Multe semaforo: telecamere senza privacy?

Telecamere ai semafori: se manca l’informativa privacy e la valutazione d’impatto, la multa è contestabile? Guida per automobilisti e Comuni.

Quante volte, passando con il giallo o, purtroppo, con il rosso, abbiamo temuto l’occhio elettronico del semaforo? Le telecamere ai semafori (i cosiddetti Photored) sono ormai una presenza costante nelle nostre città, ma cosa succede se il Comune non rispetta le regole sulla privacy? La multa è comunque valida? Una recente decisione del Garante per la protezione dei dati personali (provvedimento n. 766 del 12 dicembre 2024) solleva un tema che potrebbe cambiare le carte in tavola per molti conducenti di auto e moto: la necessità di una “valutazione preventiva di impatto” sulla protezione dei dati prima di attivare tali dispositivi.

Ma cosa significa in pratica? E quali sono le conseguenze per gli automobilisti? In questo articolo vedremo se sono legittime le multe al semaforo quando le telecamere non rispettano la privacy. Scopriremo che la riservatezza non è un optional, nemmeno quando si tratta di sicurezza stradale, e che la trasparenza è fondamentale per garantire i diritti di tutti.

Cosa sono i “controllori automatici delle infrazioni semaforiche”?

Sono le telecamere installate ai semafori per rilevare automaticamente le infrazioni, in particolare il passaggio con il rosso. Questi dispositivi, una volta approvati o omologati dal Ministero dei Trasporti, sono in grado di fotografare o filmare la targa del veicolo che commette l’infrazione, permettendo così l’emissione della multa.

La Cassazione ha chiarito che i Photored (questo è il nome del più usato dispositivo di controllo del passaggio al semaforo rosso):

• non devono essere previamente segnalati con l’apposito cartello che invece è obbligatorio per gli autovelox;
• devono essere sottoposti ad omologazione preventiva e a taratura annuale, proprio come gli strumenti di controllo elettronico della velocità.

Cosa dice la legge sulla privacy in relazione a queste telecamere?

Il Regolamento Generale sulla Protezione dei Dati (GDPR), in particolare l’articolo 35, stabilisce che, in caso di trattamenti di dati personali che possono presentare un rischio elevato per i diritti e le libertà delle persone, è necessario effettuare una “valutazione d’impatto sulla protezione dei dati” (DPIA, Data Protection Impact Assessment) prima di iniziare il trattamento stesso. Di cosa si tratta?

La DPIA è un processo che serve a:

• descrivere il trattamento dei dati personali: quali dati vengono raccolti, come vengono utilizzati, per quanto tempo vengono conservati, ecc.;
• valutare la necessità e la proporzionalità del trattamento: è davvero necessario raccogliere questi dati per raggiungere lo scopo (in questo caso, sanzionare le infrazioni)? Ci sono alternative meno invasive? ecc.;
• identificare i rischi per i diritti e le libertà degli interessati (gli automobilisti): ad esempio, il rischio di accessi non autorizzati ai dati, di diffusione illecita delle immagini, di profilazione, ecc.;
• individuare le misure per mitigare questi rischi: ad esempio, misure di sicurezza informatica, limitazione dell’accesso ai dati, oscuramento dei volti, ecc.

Cosa ha detto il Garante della Privacy sulle telecamere ai semafori?

Il Comune di Portici aveva installato le telecamere ai semafori senza:

• fornire un’adeguata informativa agli automobilisti sulla presenza delle telecamere e sul trattamento dei loro dati personali (violazione degli articoli 12 e 13 del GDPR);
• effettuare la valutazione preventiva di impatto sulla protezione dei dati (violazione dell’articolo 35 del GDPR).

Il Garante ha ritenuto che queste mancanze fossero gravi, perché impedivano agli automobilisti di essere consapevoli del trattamento dei loro dati e di esercitare i loro diritti.

Il Comune di Portici si è difeso, sostenendo che le telecamere non effettuassero una “sorveglianza sistematica su larga scala”. Perché il Garante non ha accolto questa difesa?

Il Comune sosteneva che le telecamere entrassero in funzione solo per brevi periodi (quando scatta il rosso) e che le immagini venissero oscurate per proteggere l’identità delle persone. Il Garante, però, ha ribadito che l’articolo 35, paragrafo 3, lettera c), del GDPR prevede sempre la DPIA in caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. E le telecamere ai semafori, per il Garante, rientrano in questa definizione, perché:

• sono “sistematiche”: operano in modo continuo e predefinito, anche se si attivano solo al rosso;
• sono “su larga scala”: potenzialmente, possono riprendere un numero elevato di veicoli e persone;
• riguardano una “zona accessibile al pubblico”: la strada è, per definizione, un luogo pubblico.

Cosa significa in pratica per gli automobilisti?

Questa decisione del Garante ha importanti implicazioni pratiche:

maggiore trasparenza: i Comuni devono informare chiaramente gli automobilisti sulla presenza delle telecamere, su come vengono trattati i loro dati e sui loro diritti;

maggiore tutela: i Comuni devono adottare misure adeguate per proteggere i dati raccolti dalle telecamere, limitandone l’accesso e la conservazione;

possibilità di contestare le multe: se il Comune non ha rispettato le regole sulla privacy (mancanza di informativa, mancata DPIA), la multa potrebbe essere contestata e ritenuta illegittima dal Giudice di Pace. E questo perché tutte le attività della Pubblica Amministrazione compiute in violazione della legge – specie in presenza di dati sensibili coperti da privacy – non possono comportare un arricchimento per l’amministrazione stessa.

Facciamo un esempio pratico.

Marco riceve una multa per essere passato con il rosso. Controlla il verbale e nota che non c’è alcun riferimento all’informativa sulla privacy. Inoltre, sul sito del Comune non trova alcuna informazione sulla valutazione d’impatto relativa alle telecamere ai semafori.

In questo caso, Marco potrebbe:

• chiedere chiarimenti al Comune e una copia dell’informativa e della DPIA;
• presentare un reclamo al garante della Privacy;
• valutare, con l’aiuto di un avvocato, se ci sono gli estremi per contestare la multa, sostenendo che il trattamento dei suoi dati personali è avvenuto in violazione del GDPR.