione

Il titolare del trattamento è tenuto, altresì, al rispetto degli ulteriori principi in materia di protezione dei dati personali tra cui quello di “minimizzazione” (art. 5, par. 1, lett. c) in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Sul punto già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010 (doc. web n. 1712680) prevedeva che “deve essere effettuata una ripresa del veicolo che non comprenda o, in via subordinata, mascheri, per quanto possibile, la porzione delle risultanze video/fotografiche riguardanti soggetti non coinvolti nell´accertamento amministrativo (es., pedoni, altri utenti della strada)”  e che “la visione della documentazione video-fotografica deve essere resa disponibile a richiesta del destinatario del verbale; al momento dell´accesso, dovranno essere opportunamente oscurati o resi comunque non riconoscibili i passeggeri presenti a bordo del veicolo” (punto 5.3.1).

Al riguardo, si evidenzia che anche il D.M. 11 aprile 2024, concernente le “Modalità di collocazione e uso dei dispositivi o mezzi tecnici di controllo, finalizzati al rilevamento a distanza delle violazioni delle norme di comportamento di cui all'art. 142 del decreto-legge 285 del 1992”, prevede che “allo scopo di consentire all'intestatario del veicolo che, ai sensi dell'art. 25 della legge 7 agosto 1990, n. 241, abbia legittimo interesse di conoscere l'effettivo autore della violazione e di ottenere dalla competente autorita' ogni elemento utile al riguardo, la visione della documentazione fotografica o del video deve essere resa disponibile a richiesta del destinatario del verbale, nel rispetto delle norme sull'accesso ai dati personali trattati. Al momento dell'accesso, dovranno essere, in ogni caso, opportunamente oscurati o resi comunque non riconoscibili tutti i soggetti e le targhe di eventuali altri veicoli ripresi nei fotogrammi” (allegato B, punto 1.5.4). Tale misura risulta raccomandabile anche per i dispositivi video finalizzati ad accertare anche le altre violazioni al C.d.S.

Con riferimento al caso di specie, il Comune, sebbene abbia dichiarato che “il dispositivo utilizzato […] riprende esclusivamente la targa del veicolo oggetto della infrazione […con] un totale oscuramento del parabrezza e del lunotto del veicolo e comunque una irriconoscibilità del conducente o di eventuali passeggeri […e delle] autovetture non soggette alle infrazioni, delle quali si provvede ad oscurare anche la targa”, ha rappresentato, tuttavia, che “nel caso del […reclamante], si è effettivamente verificato un problema relativo al mancato oscuramento delle immagini di altri veicoli coinvolti nelle riprese […posto che] che le immagini fornite agli interessati vengono oscurate di tutto quanto non necessario ai fini della procedura di accertamento e contestazione dell’infrazione” ma che, nella fattispecie in esame, “si è trattato di un errore meramente tecnico, occasionale, lieve e privo di dolo e non di un problema di natura informatica o di operatività del sistema utilizzato dall’Ente”. Dalla documentazione in atti, prodotta dall’interessato congiuntamente al reclamo, risultano infatti non oscurate, in particolare, ulteriori targhe rispetto a quella del reclamante.

Alla luce delle considerazioni che precedono, risulta pertanto accertato che il Comune, stante il mancato oscuramento delle immagini nell’ambito dell’accertamento effettuato nei confronti del reclamante, ha agito in violazione del principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del Regolamento.

3.3. La valutazione d’impatto

In caso di rischi elevati per gli interessati - derivanti, ad esempio, dall’utilizzo di nuove tecnologie - il titolare del trattamento deve effettuare una valutazione d’impatto sulla protezione dei dati, al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento). La valutazione d’impatto sulla protezione dei dati è sempre dovuta nel caso in cui il trattamento comporti “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico” (v. art. 35, par. 3, lett. c), del Regolamento) e deve essere effettuata da parte del titolare prima di procedere al trattamento (art. 35, par. 1, del Regolamento). 

Dalla documentazione in atti prodotta in corso d’istruttoria, risulta che il Comune ha provveduto a redigere la valutazione d’impatto sulla protezione dei dati solo successivamente all’avvio del trattamento dei dati personali, in violazione dell’art. 35 del Regolamento. 

Con riferimento alla fattispecie in esame, il Comune ha provveduto infatti a trasmettere una valutazione di impatto sulla protezione dei dati approvata da parte della Giunta Comunale solo in data XX (cfr. “VERBALE DI DELIBERAZIONE DELLA GIUNTA COMUNALE N. 250 DEL XX”, allegato alla nota del XX). La predetta valutazione è priva di data certa, non essendo stata sottoscritta, e, inoltre, risulta priva del parere del Responsabile della protezione dati (artt. 37 e 39, par. 1, lett. a), e c), e par. 2 del Regolamento). In ogni caso, si rappresenta che, essendo stata la violazione al C.d.S. del reclamante rilevata nel mese di XX mediante il sistema foto/video già in funzione, la valutazione d’impatto risulta comunque essere stata effettuata in un periodo successivo all’avvio del trattamento. 

Si evidenzia infine che, pur prendendo atto di quanto rappresentato dal Comune in merito al fatto che “si è provveduto a fare un documento unico, riferito ai dispositivi inseriti nel sistema di videosorveglianza cittadino […esaminando] un insieme di trattamenti simili che presentano rischi elevati analoghi, ai sensi anche dell’art. 35, comma 1 del GDPR”, ciò non implica uno svolgimento generico della relativa valutazione per quanto concerne i distinti trattamenti effettuati, dovendosi invece fornire elementi puntuali al fine di un’effettiva analisi dei relativi rischi. A tal riguardo si rileva, ad esempio, che nella citata valutazione d’impatto è meramente previsto che, con riferimento ai tempi di conservazione dei dati per finalità di accertamento delle violazioni al C.d.S.  “I dispositivi legati all’accertamento sanzionatorio del Codice della Strada, di cui alle legge 689/81 e il D.lgs.285/1992, conserveranno i dati per il tempo necessario all’accertamento stesso e alle eventuali procedure di difesa e opposizione sanzionatoria, nel rispetto delle tempistiche normative”.

In ragione delle considerazioni che precedono, risulta pertanto accertata la violazione da parte del Comune dell’art. 35 del Regolamento che obbliga i titolari a svolgere la valutazione di impatto completa di tutti gli elementi e prima di dare inizio al trattamento, anche considerando che tale strumento è idoneo a comprovare la responsabilizzazione (accountability) del titolare nei confronti del trattamento effettuato.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a) e c), 12, par. 1, 13 e 35 del Regolamento.

La violazione delle predette disposizioni rende applicabili le sanzioni amministrative previste dall’art. 83, parr. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento)

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Alla luce di quanto evidenziato nel precedente par. 3.2, le informative di primo e di secondo livello, con riferimento ai trattamenti in esame, non risultano tuttora adeguate; inoltre, l'informativa di secondo livello non risulta essere facilmente reperibile dagli interessati.

Peranto, si rende altresì necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere al Comune di adottare misure idonee a provvedere a:

1) fornire agli interessati un’idonea informativa di primo livello, merito ai trattamenti effettivamente svolti mediante i dispositivi oggetto della presente istruttoria e a rendere l’informativa di secondo livello facilmente reperibile e accessibile da parte degli interessati sul proprio sito web istituzionale, provvedendo a pubblicare un’idonea informativa di secondo livello in merito al trattamento dei dati personali mediante il sistema di videosorveglianza ai fini dell’accertamento delle violazioni al Nuovo Codice della Strada;

2) adeguare la valutazione di impatto sulla protezione dei dati personali, declinando in maniera più puntuale le specifiche caratteristiche per i singoli trattamenti oggetto di analisi (es. tempi di conservazione differenziati in relazione allo specifico trattamento, ecc.).

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte del Comune ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria (stesso trattamento o trattamenti tra loro collegati, in quanto inerenti al medesimo sistema foto/video), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 12 e 13 del Regolamento, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che il Comune, in particolare, non ha provveduto a fornire un’informativa adeguata agli interessati in merito ai trattamenti di dati personali effettuati mediante il sistema di rilevazione implementato, non ha effettuato una tempestiva valutazione d’impatto in relazione al predetto sistema e ha utilizzato, per quanto concerne l’accertamento nei confronti del reclamante, il sistema foto/video in questione senza l’adozione di adeguate misure di minimizzazione dei dati raccolti. 

Deve, inoltre, considerarsi:

- il carattere colposo della violazione (art. 83, par. 2, lett. b) del Regolamento);

- che i trattamenti in questione non sono relativi a categorie particolari di dati (art. 83, par. 2, lett. g).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole, che il titolare del trattamento è un Comune di modeste dimensioni e che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento). Deve tuttavia considerarsi, in senso sfavorevole al Comune, lo scarso grado di cooperazione manifestato dal titolare con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 5.000,00 (cinquemila/00) per la violazione degli artt. 5, par. 1, lett. a) e c), 12, par. 1, 13 e 35 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. 

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. 

Ciò in considerazione delle specifiche circostanze del caso concreto riguardanti, in particolare, il mancato rispetto da parte del Comune del principio di trasparenza, di cui all’art. 5, par. 1, lett. a) del Regolamento, non avendo provveduto a fornire un’informativa adeguata agli interessati e di minimizzazione, di cui all’art. 5, par. 1, lett. c), del Regolamento, non avendo provveduto, con riferimento all’accertamento effettuato nei confronti del reclamante, ad adottare misure volte a garantire l’adeguato oscuramento di soggetti e/o informazioni estranei all’infrazione rilevata.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Vasto nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e c), 12, par. 1, 13 e 35 del Regolamento;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Vasto, con sede legale in Piazza Barbacani 2 - 66054 Vasto (CH), C.F. 83000690699, di pagare la somma di euro 5.000,00 (cinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Vasto:

- di pagare la somma di euro 5.000,00 (cinquemila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare le misure idonee a  (i) fornire agli interessati un’idonea informativa di primo livello, merito ai trattamenti effettivamente svolti mediante i dispositivi oggetto della presente istruttoria e a rendere l’informativa di secondo livello facilmente reperibile e accessibile da parte degli interessati sul proprio sito web istituzionale, provvedendo a pubblicare un’idonea informativa di secondo livello in merito al trattamento dei dati personali mediante il sistema di videosorveglianza ai fini dell’accertamento delle violazioni al Nuovo Codice della Strada, nonché (ii) adeguare la valutazione di impatto sulla protezione dei dati personali, , declinando in maniera più puntuale le specifiche caratteristiche per i singoli trattamenti oggetto di analisi (es. tempi di conservazione differenziati in relazione allo specifico trattamento, ecc.);

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali. 

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 18 giugno 2026 

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori