Argomenti trattati
- Il Provvedimento n. 743/2025 e lo stop del Garante
- Un iter triennale e quattro versioni rigettate
- Il primo errore: sbagliare la legge applicabile
- Il nodo più critico: cloud americano e chiavi crittografiche
- Le altre lacune: log, SIM, rischi
- Cosa devono fare (diversamente) i Comuni
Il Provvedimento n. 743/2025 e lo stop del Garante
Con il Provvedimento n. 743 del 4 dicembre 2025, il Garante ha bloccato il progetto del Comune di Pescara di dotare la propria Polizia locale di videocamere indossabili (body cam). Non basta comprare la tecnologia: occorre dimostrare, con rigore giuridico e tecnico, che il trattamento dei dati è conforme alla legge.
Un iter triennale e quattro versioni rigettate
La storia inizia nell’ottobre 2022, quando il Comune abruzzese presenta al Garante la prima valutazione di impatto (DPIA) per l’introduzione delle body cam negli agenti di Polizia locale. Seguono tre anni di scambi, note di osservazioni e revisioni – ben quattro versioni del documento – fino al parere non favorevole del dicembre 2025. Un esito che fotografa una difficoltà diffusa tra gli enti locali italiani: redigere una DPIA non come adempimento burocratico, ma come strumento reale di governo del rischio privacy.
Il primo errore: sbagliare la legge applicabile
Le body cam della Polizia locale, usate per prevenire reati e svolgere attività di polizia giudiziaria, non ricadono sotto il GDPR (Reg. UE 2016/679) bensì sotto il d.lgs. 51/2018, che recepisce la Direttiva europea sul trattamento dei dati per finalità di law enforcement. Nonostante il Garante lo avesse segnalato fin dal 2023, la quarta versione della DPIA continuava a citare il GDPR come fonte di legittimazione. Un errore non formale: le due discipline presentano regole diverse su diritti degli interessati, obblighi del titolare e – crucialmente – trasferimento dei dati verso Paesi terzi.
Il nodo più critico: il cloud americano e le chiavi crittografiche
Il rilievo più innovativo – e destinato a fare scuola – riguarda il sistema scelto per archiviare le registrazioni: un prodotto SaaS (Software as a Service) di un’azienda statunitense, completamente in cloud. Il Garante non contesta le certificazioni di sicurezza del prodotto, presente nel catalogo ACN, ma pone una domanda tecnica precisa: chi detiene le chiavi crittografiche con cui i dati sono cifrati?
Se è il fornitore americano a gestirle, esso può tecnicamente accedere ai dati in chiaro. E questo, ai sensi dell’art. 31 del d.lgs. 51/2018, costituirebbe un trasferimento di dati verso un Paese terzo a favore di un soggetto privato, vietato dalla norma che consente tali trasferimenti solo verso autorità competenti in materia di law enforcement. Una società IT commerciale non lo è.
Le altre lacune: log senza scadenza, SIM misteriose, rischi vaghi
Il provvedimento censura anche altre carenze: la DPIA non indicava per quanto tempo conservare i file di log (i registri digitali di tutti gli accessi alle registrazioni); non spiegava la presenza di SIM card nelle telecamere, con evidenti implicazioni sulla connettività e sulla localizzazione degli agenti; descriveva i rischi per gli interessati in modo generico, senza analisi concreta delle possibili conseguenze. Infine, la scelta del fornitore non risultava da una valutazione comparativa che tenesse conto dei requisiti privacy fin dalla fase di gara.
Cosa devono fare (diversamente) i Comuni
Il provvedimento offre una guida pratica per tutti gli enti che vogliono introdurre sistemi analoghi. Prima di scegliere il fornitore, occorre verificare che le chiavi crittografiche rimangano sotto il controllo esclusivo del titolare (modello BYOK/HYOK). Il capitolato di gara deve includere requisiti privacy come criteri essenziali, non optional. La DPIA deve essere redatta a tecnologia già definita, con analisi dettagliata dei rischi concreti, termini di conservazione certi per ogni categoria di dati (inclusi i log), e coerenza totale tra i diversi documenti allegati. Il sistema organizzativo deve garantire la cancellazione tempestiva delle registrazioni, senza ammettere deroghe per turnazioni o festività programmate.
Il caso Pescara è emblematico: la sicurezza urbana e la tutela dei dati personali non si escludono, ma richiedono investimento in competenze e progettazione. La DPIA è lo strumento con cui dimostrarlo, non il documento con cui giustificare a posteriori scelte già compiute.