Interrogazione nr. d'ordine 1275

Oggetto: Chiarimenti sulle azioni che l’Amministrazione intende intraprendere a seguito del provvedimento del Garante Privacy del 4 agosto 2025 sul trattamento dei dati personali legato all’attuazione del Regolamento del Contributo d’accesso
Tipo di risposta richiesto: scritta
 

Premesso che:

• In data 4 agosto 2025 il Garante per la Protezione dei Dati Personali ha dichiarato illecite le modalità con cui il Comune di Venezia ha trattato i dati personali nell’ambito della gestione del contributo d’accesso, in particolare, ma non solo, attraverso il Portale per la pre-registrazione di esenti e esclusi (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10164311);
• Dal provvedimento si legge che “le modalità con cui il Comune di Venezia ha disciplinato l’applicazione del contributo per l’accesso comportano un trattamento massivo di dati personali riferiti non solo ai soggetti tenuti al pagamento del contributo d’accesso ma, soprattutto, a coloro che ne sono esclusi o esentati”, e che tale raccolta “non appare necessaria né proporzionata, in quanto le informazioni rese in sede di pre-registrazione per l’acquisizione del QR-code ai fini dell’accesso non costituiscono dichiarazioni ai sensi della d.P.R. n. 445 del 2000” ;
• Il Garante ha ritenuto che “soltanto una percentuale decisamente trascurabile sarà effettivamente utilizzata per finalità tributarie”, pur acquisendo dati “riguardanti gli spostamenti e le relative motivazioni ad essi sottese, potenzialmente afferenti a delicati aspetti della vita privata”;
• Il provvedimento sottolinea che tali trattamenti violano “i principi di necessità e di proporzionalità, di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, di limitazione della conservazione, di integrità e riservatezza, nonché di privacy by design e privacy by default” (artt. 5, par. 1, lett. a), b), c), e) ed f, e 6, parr. 1, lett. e), e 3, nonché 25 e 32 del Regolamento)”;
• Riguardo ai chioschi (“totem”), il Garante ha rilevato che “le impostazioni programmate su tali dispositivi fossero modificabili dagli utenti durante l’utilizzo, in violazione del principio di ‘integrità e riservatezza’ che impone l’adozione di misure tecniche e organizzative… volte a garantire un’adeguata riservatezza dei dati personali”;
• Il Garante ha ordinato al Comune di adottare una serie di misure correttive tra cui: “individuare ulteriori categorie di interessati che non debbano pre-registrarsi sul Portale”, sospendere la raccolta dati “dei soggetti invitati dai residenti nel Comune di Venezia”, e “disciplinare nel dettaglio la procedura per i controlli successivi” ;
• La sanzione amministrativa inflitta ammonta a 10.000 euro, con richiesta di riscontro sulle azioni intraprese entro 30 giorni.

Si chiede al Sindaco e all'Assessore competente:

• Quali azioni concrete ha adottato e intenda adottare la Giunta per dare piena attuazione ai rilievi e agli ordini contenuti nel provvedimento, “al fine di assicurare il rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, limitazione delle finalità, limitazione della conservazione, integrità e riservatezza, privacy by design e privacy by default, nel contesto in esame”;
• Entro quali tempistiche l’Amministrazione prevede di modificare il sistema di registrazione ed esenzione, e come verrà garantita la “minimizzazione e limitazione delle finalità”;
• Se è stato avviato un audit interno sulle misure di sicurezza e integrità dei sistemi (es. totem) come richiesto dal Garante;
• Per quale motivo sono rimaste inascoltate le molte segnalazioni di amministratori e cittadini sul tema di privacy, che hanno poi trovato riscontro nel provvedimento citato in premessa.