[doc. web n. 10164311]

Provvedimento del 4 agosto 2025*
*In pendenza del giudizio di opposizione contro il provvedimento non è applicata la sanzione accessoria della pubblicazione dell’ordinanza ingiunzione

Registro dei provvedimenti
n. 468 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali (di seguito, “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’attività istruttoria avviata dall’Autorità.

1.1. A seguito della pubblicazione di diverse notizie stampa, nonché di alcune segnalazioni, l’Autorità ha avviato d’ufficio un’istruttoria in merito al progetto di attuazione del Regolamento del Comune di Venezia, approvato con deliberazione del Consiglio Comunale n. 11 del 26 febbraio 2019 (di seguito, “Regolamento n. 11/2019”), volto a disciplinare il contributo d’accesso alla città di Venezia e alle isole minori della laguna, istituito dall’art. 1, comma 1129, della legge 30 dicembre 2018, n. 145 e dall’art. 4 comma 3-bis del d.lgs. 14 marzo 2011, n. 23, in via alternativa all’imposta di soggiorno di cui all’art. 4, comma 1 del citato decreto legislativo n. 13/2011 (di seguito, “contributo”).

L’art. 4, comma 3-bis, del decreto legislativo 14 marzo 2011, n. 23, individua le categorie di soggetti esclusi dal pagamento del contributo (ossia “i soggetti residenti nel comune, i lavoratori, gli studenti pendolari, i componenti dei nuclei familiari dei soggetti che risultino aver pagato l'imposta municipale propria nel medesimo comune e che sono parificati ai residenti”), rimettendo al Regolamento comunale la determinazione delle modalità applicative del contributo, nonché l’individuazione di eventuali esenzioni e riduzioni per particolari fattispecie o per determinati periodi di tempo.

Il predetto Regolamento comunale n. 11/2019 ha individuato le categorie di soggetti esclusi (art. 4) e dei soggetti esenti (art. 5), tenuti a dimostrare la sussistenza dei presupposti per l’esclusione o l’esenzione dal pagamento del contributo “mediante apposita autocertificazione, certificazione o dichiarazione propria o da parte di terzi soggetti, secondo le modalità operative stabilite con deliberazione della Giunta Comunale”. Tra le numerose categorie di soggetti esenti, tale Regolamento ha incluso i nati nel Comune, i residenti nella Città metropolitana o nella Regione Veneto, i locatari di un immobile sito nel territorio comunale e i componenti del loro nucleo anagrafico, i soggetti che si rechino in visita a persone residenti nella Città antica o nelle isole minori, chi soggiorna nelle strutture ricettive e paga la tassa di soggiorno, i soggetti affetti da disabilità, i soggetti che accedono per effettuare visite o terapie mediche, coloro che assistono degenti presso strutture sanitarie, i volontari in servizio in occasione di eventi, manifestazioni o in caso di emergenze, i partecipanti a manifestazioni organizzate o patrocinate dal Comune, il coniuge, il soggetto unito civilmente, il convivente, i parenti o affini fino al terzo grado di soggetti detenuti che si rechino in visita nelle case di reclusione o circondariale, le parti processuali, i testimoni e i soggetti convocati per ragioni di giustizia, etc.

1.2. L’Autorità, al fine di acquisire elementi istruttori in merito alle modalità con cui il Comune avrebbe inteso disciplinare il trattamento dei dati personali dei soggetti esenti/esclusi dal pagamento, ha quindi formulato richieste di informazioni al Comune (cfr. note del 13/9/2022 e del 24/3/2023), in riscontro alle quali il predetto Ente, con le note del 24/10/2022 e del 13/4/2023, ha rappresentato, in sintesi, che in base all’art. 1, comma 1129, della legge 30 dicembre 2018, n. 145, “Il Comune di Venezia è autorizzato ad applicare, per l’accesso, con o senza vettore, alla Città antica e alle altre isole minori della laguna, il contributo di cui all’articolo 4, comma 3-bis, del decreto legislativo 14 marzo 2011, n. 23, alternativamente all’imposta di soggiorno di cui al comma 1 del medesimo articolo, entrambi fino all’importo massimo di cui all’articolo 14, comma 16, lettera e), del decreto-legge 31 maggio 2010, n.78, convertito, con modificazioni, dalla legge 30 luglio 2010, n.122”. Il contributo per l’accesso ha, pertanto, natura tributaria e il connesso trattamento dei dati personali rientra nell’esecuzione di un compito di interesse pubblico ai sensi dell’art. 6, comma 1, lett. e), del Regolamento.

Con riguardo alle modalità di attuazione del predetto Regolamento comunale, il Comune ha rappresentato, in particolare, che i dati relativi al titolo di esclusione/esenzione sarebbero stati forniti dagli interessati attraverso un sistema informatico (non collegato con ulteriori banche dati e/o strumentazioni) “fornendo le informazioni minime, strettamente necessarie ad un controllo da parte dell’amministrazione comunale” a valle del quale l’interessato avrebbe ottenuto un QR-code; tali informazioni sarebbero state finalizzate alla verifica della sussistenza delle motivazioni a fondamento dell’esclusione/esenzione.

Nel caso di attivazione di un controllo nei confronti dell’interessato, l’agente accertatore si sarebbe limitato a verificare il possesso e la validità del QR-code e, laddove necessario, la corrispondenza dei dati personali dichiarati al momento dell’acquisizione del titolo con i dati indicati nel documento di identità. Il sistema informatico avrebbe tracciato il fatto storico dell’avvenuto controllo su quello specifico QR-code, mentre le attività di verifica circa la veridicità e correttezza di quanto dichiarato in sede di acquisizione del QR-code, sarebbero state condotte, in una fase successiva di accertamento, presso gli uffici di back office (ufficio tributi). I dati non oggetto di controllo contestuale sul territorio sarebbero stati invece automaticamente rimossi dal sistema informatico alle ore 24 dell’ultimo giorno di validità del titolo.

Inoltre, il Comune ha precisato che, contrariamente a quanto emerso sulla stampa, in nessuna delle fasi relative all’acquisizione del titolo di esclusione/esenzione e al processo di acquisizione del titolo di pagamento, si sarebbe fatto ricorso alla c.d. “Smart Control Room”.

Con riguardo al trattamento di informazioni particolarmente delicate legate a specifiche tipologie di esenzione (che hanno costituito oggetto di approfondimento nell’ambito di una prima interlocuzione con l’Ufficio), il Comune ha precisato che i dati personali dei soggetti disabili o di coloro che si recano nella città di Venezia per motivi di cura saranno aggregati “in una unica categoria generica “Altre esenzioni”, senza diretti riferimenti alla condizione personale o relazionale interessata”.

Nel corso dell’istruttoria, anche a seguito delle interlocuzioni con l’Autorità, il Comune ha quindi modificato le modalità di pre-registrazione sul Portale, dapprima introducendo e, successivamente, ampliando in maniera significativa la categoria denominata “Altre esenzioni”, nell’ambito della quale sono progressivamente confluiti la maggior parte dei casi di esenzione -  inizialmente selezionabili singolarmente dall’utente ai fini dell’acquisizione del QR-code – nell’ottica di minimizzare l’acquisizione preventiva di informazioni sui motivi di esenzione.

Per quanto attiene al trattamento dei dati dei soggetti residenti e degli ospiti da questi invitati, il Comune ha dichiarato che “si intende consentire un procedimento che preveda la richiesta di esenzione da parte del soggetto residente, che indicherà i dati del soggetto che accede al fine di ottenere l’esenzione”. Al riguardo, “il sistema non consentirà l’associazione tra richiedente e beneficiario dell’esenzione, escludendo in maniera nativa qualsiasi registrazione della correlazione richiedente/beneficiario” tracciando solo con riguardo al richiedente “il numero di esenzioni richieste esclusivamente al fine di stabilire soglie statistiche per l’eventuale attivazione di controlli di secondo livello” essendo “in corso gli approfondimenti tecnici tesi a garantire tale segregazione in ogni fase del processo”. I dati del soggetto ospitato “verranno tracciati esclusivamente al fine del rilascio del titolo di esenzione e verranno anonimizzati alle ore 24 dell’ultimo giorno di validità del titolo. Non sarà prevista per tali soggetti alcuna forma di controllo d’ufficio né preventiva né successiva” (nota del 24/10/2022 citata).

1.3. A valle della predetta attività istruttoria preliminare, nonché dell’esito di una consultazione pubblica, il Comune ha comunicato all’Autorità di aver avviato le procedure per l’introduzione del contributo di accesso alla città antica del Comune di Venezia, la cui applicazione è stata prevista, in via sperimentale, da aprile  a luglio 2024, in vista dell’eventuale implementazione a regime per gli anni futuri (nota del 12/01/2024). Pertanto, il nuovo “Regolamento per l’istituzione e la disciplina del contributo di accesso, con o senza vettore, alla Città antica del Comune di Venezia e alle altre isole minori della laguna” (di seguito, “Regolamento comunale”) è stato approvato con deliberazione del Consiglio comunale n. 51 del 12/9/2023, e successivamente modificato con deliberazione n. 71 del 21 dicembre 2023, mentre con deliberazione di Giunta n. 313 del 29 dicembre 2023, sono state approvate le modalità operative per la richiesta di esenzione/esclusione dal pagamento (artt. 4 e 5), nonché quelle relative al sistema di vendita di cui all’art. 6 del predetto Regolamento. Inoltre, dal 16 gennaio 2024 è divenuto operativo il portale, raggiungibile all’indirizzo http://cda.ve.it (“Portale”), utilizzato per la prenotazione e il pagamento del contributo di accesso al Comune di Venezia per le date individuate per l’anno 2024.

Nella valutazione d’impatto trasmessa, su richiesta dell’Ufficio, con nota del 17/1/2024, il Comune ha descritto i trattamenti relativi alle diverse fasi dei controlli previsti in merito al possesso dell’eventuale titolo di esenzione/esclusione dal pagamento del contributo d’accesso, distinti in tre categorie:

controlli preventivi: volti all’accertamento dei titoli di esclusione/esenzione di natura duratura, riferibili, ad esempio, a lavoratori con sede di lavoro stabile nel territorio, rispetto ai quali può essere condotta una verifica presso il datore o presso altre istituzioni pubbliche;

controlli contestuali: finalizzati a verificare, sul territorio, che i soggetti sottoposti al controllo siano in possesso di un titolo di pagamento ovvero un titolo di esclusione/esenzione dal pagamento del contributo per l’accesso, mediante la verifica della validità del QR-code. Tali controlli sono effettuati da agenti di polizia locale e addetti appositamente nominati;

controlli successivi: attivati solo a seguito di un eventuale controllo contestuale. In tal caso, il sistema conserva i dati e consente agli operatori di back office di verificare la sussistenza delle motivazioni dichiarate all’atto dell’acquisizione del titolo di esclusione/esenzione. Questa attività sarà effettuata da personale di back office comunale che avrà accesso ai soli dati dei soggetti sottoposti al controllo contestuale.

Quanto ai tempi di conservazione dei dati acquisiti tramite la pre-registrazione sul Portale e riferiti a soggetti non sottoposti al c.d. controllo contestuale, è stata prevista l’anonimizzazione degli stessi alle ore 24 dell’ultimo giorno di validità del titolo di esclusione/esenzione, mentre i dati dei soggetti sottoposti al c.d. controllo contestuale vengono anonimizzati (rimuovendo i dati identificativi e conservando solo l’informazione relativa alla tipologia di esenzione e alla data) al più tardi alle ore 24 del 31 dicembre del 5° anno successivo alla verifica (termine previsto dall’art. 1, comma 164, della legge 27 dicembre 2006, n. 296 per l’avviso di accertamento per mancato pagamento del contributo).

Nella valutazione d’impatto è stato inoltre specificato che per i soggetti che si rechino in visita a persone residenti nella città antica o nelle isole minori, la richiesta di esenzione viene perfezionata attraverso l’acquisizione sul Portale, da parte del soggetto residente, di un codice alfanumerico anonimo da inoltrare al visitante, che dovrà in un secondo momento, con procedura separata, attivare il relativo ticket (QR-code), con conseguente “separazione nativa della correlazione tra i due soggetti (invitante ed invitato)”. I dati degli invitati vengono anonimizzati alle ore 24 dell’ultimo giorno di validità del titolo, mentre con riguardo ai residenti invitanti ”verranno conservati, sotto forma aggregata del numero di soggetti invitati, solo i dati che superano determinati parametri individuati come indicativi per prevenire fenomeni di utilizzo improprio”; i dati di tali soggetti “non saranno visibili dagli operatori di back office. Il solo dato del nome e cognome del soggetto invitato sarà visibile al personale addetto ai controlli al fine di verificare la riferibilità del titolo di esenzione alla persona che lo espone” (cfr. nota del 19/1/2024).

1.4. A seguito dell’avvio della fase di prima sperimentazione di applicazione del contributo (avvenuta in data 25 aprile 2024), l’Ufficio ha formulato una ulteriore richiesta di informazioni volta ad acquisire aggiornamenti in merito agli esiti della predetta sperimentazione.

In riscontro alla predetta richiesta, il Comune ha precisato (con nota 20/5/2024), in particolare, di non aver potuto individuare ulteriori categorie di interessati da includere, ai fini della registrazione sul Portale, nella categoria residuale delle “Altre esenzioni”, rappresentando, altresì, di aver condotto ulteriori valutazioni riguardo alle seguenti categorie di soggetti esclusi/esenti con riferimento alla possibilità, in alternativa alla pre-registrazione, di esibizione ai controllori di un documento comprovante lo status legittimante la richiesta di esclusione/esenzione. A tal riguardo, il Comune di Venezia ha dichiarato di aver:

a) mantenuto la necessità di pre-registrazione sul Portale per i lavoratori; per i soggetti accedenti per visite mediche/terapie; per accompagnare o assistere degenti presso strutture sanitarie; per amministratori pubblici e autorità pubbliche; per i soggetti in visita presso le case circondariali, parti processuali e persone convocate per ragioni di giustizia; per i partecipanti a consultazioni elettorali o referendarie (con obbligo del solo inserimento dei dati anagrafici e della giornata di accesso); per i soggetti e componenti di nuclei familiari di soggetti che hanno pagato l’IMU nel Comune di Venezia (in quanto non è stato individuato un documento idoneo a comprovare tale condizione, nonché considerato che la banca dati IMU non è aggiornata in tempo reale); per il coniuge, unito civilmente, convivente, parente o affine entro il 3° grado di soggetto residente, o di un defunto per la partecipazione a funerale, in considerazione del fatto che è stata ritenuta gravosa la circolazione con un certificato cartaceo che dimostrasse tale condizione; per i dimoranti iscritti nello schedario della popolazione temporanea (rispetto ai quali è in corso di modifica il sistema per prevedere la possibilità di dimostrare la propria condizione anche mediante esibizione della lettera con la quale viene accolta la richiesta di iscrizione); per i soggetti residenti nella Città metropolitana di Venezia o in Regione Veneto; per i locatari e componenti del loro nucleo familiare anagrafico di immobile nel Comune di Venezia con contratto di locazione abitativa ad uso non turistico, non essendoci documento ostensibile ad un controllo attestante tale status; per gli studenti delle scuole superiori in viaggio o visite di istruzione (con la possibilità di indicare il solo numero di studenti senza l’obbligo di inserimento dei nominativi);

b) eliminato la pre-registrazione sul Portale con riferimento alle seguenti categorie di interessati: personale delle forze armate, forze dell’ordine, vigili del fuoco accedenti per motivi di servizio; volontari e/o partecipanti a manifestazioni individuate con deliberazione di Giunta;

c) attivato la possibilità di evitare la pre-registrazione per i soggetti soggiornanti nelle strutture ricettive nel caso di pernottamento in una struttura che abbia sottoscritto una convenzione con il Comune per la consegna diretta da parte della struttura del relativo voucher;

d) previsto la possibilità, per i soggetti affetti da disabilità certificata e relativo accompagnatore, di dimostrare tale condizione mediante esibizione della carta europea della disabilità (dunque senza pre-registrazione);

e) riconosciuta l’esclusione a tutti gli studenti iscritti ad istituti aventi una sede operativa in Venezia (e non ai soli frequentanti corsi tenuti presso sedi operative in Venezia), al fine di consentire a chi è in possesso di una tessera rilasciata dall’istituto (es. tessera universitaria) di provare la propria condizione mediante esibizione di tale documento.

Con riguardo alla casistica suesposta, il Comune ha altresì rappresentato che “le soluzioni tese a raccogliere documentazione in loco” – in alternativa alla pre-registrazione – “avrebbero il pregio di minimizzare la raccolta dei dati all’origine”, ma comporterebbero una maggiore e più invasiva attività di “controllo contestuale”, posto che il soggetto controllato dovrebbe rendere sul posto una serie di dati, informazioni e documenti alquanto eterogenei, dedicando a tale attività un tempo significativo, con evidente maggiore limitazione per la libertà di circolazione e un aggravio significativo dell’attività amministrativa di controllo in loco.

1.5. Nel corso della sopra descritta istruttoria, è pervenuta all’Autorità, in data 15/7/2024, una segnalazione nella quale è stata lamentata la presunta violazione della disciplina in materia di protezione dei dati personali in relazione alle modalità con le quali gli utenti potevano registrarsi al Portale utilizzando i c.d. “totem” installati su determinati punti del territorio, per ottenere il QR-code per l’accesso alla città. L’Autorità, tramite il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, ha quindi effettuato un accertamento ispettivo in data 6/8/2024 al fine di acquisire elementi in merito a quanto segnalato, all’esito del quale - anche alla luce della documentazione fornita dal Comune a scioglimento delle riserve assunte in tale occasione (nota del 2/9/2024) - è emerso che:

sono stati installati totem volti a consentire agli utenti l’accesso alla pagina https://cda.comune.venezia.it/it/richiesta/esenzione, ed eventualmente da questa pagina al sito dei pagamenti (https://cda.veneziaunica.it/);

i totem sono stati in funzione nei giorni e negli orari di applicazione sperimentale del contributo di accesso (dal 25.04.2024 al 05.05.2024, i giorni 11-12.05.2024, 18-19.05.2024, 25-26.05.2024, 8-9.06.2024, 15-16.06.2024, 22-23.06.2024, 29-30.06.2024, 6-7.07.2024, 13-14.07.2024, dalle ore 8.30 alle ore 16.00 di ciascun giorno di applicazione). Dalla conclusione del periodo sperimentale di applicazione (ore 16 del giorno 14.07.2024) i totem non sono più operativi;

le impostazioni dei totem non prevedevano la conservazione di dati personali all’interno degli stessi e i moduli online venivano compilati all’interno del Portale, senza che i relativi dati permanessero localmente nel totem;

nella configurazione del browser era stata disattivata la possibilità di memorizzazione dei dati e l’auto-compilazione dei campi, ed era stato attivato il processo di cancellazione completa di qualsiasi dato alla chiusura del browser al termine della giornata;

i dati venivano compilati all’interno del Portale e non permanevano localmente nel totem. Il sito di esenzione https://cda.ve.it/it/ consentiva, al termine del processo, di stampare il QR-code ovvero di effettuare il download;

qualora un soggetto avesse inavvertitamente attivato la funzione download, il modulo sarebbe rimasto in memoria volatile fino al successivo riavvio del totem. In ogni caso il pdf del QR-code conteneva solo le iniziali del nome e cognome del soggetto e il giorno di validità, senza altri dati e/o riferimenti alla tipologia di esenzione.

1.6. Sulla base degli elementi acquisiti, l’Ufficio ha notificato al Comune, con nota del 18/10/2024, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, contestando la violazione dei principi di necessità e di proporzionalità, di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, di limitazione della conservazione, nonché di privacy by design e privacy by default (artt. 5, par. 1, lett. a), b), c), e) ed f), e 6, parr. 1, lett. e), e 3, nonché 25 del Regolamento), con particolare riguardo alla pre-registrazione sul Portale della gran parte delle categorie di soggetti esclusi/esenti dal pagamento (prevista anche con largo anticipo rispetto alla data di accesso nel Comune) e al conseguente trattamento dei numerosi dati personali richiesti, oltre alla violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, con riferimento alle impostazioni dei totem. L’Ufficio ha quindi invitato il Comune a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).

Il Comune, con nota del 15/11/2024, ha trasmesso le proprie memorie difensive e ha successivamente modificato il Regolamento comunale con deliberazione del consiglio comunale n. 77 del 19/12/2024. Nell’ambito delle predette memorie, ritenendo non condivisibile la contestata violazione del principio di proporzionalità dei dati rispetto alle finalità perseguite, “considerato che l’Amministrazione - all’esito di una complessa attività di progettazione del trattamento – ha raccolto solo le informazioni strettamente indispensabili, differenziandole a seconda delle peculiarità della singola causa di esclusione/esenzione”, il Comune ha evidenziato che “l’odierna procedura non costringe gli utenti a portare con sé e a fornire ai controllori documentazione cartacea o a comunicare verbalmente il motivo di esclusione/esenzione”, precisando, in particolare, che:

- solo per sei categorie è prevista la registrazione (lavoratori; proprietari IMU; residenti nella Città metropolitana; residenti in Veneto; locatari e componenti del relativo nucleo familiare; coniuge e parenti fino al terzo grado) e di queste, solo due (residenti in Città Metropolitana e residenti in Veneto) devono indicare il giorno di accesso;

- con riguardo alle categorie di soggetti esenti/esclusi per ragioni “occasionali” è mantenuto l’obbligo di pre-registrazione e di indicazione del giorno di accesso; per sette categorie su dieci non si conosce il motivo dell’accesso; per i lavoratori occasionali vengono acquisiti solo i dati anagrafici, per i partecipanti ad un funerale vengono acquisiti i soli dati del defunto, mentre per gli ospiti delle strutture ricettive è stata prevista un’ulteriore minimizzazione, escludendo la necessità di procedere con la pre-registrazione qualora la struttura ricettiva si convenzioni con il Comune;

- per i partecipanti a competizioni sportive e per studentesse e studenti delle scuole secondarie superiori in viaggio o visita di istruzione, è stata prevista una registrazione non nominativa. In particolare, “può essere sufficiente la sola registrazione del referente e del numero di soggetti partecipanti alla competizione o alla gita”;

- per il futuro, procederà con appositi atti in corso di istruttoria a esonerare i residenti nella Regione del Veneto dall’obbligo di prenotazione;

- con riguardo alla registrazione nella categoria “Altre esenzioni”, il richiedente il QR-code in fase di registrazione non fornisce informazioni o dati relativi a stato di salute, vicende giudiziarie, condanne penali o reati dell’interessato o dei familiari;

- con riguardo ai tempi di conservazione, “la decisione di attivare il sito https://cda.ve.it già dalla data del 16 gennaio 2024, nonostante l’anzidetta sperimentazione avesse inizio dalla data del 25 aprile 2024” discende dal fatto che molti viaggiatori intercontinentali programmano la propria permanenza a Venezia con congruo anticipo;

- con riferimento all’associazione tra i dati del residente/invitante e quelli dell’ospite/invitato (beneficiario dell’esenzione), il processo si compone “di due momenti asincroni e non correlabili”: per ottenere il c.d. “Codice Amico”, il residente accede al Portale autenticandosi con SPID/CIE/CNS, fornendo i propri dati e il numero di invitati (max 10). Successivamente, il sistema genera e mostra a video il Codice Amico che viene comunicato in forma libera dal residente all’invitato, il quale è poi tenuto ad inserirlo sul Portale in fase di pre-registrazione, unitamente ai propri dati personali dati personali (nome, cognome, data e luogo di nascita, mail, residenza), per ottenere il codice di esenzione. L’avvenuta registrazione di ciascun invitato viene conteggiata nel numero massimo di dieci ospiti associabili al Codice Amico, asseritamente senza alcun altro tipo di associazione fra il residente stesso e i suoi invitati;

- per quanto attiene, infine, alle impostazioni dei totem, a seguito dell’ispezione condotta dall’Autorità tramite il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza è emerso che “I campi in auto compilazione si sarebbero potuti vedere solo nel caso in cui un utente precedente avesse modificato volontariamente le impostazioni del browser”. Tuttavia, “per quanto l’Autorità abbia rilevato l’esistenza di tale malfunzionamento, al contempo ha evidenziato che sul pdf [del modulo riportante il QR-code, oggetto di download] erano presenti solo le iniziali del nome e cognome e la data. Pertanto, appare evidente come le suddette informazioni non sarebbero state idonee a consentire l'identificazione, anche indiretta, dell’utente cui appartenevano, non ravvisandosi, di conseguenza, alcuna diffusione di dati personali”. Il sistema è stato in ogni caso “dismesso nella data del 14 luglio 2024”.

Successivamente, nel corso dell’audizione del 7 aprile 2025, fissata ai sensi dell’art. 166, comma 6, del Codice, il Comune ha fornito ulteriori e nuovi elementi istruttori, rappresentando in particolare che il contributo non è mai stato utilizzato per la pianificazione dei servizi pubblici, essendo esclusivamente legato alla gestione degli accessi di natura turistica, e che anche la registrazione delle categorie di soggetti esenti/esclusi risponde unicamente a finalità di carattere tributario. Ha quindi precisato che:

- è stato previsto un totale disaccoppiamento tra il “codice amico” (che viene trasmesso dai residenti ai loro ospiti) e l’uso che i destinatari del codice fanno del voucher generato; il sistema non consente di dimostrare che i codici emessi siano imputabili ad un determinato soggetto residente;

- per quanto riguarda i totem, nel browser del thin client era stata disabilitata, come impostazione predefinita, la modalità di completamento automatico delle informazioni inserite in fase di pre-registrazione; tuttavia, si è verificato il caso di un utente che, accedendo alle impostazioni di default del browser presente su un totem, ha attivato la funzione di auto-completamento che ha permesso di visualizzare alcuni dati già inseriti nel totem stesso. Si è trattato, comunque, di un caso isolato di cui il Comune è venuto a conoscenza nel corso dell’ispezione;

- tra le categorie di soggetti che saranno tenuti a pre-registrarsi per ottenere un QR-code di durata, vi sono i lavoratori stabili, i proprietari di immobili soggetti ad IMU e i componenti del nucleo familiare; i locatari, gli assegnatari di alloggi di servizio e i componenti del nucleo familiare; il coniuge e i parenti entro il terzo grado dei residenti; i parenti entro il primo grado dei proprietari di immobili siti nel Comune, benché non residenti;

- diversamente, non sono più tenuti alla pre-registrazione i residenti a Venezia, i nati nel Comune di Venezia, i dimoranti temporanei, i soggetti muniti di disability card, gli studenti, le forze dell’ordine. Dal 2025, non sono tenuti alla pre-registrazione anche i residenti nella Regione Veneto. Tutte le predette categorie sono in possesso di un documento ufficiale da poter esibire in caso di controllo contestuale.

Inoltre, a scioglimento delle riserve assunte in sede di audizione (nota 25/4/2025), il Comune di Venezia, nel rappresentare che la pre-registrazione è “doverosa” e “obbligatoria tanto per i soggetti tenuti al pagamento del tributo in oggetto quanto per coloro che sono esenti/esclusi dal pagamento”, ha ulteriormente precisato che:

- non trattandosi di un rapporto contributivo “stabile”, è necessario individuare il soggetto passivo e definire la posizione contributiva del medesimo. Per creare e gestire posizioni contributive in tali ipotesi si è ritenuto di registrare i soggetti che non adempiono all’obbligo contributivo adducendo un diritto di esenzione. La registrazione nel Portale delle esenzioni costituisce, dunque, obbligo formale che il Comune impone ai soggetti passivi d’imposta che assumono di vantare un diritto all’esenzione/esclusione dal pagamento. La registrazione è dunque il presupposto che consente al Comune di avviare il procedimento di verifica della sussistenza dei requisiti per la concessione dell’esenzione e, in caso di mancanza degli stessi, di avviare il procedimento di recupero coattivo mediante l’adozione di atti di accertamento esecutivo e di esecuzione forzata;

- nella fase di prima sperimentazione, il numero dei controlli contestuali effettuati sui soggetti registrati - paganti e non - è stato pari a 401.747, mentre i controlli successivi non sono stati ancora avviati (a tal proposito si ribadisce che l’amministrazione ha cinque anni di tempo per provvedere, ai sensi della normativa tributaria).

Con la stessa nota del 25/4/2025, il Comune di Venezia ha altresì evidenziato che per il 2025 sono state introdotte le seguenti novità:

- esenzione dal pagamento del contributo d’accesso per ulteriori categorie di interessati per motivazioni connesse o analoghe alle ipotesi precedentemente previste;

- registrazione al Portale tramite SPID/CIE/CNS per le esenzioni/esclusioni di natura stabile per le seguenti categorie: lavoratori dipendenti, autonomi, imprenditori; soggetti che pagano IMU e nucleo familiare; atleti ed accompagnatori che accedono per partecipare a competizioni sportive; locatari e nucleo familiare; dipendenti di amministrazioni pubbliche assegnatari di alloggi di servizio; coniuge, parenti o affini fino al 3° grado di residenti; parenti e affini entro il 1° grado di proprietari di immobili a destinazione abitativa laguna e non destinati a locazione turistica. Tra questi, solo gli atleti ed accompagnatori sono tenuti ad indicare il giorno di accesso;

- per quanto concerne i lavoratori occasionali, pur accedendo dalla stessa porta di accesso (“sono lavoratore”) vengono reindirizzati alla categoria “Altre esenzioni”, in modo da non tracciare il motivo di accesso.

Inoltre, al fine di ridurre il rischio di azioni malevole, i totem sono stati oggetto di un ulteriore potenziamento in termini di sicurezza e affidabilità operativa che comporta l’impossibilità di salvare dati localmente, scaricare file o accedere a impostazioni del browser o del sistema; le esenzioni ottenibili sono unicamente quelle che non richiedono autenticazione forte (SPID/CIE/CNS) o il caricamento di documenti, e ogni sessione è a tempo limitato, con reindirizzamento automatico alla homepage dell’applicativo in caso di inattività.

2. Esito dell’attività istruttoria.

2.1. Normativa applicabile.

La normativa in materia di protezione dei dati personali prevede che il trattamento di dati personali posto in essere dai soggetti pubblici è lecito solo se necessario per l’esecuzione di un compito di interesse pubblico di cui è investito il titolare (artt. 6, par. 1, lett. e), del Regolamento, e 2-ter del Codice) e deve essere avvenire, in ogni caso, nel rispetto dei principi indicati dall’art. 5 del Regolamento, tra cui quelli di “liceità, correttezza e trasparenza”, di “limitazione della finalità”, di “minimizzazione”, di “limitazione della conservazione” e di “integrità e riservatezza”, di cui all’art. 5, par. 1, lett. a), b), c), e) e f), del Regolamento.

Per quanto attiene al trattamento avente ad oggetto particolari categorie di dati personali, esso è lecito se necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g), del Regolamento). Inoltre, il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (art. 10 del Regolamento).

In base al principio di “protezione dei dati fin dalla progettazione”, di cui all’art. 25, par. 1, del Regolamento, il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. Il titolare del trattamento mette in atto, inoltre, misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica (art. 25, par. 2, del Regolamento). Inoltre, il titolare e il responsabile del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, sono tenuti a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento).

L’art. 4, comma 3-bis, del decreto legislativo 14 marzo 2011, n. 23, applicabile, ai sensi dell’art. 1, comma 1129, della legge 30 dicembre 2018, n. 145, per l’accesso alla città antica del Comune di Venezia e alle altre isole minori della laguna, dispone che “I comuni che hanno sede giuridica nelle isole minori e i comuni nel cui territorio insistono isole minori possono istituire, con regolamento da adottare ai sensi dell'articolo 52 del decreto legislativo 15 dicembre 1997, n. 446, e successive modificazioni, in alternativa all'imposta di soggiorno di cui al comma 1 del presente articolo, un contributo di sbarco”, e che “il contributo di sbarco non è dovuto dai soggetti residenti nel comune, dai lavoratori, dagli studenti pendolari, nonché dai componenti dei nuclei familiari dei soggetti che risultino aver pagato l'imposta municipale propria nel medesimo comune e che sono parificati ai residenti” prevedendo, altresì che “i comuni possono prevedere nel regolamento modalità applicative del contributo nonché eventuali esenzioni e riduzioni per particolari fattispecie o per determinati periodi di tempo”. Pertanto, con il Regolamento comunale in esame, sono state disciplinate le ipotesi di esclusione (art. 4) ed esenzione dal pagamento (art. 5), precisando che i soggetti che ne beneficiano “devono dimostrare la propria condizione mediante apposita autocertificazione, certificazione o dichiarazione propria o da parte di terzi soggetti, secondo le modalità operative stabilite con deliberazione della Giunta Comunale” e che, ad esclusione dei residenti, “la gestione delle fattispecie di esenzione [e di esclusione] deve essere attuata con modalità informatiche assimilabili alla prenotazione dell’accesso” (artt. 4 e 5).

2.2. Valutazioni.

2.2.1. Ciò posto, all’esito dell’attività istruttoria condotta dall’Autorità, si osserva che le modalità con cui il Comune di Venezia ha disciplinato l’applicazione del contributo per l’accesso comportano un trattamento massivo di dati personali riferiti non solo ai soggetti tenuti al pagamento del contributo d’accesso ma, soprattutto, a coloro che ne sono esclusi o esentati.

In particolare, la registrazione sul Portale nella fase di prima sperimentazione avvenuta nel 2024 ha comportato la raccolta - preventiva rispetto ad un eventuale successivo controllo - di informazioni molto dettagliate sui tempi e sugli spostamenti, nonché sulle motivazioni dell’accesso alla città di Venezia, relativamente all’attività lavorativa, di studio, sportiva, alla sfera dei rapporti personali e sociali degli interessati o dei loro familiari, che necessitano di una attenta valutazione in relazione alle specifiche finalità perseguite dalla richiamata normativa di settore.

Sulla base dell’istruttoria condotta, pur potendosi valutare positivamente il fatto che il Comune ha progressivamente modificato il Regolamento comunale apportando, alla luce delle interlocuzioni con l’Ufficio, una serie di miglioramenti al trattamento in esame (da ultimo, quelli previsti per l’anno 2025), deve evidenziarsi che il trattamento posto in essere nella fase di prima sperimentazione presenta profili di criticità in parte tuttora persistenti, in ordine al rispetto dei principi in materia di protezione dei dati personali, non risultando proporzionato in relazione alle finalità individuate dal richiamato quadro normativo di settore, nonché con riguardo ai profili di sicurezza dei dati e dei sistemi, e ai connessi rischi sui diritti e sulle libertà fondamentali degli interessati (artt. 5, par. 1, lett. a), b), c), e) ed f), e 6, parr. 1, lett. e), e 3, nonché 25 e 32 del Regolamento).

Ciò anche considerato che oggetto del trattamento potrebbero essere – potenzialmente, in sede di controllo successivo - anche categorie particolari di dati e dati relativi a condanne penali o reati degli interessati e dei loro familiari, rispetto alle quali la normativa in materia di protezione dei dati personali prevede un elevato livello di garanzie (artt. 9, par. 2, lett. g), e 10 del Regolamento; artt. 2-sexies, 2-septies e 2-octies del Codice), allo stato non adeguatamente individuate né disciplinate.

Alla luce dell’ampia istruttoria condotta, gli elementi acquisiti non consentono di ritenere il trattamento complessivamente effettuato dal Comune proporzionato e conforme ai principi in materia di protezione dei dati personali. ciò in quanto, anche tenuto conto delle argomentazioni fornite dal Comune, non risulta comprovato che la pre-registrazione sul Portale delle numerose categorie di soggetti esenti/esclusi dal pagamento sia necessaria in relazione alle finalità dichiarate, con riguardo a tutte le categorie di interessati coinvolti. Infatti, se tale previsione può ritenersi senz’altro funzionale al pagamento del contributo da parte dei soggetti che vi sono tenuti, la medesima esigenza non risulta comprovata con riguardo a tutti i casi di esclusione ed esenzione previsti dagli artt. 4 e 5 del Regolamento comunale.

Come sopra accennato, il Comune ha progressivamente escluso dalla pre-registrazione alcune categorie di soggetti (quali, ad esempio, i soggiornanti in strutture ricettive che abbiano sottoscritto una convenzione con il Comune, i soggetti disabili e relativo accompagnatore, il personale delle forze armate, forze dell’ordine, vigili del fuoco accedenti per motivi di servizio, i volontari e/o partecipanti a manifestazioni) mantenendola, tuttavia, nella fase di prima sperimentazione del 2024, per i lavoratori; per i soggetti accedenti per visite mediche/terapie, per accompagnare o assistere degenti presso strutture sanitarie; per amministratori pubblici e autorità pubbliche; per i soggetti in visita presso le case circondariali, parti processuali e persone convocate per ragioni di giustizia, partecipanti a consultazioni elettorali o referendarie; per i soggetti e componenti di nuclei familiari di soggetti che hanno pagato l’IMU nel Comune di Venezia; per il coniuge, unito civilmente, convivente, parente o affine entro il 3° grado di soggetto residente, o di un defunto per la partecipazione a funerale, in considerazione del fatto che è stata ritenuta gravosa la circolazione con un certificato cartaceo che dimostrasse tale condizione; per i dimoranti iscritti nello schedario della popolazione temporanea; per i soggetti residenti nella Città metropolitana di Venezia o in Regione Veneto; per i locatari e componenti del loro nucleo familiare anagrafico di immobile nel Comune di Venezia con contratto di locazione abitativa ad uso non turistico, non essendoci documento ostensibile ad un controllo attestante tale status; per gli studenti delle scuole superiori in viaggio o visite di istruzione (cfr. nota 20/5/2024).

Ciò premesso, relativamente ai soggetti esclusi dal pagamento già in base alla norma primaria e specificati nel Regolamento comunale (lavoratori dipendenti, autonomi o imprenditori, studenti, soggetti che pagano l’IMU e componenti dei relativi nuclei familiari) non è stata comprovata la necessità di mantenere l’obbligo di pre-registrazione sul Portale, sulla base della considerazione che non esista una “tipologia omogenea di documenti” che possano essere esibiti e possano consentire di comprovare agevolmente la sussistenza di tali presupposti, essendo la pre-registrazione ininfluente ai fini del controllo. Ciò in quanto, in caso di verifica del QR-code (e solo in tale caso), il presupposto dell’esclusione dovrà comunque essere comprovato “mediante apposita autocertificazione, certificazione o dichiarazione propria o da parte di terzi soggetti” (art. 4 del Regolamento comunale) da produrre successivamente agli uffici tributari nell’ambito del procedimento di accertamento del titolo di esenzione dal pagamento (che si attiva solo se, e a seguito di, un eventuale controllo contestuale).

Analoghe considerazioni possono essere estese alla quasi totalità dei casi di esenzione previsti dal Regolamento comunale i cui presupposti, a prescindere dalla pre-registrazione, devono essere comprovati soltanto in caso di controllo “mediante apposita autocertificazione, certificazione o dichiarazione propria o da parte di terzi soggetti” (art. 5 del Regolamento comunale). Ciò, riguarda, in particolare il coniuge, il soggetto unito civilmente, convivente, parente o affine entro il 3° grado di soggetto residente, di un defunto per la partecipazione al suo funerale, i dimoranti iscritti nello schedario della popolazione temporanea, i locatari di immobili e componenti del loro nucleo familiare anagrafico con contratto ad uso non turistico. Allo stesso modo, anche in questo caso a prescindere dalla pre-registrazione, devono comprovare il proprio status con “dichiarazione propria o da parte di terzi soggetti” i soggetti rientranti nella categoria “Altre esenzioni”, ossia in particolare, coloro che accedono per visite mediche/terapie, accompagnare o assistere degenti presso strutture sanitarie, gli amministratori pubblici e autorità pubbliche per ragioni istituzionali, i soggetti in visita presso le case circondariali, le parti processuali e le persone convocate per ragioni di giustizia, i partecipanti a consultazioni elettorali o referendarie, gli studenti in viaggio o visita di istruzione, i lavoratori occasionali.

In tutti i casi summenzionati, il trattamento di dati personali raccolti sul Portale non appare necessario né proporzionato, in quanto le informazioni rese in sede di pre-registrazione per l’acquisizione del QR-code ai fini dell’accesso non costituiscono dichiarazioni ai sensi della d.P.R. n. 445 del 2000. Non può pertanto condividersi quando dichiarato dal Comune in relazione al fatto che “Registrandosi, […] il contribuente comunica di avere diritto all’esenzione, con gli stessi effetti della presentazione di una qualunque comunicazione in ambito tributario (come per la dichiarazione IMU)”, né che la predetta registrazione – e il connesso trattamento -  costituisca “il presupposto che consente al Comune di avviare il procedimento di verifica della sussistenza dei requisiti per la concessione dell’esenzione” (cfr. nota del 25/4/2025). Infatti, il presupposto per l’applicazione del tributo (ovvero per l’esenzione dallo stesso) non è la registrazione sul Portale, bensì l’accesso alla città di Venezia; tantomeno, la registrazione sul Portale è il presupposto per l’avvio del procedimento di verifica dei requisiti, essendo a tal fine necessario l’accertamento dell’effettivo accesso in sede di controllo contestuale che comporta, ovviamente, anche l’identificazione dell’interessato. Ne deriva che, da quanto rappresentato dal Comune stesso, la pre-registrazione sembra funzionale unicamente ad evitare che “in sede di controllo contestuale l’accertatore [debba] acquisire tutti i dati anagrafici e le generalità del controllato al fine di avviare il procedimento tributario” (cfr. nota del 15/11/2024) e a evitare agli interessati di portare con sé la documentazione comprovante il possesso del requisito.

Ciò premesso, a fronte dell’enorme numero di dati personali raccolti, soltanto una percentuale decisamente trascurabile sarà effettivamente utilizzata per finalità tributarie (al netto di quelli registrati ai fini del pagamento del contributo d’accesso per il tramite del Portale). Infatti, solo ove i soggetti esclusi/esenti siano sottoposti al controllo contestuale, il dato registrato sul Portale sarà effettivamente utilizzato per finalità tributarie, venendo solo in questo caso conservato ulteriormente nel sistema e reso accessibile all’ufficio tributi per la fase di controllo successivo. Per tale ragione, il numero dei controlli che potranno riguardare i soggetti esclusi/esenti non giustifica una raccolta capillare e massiva dei dati delle predette categorie di soggetti che accedono alla città di Venezia, riguardanti gli spostamenti e le relative motivazioni ad essi sottese, potenzialmente afferenti a delicati aspetti della vita privata.

Da quanto sopra osservato deriva, pertanto, che il trattamento complessivamente posto in essere dal Comune di Venezia, nonostante i parziali miglioramenti apportati in corso di istruttoria, presenta ancora profili di criticità, comportando una massiva raccolta di dati personali e informazioni sugli spostamenti degli interessati che, oltre a essere non necessaria, non appare proporzionata rispetto alle finalità perseguite. Ciò, in particolare, in tutti quei casi in cui la pre-registrazione è stata prevista nella fase di prima sperimentazione, nonostante i dati personali fossero già in possesso dell’amministrazione comunale (come ad esempio quelli dei dimoranti temporanei), o in cui il titolo di esclusione/esenzione poteva essere dimostrato in sede di controllo contestuale (come per gli studenti e i residenti nella Regione Veneto), nonché per i soggetti residenti nel Comune e i loro ospiti, rispetto ai quali non è stata dimostrata la necessità di acquisirne i dati personali.

Con particolare riguardo a tale ultima fattispecie, avendo il Comune dichiarato che non è “prevista per tali soggetti alcuna forma di controllo d’ufficio né preventiva né successiva” (cfr. nota del 24/10/2022 citata), il trattamento posto in essere appare non necessario e sproporzionato rispetto alle finalità perseguite, non giustificandosi la raccolta dei dati personali (ivi inclusi i dati di contatto e la data dell’accesso) dei residenti e dei soggetti da questi invitati, in quanto, ai fini del solo controllo contestuale sarebbe stato sufficiente un meccanismo di “vidimazione” anonima sul Portale del Codice Amico ricevuto, nel rispetto dei principi di proporzionalità e di minimizzazione, di cui all’art. 5, par. 1, lett. c), del Regolamento.

2.2.2. Sotto altro profilo, la pre-registrazione non appare sufficientemente sorretta da una idonea base giuridica, anche considerato che ai sensi dell’art. 6 del Regolamento comunale “Attesa la complementarietà degli effetti del contributo di accesso ai fini di regolamentazione dei flussi turistici e programmazione dei servizi pubblici, la Giunta Comunale, nella determinazione del contributo, può prevedere […] l’individuazione di soglie giornaliere di presenze, anche in maniera differenziata nel corso dell’anno e/o per categorie di esenzione, superate le quali la misura ordinaria del contributo di accesso può essere aumentata”. Inoltre, nell’individuazione delle modalità di applicazione del contributo, la Giunta Comunale deve computare, ai fini del raggiungimento della soglia giornaliera, gli accessi dei soggetti obbligati al pagamento e gli accessi dei soggetti esenti complessivamente o anche solo per alcune categorie di esenzione.

Tenuto conto che la norma regolamentare sopra citata collega la determinazione del contributo all’individuazione delle soglie “ai fini di regolamentazione dei flussi turistici e programmazione dei servizi pubblici”, si osserva che la pre-registrazione sul Portale appare funzionale alla quantificazione delle soglie giornaliere delle presenze sul territorio, e la fissazione preventiva di tale soglia sembra costituirne un presupposto di legittimità. La fissazione delle soglie giornaliere non risulta, invece, esser stata effettuata né nel periodo di prima sperimentazione, né per il 2025, in quanto l’unico criterio considerato è stato l’anticipato pagamento del contributo d’accesso.

In ogni caso, il calcolo delle soglie (o delle presenze previste) potrebbe essere effettuato con differenti strategie e modalità di misurazione alternative, meno invasive o senza ricorrere ad un trattamento di dati personali. Non risultano, infatti, agli atti dell’istruttoria evidenze in ordine a eventuali valutazioni effettuate su possibili modalità alternative di quantificazione (per es. richiedendo ai soggetti istituzionali una quantificazione dei flussi di utenza media/standard, dei picchi minimi o massimi, etc.). Infatti, la quasi totalità delle fattispecie di esclusione/esenzione non è, in linea generale, soggetta a variazioni significative nel breve periodo, essendo le stesse caratterizzate da una certa stabilità, in ragione del legame delle categorie di soggetti accedenti con la città (residenti, nati nel Comune, domiciliati, proprietari o locatari di immobili) o in virtù di esigenze di lavoro, salute, giustizia etc.

Considerato, quindi, che l’impatto di tali presenze sul territorio è in qualche modo caratterizzato da una certa stabilità – come confermato dai dati dell’andamento del primo periodo di sperimentazione - appare evidente che il ricorso allo strumento della pre-registrazione sul Portale e il conseguente trattamento di numerosi dati personali, con le modalità previste, in assenza della previa fissazione di una soglia e delle conseguenti determinazioni, risulta non proporzionato e in contrasto con i principi di “liceità, correttezza e trasparenza”, “limitazione della finalità” e “minimizzazione” (artt. 5, par. 1, lett. a), b) e c), e 6, par. 3, del Regolamento).

2.2.3. Sotto altro profilo, si ritiene che, in assenza della possibilità di adottare misure di limitazione del numero degli accessi alla città, la pre-registrazione sul Portale con largo anticipo rispetto alla data di accesso risulta in contrasto con il principio di “limitazione della conservazione”, in ragione del fatto che i dati personali degli utenti restano memorizzati nel Portale per una finestra temporale anche molto ampia, con conseguente aumento del rischio di perdita di integrità e riservatezza, in violazione dell’art. 5, par. 1, lett. e), del Regolamento.

2.2.4. Sotto altro profilo, per quanto attiene al trattamento di dati personali effettuato sui c.d. totem, sulla base degli elementi acquisiti, risulta che le impostazioni programmate su tali dispositivi fossero modificabili dagli utenti durante l’utilizzo, in violazione del principio di “integrità e riservatezza” che impone l’adozione di misure tecniche e organizzative volte a garantire un’adeguata riservatezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti, dalla distruzione o dal danno accidentali, nonché la protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 5, par. 1, lett. f), 25 e 32 del Regolamento).

Nel corso dell’istruttoria è stato accertato che, sebbene fosse stata disabilitata, come impostazione predefinita, la modalità di completamento automatico delle informazioni inserite dagli utenti, tale impostazione si è rivelata essere comunque modificabile dagli utenti accedendo alle impostazioni di default del browser presente su un totem. Come dichiarato dal Comune di Venezia, posto che il Portale https://cda.ve.it/it/ consentiva, al termine del processo, di stampare il QR-code ovvero di effettuare il download, qualora un soggetto avesse inavvertitamente attivato la funzione download, il modulo sarebbe rimasto in memoria volatile fino al successivo riavvio del totem, restando quindi potenzialmente accessibile anche agli utenti successivi.

Sebbene sul modulo contenente il QR-code fossero presenti solo le iniziali del nome e del cognome del soggetto interessato e il giorno di validità (senza, quindi, altri dati e/o riferimenti alla tipologia di esenzione), tale circostanza non può essere ritenuta, di per sé, idonea ad evitare (e non semplicemente a limitare) la possibilità di identificare, anche indirettamente, l’utente. Per tale ragione, il Comune avrebbe dovuto adottare misure idonee ad escludere qualsiasi utilizzo improprio dei totem da parte di terzi, rendendo immodificabili le impostazioni di default.

Al riguardo, occorre osservare che un dato può considerarsi anonimo solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. Infatti, il Parere 05/2014 - WP 216 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014, precisa che la stessa non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo (o, come nel caso di specie, l’indicazione delle sole iniziali del nome e del cognome).

Un processo di anonimizzazione non può, infatti, definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa raffrontarli o incrociarli con altre fonti, o comunque con informazioni di contesto in possesso di terzi nell’ambito della comunità o del contesto familiare, più o meno ampio, di appartenenza.

Tutto ciò premesso, dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché dalle successive valutazioni di questo Dipartimento, risulta accertato che i trattamenti sopra descritti sono stati effettuati in violazione dei principi di necessità e di proporzionalità, di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, di limitazione della conservazione, di integrità e riservatezza, nonché di privacy by design e privacy by default (artt. 5, par. 1, lett. a), b), c), e) ed f), e 6, parr. 1, lett. e), e 3, nonché 25 e 32 del Regolamento).

[OMISSIS]

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si osserva che gli elementi forniti dal titolare del trattamento nelle memorie difensive e in sede di audizione (nonché quelli acquisiti in corso di ispezione tramite il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza) seppur meritevoli di considerazione, non consentono di superare completamente i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019, non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Venezia nell’ambito del Portale, sul presupposto che lo stesso è stato posto in essere in maniera non conforme ai sopra menzionati principi (artt. 5, par. 1, lett. a), b), c), e) ed f), e 6, parr. 1, lett. e), e 3, nonché 25 e 32 del Regolamento).

4. Misure correttive (art. 58, par. 2, lett. d) del Regolamento).

Dall’istruttoria condotta è emersa, in particolare, l’inadeguatezza delle misure adottate per assicurare il pieno rispetto dei principi di necessità e di proporzionalità, di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, di limitazione della conservazione, di integrità e riservatezza, nonché di privacy by design e privacy by default con riguardo al trattamento dei dati personali effettuato, in particolare, nella fase di prima sperimentazione del Portale, nonché alle impostazioni di configurazione dei c.d. “totem”.

L’art. 58, par. 2, lett. d), del Regolamento prevede che il Garante ha il potere correttivo di “ingiungere al titolare del trattamento […] di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

In tale quadro, in ragione dell’illiceità del trattamento effettuato, si ritiene necessario ingiungere al Comune di Venezia, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare ulteriori misure per assicurare il rispetto dei sopra richiamati principi, quantomeno provvedendo a:

- individuare ulteriori categorie di interessati che non debbano pre-registrarsi sul Portale, in particolare, nei casi cui dati possano essere eventualmente trattati solo in sede di c.d. controllo contestuale o controllo successivo (ad esempio in tutti quei casi in cui il Comune si trovi già nelle condizioni di poter verificare la sussistenza dei presupposti di esclusione o esenzione);

- individuare altresì, nell’ambito del Portale, ulteriori categorie di interessati che possano essere inclusi in quella residuale delle “Altre esenzioni”, al fine di evitare il trattamento dei dati e delle informazioni connesse al motivo per cui tali soggetti richiedono l’esenzione dal pagamento, nel rispetto del principio di “minimizzazione” (art. 5, par. 1, lett. c), del Regolamento);

- sospendere l’acquisizione (tramite registrazione sul Portale) dei dati personali dei soggetti invitati dai residenti nel Comune di Venezia, adottando un meccanismo alternativo volto alla sola verifica della validità del Codice Amico in caso di controlli contestuali;

- disciplinare nel dettaglio la procedura per i controlli successivi, specificando le modalità del trattamento, le tipologie di dati trattati, nonché individuando misure appropriate e specifiche a tutela dei diritti fondamentali e degli interessi degli interessati, nel rispetto dei principi di “liceità, correttezza e trasparenza”, e di “minimizzazione” (art. 5, par. 1, lett. a) e c), del Regolamento).

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, si ingiunge al Comune di Venezia di fornire a questa Autorità ogni elemento utile in merito alle iniziative intraprese, al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d) del Regolamento entro trenta giorni dalla notifica del presente provvedimento.

[OMISSIS]

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) e [OMISSIS], dichiara illecita la condotta tenuta dal Comune di Venezia, con sede in San Marco 4137 - 30124 Venezia, C.F. 00339370272, descritta nei termini di cui in motivazione, consistente nella la violazione degli artt. 5, par. 1, lett. a), b), c), e) ed f), e 6, parr. 1, lett. e), e 3, nonché 25 e 32 del Regolamento;

[OMISSIS]

INGIUNGE

[OMISSIS]

- al predetto Comune, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare ulteriori misure per assicurare il rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, limitazione delle finalità, limitazione della conservazione, integrità e riservatezza, privacy by design e privacy by default, nel contesto in esame, fornendo, altresì, al Garante, entro il termine di trenta giorni, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ordinato.

DISPONE

[OMISSIS]

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

[OMISSIS]

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Filippi