Il Convegno Garante regionale dei detenuti Emilia Romagna e Garante Nazionale GNPL (Parma – gennaio 2026) restituisce una riflessione circa le condizioni per la liceità dei trattamenti dei dati delle persone ristrette nelle centinaia di camere di sicurezza oggi attive sul territorio nazionale collocate presso le Forze dell’Ordine ed altresì attivate nei Comuni all’interno dei Comandi Polizia Locale.
Anche grazie alle informazioni acquisite dai Garanti nelle visite / sopralluoghi di monitoraggio, sono emersi aspetti delicati e di necessario attenzionamento tra cui la videosorveglianza e la presenza di servizi igienici senza barriere di totale schermatura, in contesti di privazione della libertà personale caratterizzati da particolare vulnerabilità e necessità di protezione degli interessati, spesso soggetti in stato di forte alterazione psicofisica a causa dell’utilizzo di sostanze o disturbi mentali.
L’obiettivo dell’intervento della Fondazione Logos P.A. per il Garante Nazionale è stato quello di evidenziare l’importanza di una compliance proattiva : basata sul rischio e focalizzata sulla formazione delle Forze di Polizia circa gli obblighi introdotti dalla direttive europee di riferimento (LED e GDPR) per l’elaborazione di procedure e misure di sicurezza adeguate, al fine di garantire la piena legittimità dell’azione amministrativa e di polizia nel rispetto dei precetti della Convenzione ONU e del relativo Protocollo Opzionale alla Convenzione ONU contro la Tortura (OPCAT) nonché della Convenzione europea per la prevenzione della tortura e delle pene o trattamenti inumani o degradanti.
Il Ciclo del dato dal fermo alla custodia: la posizione di garanzia delle Autorità di Polizia
In Italia, le camere di sicurezza non rappresentano misure processuali autonome e piuttosto e’ più corretto parlare di luoghi di transito temporaneo (solitamente tra le 24 e le 96 ore) dove l’interessato e’ sottoposto a una misura pre-cautelare di limitazione della libertà personale in attesa dell’udienza di convalida dell’arresto/fermo.
Il percorso che conduce un individuo dal momento dell’arresto o del fermo fino alla permanenza nelle camere di sicurezza delle Forze dell’Ordine non è solo una procedura di polizia giudiziaria, ma implica e costituisce una complessa catena di trattamento di dati personali sia di tipo comune che particolare nonché’ giudiziario. In questa fase transitoria, in cui il soggetto ristretto e’ affidato alla custodia delle Forze di Polizia (Polizia di Stato, Carabinieri, Guarda di Finanza e Polizia Locale in funzione di Polizia Giudiziaria), l’Autorità Nazionale di Pubblica Sicurezza assume una “posizione di garanzia” sulla vita e sull’integrità del ristretto (Art. 2 e 13 Cost.) che si traduce in un reale dovere di vigilanza attiva che supera la mera custodia volta a impedire la fuga: gli operatori di P.G. hanno l’obbligo giuridico di proteggere l’incolumità fisica del soggetto.
La giurisprudenza della Cassazione Penale ha infatti a più riprese configurato la responsabilità degli operatori non come semplice violazione amministrativa ma come causalità omissiva rispetto a eventi tragici (ex art. 40, comma 2 c.p. reati omissivi impropri).
In questo senso i dati raccolti e le procedure adottate nelle varie fasi dell’arresto/fermo— dall’identificazione al fotosegnalamento, fino alle annotazioni sulle condizioni psico-fisiche nel registro dei transiti o ancora le eventuali registrazioni a mezzo di videocamere di sorveglianza —possono costituire elementi fondamentali per documentare il corretto adempimento di tale dovere di protezione.
Sul punto appare utile citare la pronuncia della Sentenza Corte di Cassazione – Sez. IV Penale n. 6138/18 (evento suicidario in camere di sicurezza) la quale ha ribadito l’imprescindibilità del criterio di cd imputazione oggettiva dell’evento nell’applicazione del principio di colpevolezza per violazione del dovere di vigilanza, e quindi la necessità dell’analisi in concreto della prevedibilità ed evitabilità dell’evento dannoso (cosiddetta teoria della concretizzazione del rischio).
Basi giuridiche e finalità : il necessario bilanciamento di interessi tra riservatezza, diritto alla vita e perseguimento dei reati
La base di una corretta compliance dei dati (acquisiti, trattati e conservati) della persona ristretta risiede preliminarmente nel corretto inquadramento della base giuridica e nella rigorosa definizione delle finalità specifiche, secondo il concetto di “autonomia funzionale” dei trattamenti come sempre confermato dal Garante per la Privacy. La complessità della predetta operazione e’ causata da due principali circostanze che, al contempo, costituiscono aspetti cruciali per la conformità delle attività di trattamento:
1)la coesistenza di due regimi normativi applicabili: il GDPR (UE 2016/679) da un lato per le finalità amministrative e gestionali pure esistenti nella gestione del ristretto e, dall’altro, la Direttiva LED (UE 2016/680) -attuata dal D.lgs. 18 maggio 2018, n. 51 – che pur mantenendo un vincolo di omogeneità definitoria circa le nozioni giuridiche fondamentali del Regolamento Europeo— quali i principi di accountability basata su trasparenza, liceità, correttezza, necessità e proporzionalità, l’obbligo di Tenuta del Registro dei Trattamenti e della Nomina dei Responsabili Esterni – si come lex specialis per i soli trattamenti effettuati nell’ambito di attività di polizia per la prevenzione e repressione dei reati.
Sia pur sinteticamente e’ possibile individuare un generalediscrimen basato sulla considerazione per cui la disciplina privacy pone come regola generale l’immediata trasparenza e l’accesso diretto ai dati per garantire il pieno controllo dell’interessato ed invece la disciplina europea dei trattamenti dei dati per finalità di polizia legittima il differimento o la limitazione alcuni diritti ogni qualvolta ciò sia necessario per evitare pregiudizi alle indagini, alla sicurezza pubblica o all’esecuzione di sanzioni penali, trasformando l’accesso da un diritto incondizionato a una prerogativa che può essere esercitata anche in forma differita per non compromettere le finalità di giustizia. In particolare
2) la concorrenza di interessi potenzialmente contrapposti e di rango primario quali il diritto alla riservatezza, intimità e pudore vs la salvaguardia del diritto alla salute e all’incolumità fisica contrasto che impone al Titolare -come costantemente ribadito dalla Corte Costituzionale e dal Garante per la Protezione dei dati Personali – l’effettuazione di un operazione di “bilanciamento ragionevole”.
La Videosorveglianza nelle CDS: le norme applicabili e i pareri del Garante Privacy
La ponderazione di interessi in gioco è particolarmente evidente nella gestione dei trattamenti relativi alla videosorveglianza e quindi quel trattamento che per propria natura può tradursi in un monitoraggio del soggetto ristretto con una forte interferenza nel suo diritto alla vita privata e alla dignità ma al contempo idonea a soddisfare esigenze di sicurezza e prevenzione dei suicidi.
L’istituto del Fair Balance si realizza preliminarmente attraverso un test di proporzionalità in senso stretto ( e quindi un’operazione di ponderazione dei diritti primari coinvolti ove il sacrificio del diritto alla privacy deve essere compensato dall’importanza del beneficio per l’interessato e la collettività), e successivamente attraverso l’adozione di trattamenti stabiliti secondo il principio penale cd. del “minore sacrificio imposto” e quindi in ossequio ai Principi generali guida contenuti nella Direttiva LED -che rappresentano fonti normative dal valore vincolante e sovraordinato rispetto alle norme amministrative o ai regolamenti interni delle Amministrazioni Titolari e condizioni di liceità e legittimità dell’azione della P.G.- quali:
- P. di Necessità (o Proporzionalità in senso stretto): l’utilizzo di videocamere deve essere “necessaria in una società democratica”[1] e cioe’ giustificata solo se l’obiettivo non può essere raggiunto con mezzi meno invasivi quali sorveglianza diretta/controllo a vista: (cfr. art 4 Direttiva LED e art 3 del D.Lgs. 51/2018). Sul punto si
- P. di Pertinenza e non eccedenza: Le riprese devono limitarsi a quanto strettamente necessario per la finalità, evitando il monitoraggio generalizzato e indiscriminato quale la videosorveglianza ininterrotta (cfr. articolo 4, paragrafo 1, lettera c) e Considerando 26Direttiva LED e l’Articolo 3, comma 1, lettera c) del D.Lgs. 51/2018)
- Durata e Conservazione: I dati devono essere acquisiti e conservati solo per il tempo strettamente necessario. La sorveglianza permanente è considerata una grave interferenza con la privacy (cfr. articolo 4, par. 1, lett. e) e articolo 5 e Articolo 3, comma 1, lett. e). e Articolo 4del D.Lgs. 51/2018)
- Trasparenza: Deve essere fornita (anche in via successiva) un’adeguata e specifica informativa e le telecamere devono essere visibili (cfr. e art. 12, 13 e 14Direttiva LED e art 3 comma 1, lett. A del D.lgs 51/2018)
Per l’applicazione dei suddetti principi e’ possibile far riferimento di certo al Parere Generale del Garante della Privacy 2010[2] che – sebbene non esattamente conferente ai peculiari trattamenti CDS- non appare ad oggi superato ma da leggere in coordinamento con la normativa di secondo livello di settore in particolare con i precetti di cui al D.P.R. 15/2018 (Regolamento per il trattamento dei dati per finalità di polizia) con cui il Legislatore nazionale offre disposizioni tecniche e applicative più mirate relative a
- Regole tecniche specifiche per il CED: Disciplina in modo dettagliato le modalità di trattamento dei dati presso il Centro Elaborazione Dati (CED) del Ministero dell’Interno e i CED delle forze di polizia
- Videosorveglianza: Stabilisce regole stringenti sulla configurazione dei sistemi di videosorveglianza e ripresa fotografica per minimizzare l’uso di dati identificabili
- Sicurezza dei sistemi: Impone misure di sicurezza specifiche contro gli accessi abusivi (riferimento all’art. 615-ter del codice penale) per le apparecchiature di registrazione connesse a reti
- Profilazione e automazione: Definisce garanzie adeguate per le decisioni basate su trattamenti automatizzati e vieta la profilazione discriminatoria
- Gestione degli accessi: Introduce la necessità di diversificare i livelli di visibilità e trattamento delle immagini da parte degli incaricati, autorizzati tramite credenziali specifiche
- Tempi di Conservazione (Art. 25): Il Regolamento esplicita criteri rigidi per cui i dati devono essere conservati solo per il tempo strettamente necessario al raggiungimento delle finalità. Una volta cessata la necessità devono essere previste procedure per la cancellazione o anonimizzazione dei a meno che non siano confluiti in un fascicolo processuale
L’ accountability della Amministrazione Titolare: adeguatezza delle misure di sicurezza e DPIA
Valutata la articolata normativa concorrente relativa alla tutela dei dati applicabile ai soggetti ristretti in CDS emerge l’importanza, nella costruzione nella compliance nelle aree di custodia, dell’ implementazione di rigorosi standards e procedure operative proporzionate ed adeguate alle finalità perseguite.
Una parte importante della disciplina di riferimento e’ infatti dedicata alla Protezione dei dati cd. “dalla progettazione e per impostazione predefinita”, che ricalca quasi integralmente l’art. 25 del GDPR, ma con adattamenti specifici per le autorità giudiziarie e di polizia (cfr. L’articolo 18 del D.Lgs. 51/2018 che recepisce l’articolo 20 della Direttiva LED). Anche in questa tipologia di operazioni di trattamento sono infatti state rese obbligatorie la:
- Protezione fin dalla progettazione (By Design) : adozione di misure tecniche e organizzative adeguate (come la minimizzazione o la pseudonimizzazione) sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso
- Protezione per impostazione predefinita (By Default): Il Titolare deve garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specificafinalità del trattamento.
Dette misure di sicurezza coinvolgono anche la documentazione utilizzata presso i Comandi e sul punto si ha avuto modo di esaminare il Modello del Registro dei Transiti che, in quanto contenente anche dati sanitari, importa precisi obblighi quali l’ indicazione trasparente e corretta dei tipi di informazioni sanitarie acquisite nonché la mappatura del trattamento e dei relativi tipi di dati nel Registro del Titolare.
Ma il pilastro centrale di una corretta accountability e’ rappresentato da la DPIA (Valutazione d’Impatto), obbligatoria ai sensi dell’art. 23 del D.lgs. 51/2018 per i trattamenti ad alto rischio come la videosorveglianza. La DPIA non va intesa dalle Amministrazione come mero onere burocratico, ma quale strumento istruttorio e programmatorio di governo del rischio che tutela l’amministrazione e in particolare le azioni degli operatori stessi, dimostrando la correttezza delle scelte tecnico-organizzative effettuate.
La Valutazione funge infatti da analisi che permette al titolare di esaminare preventivamente la natura e i rischi di un trattamento, orientando così la scelta delle misure di sicurezza più idonee e garantendo l’applicazione concreta dei principi di necessità e proporzionalità (LED) implementando il processo di responsabilizzazione (accountability)
Tabella riassuntiva degli obblighi Direttiva 2016/680/UE dc.d “LED”
In conclusione, sebbene la determinazione del perimetro giuridico sia complessa e per via della natura “mista” di molte attività per cui il Titolare dei dati si trova a dover garantire simultaneamente il rispetto della dignità e riservatezza dell’interessato e le esigenze di polizia giudiziaria quali la conservazione delle prove e dovere di protezione del ristretto, rimangono in capo allo Stesso obblighi specifici di protezione dei dati che, sebbene possano costituire una sfida in termini di costi e organizzazione, costituiscono adempimenti imprescindibili legati all’ accountability dell’Amministrazione in carico dei trattamenti.
In questo senso il DPO dell’Amministrazione agisce come il “custode della conformità”, che monitora l’adeguatezza delle misure di sicurezza adottate nelle procedure adottate dall’Autorità di Polizia competente e la supporta nel dimostrare che trattamenti invasivi quali la videosorveglianza sono attivati e gestiti nel rispetto dei principi della normativa europea di riferimento.
Sulla base della ricostruzione fin qui operata è possibile ritenere che la tutela dei dati personali dei soggetti in fase di trattenimento non è un mero adempimento burocratico, ma un pilastro fondamentale che agisce in sinergia con i diritti umani, rafforzando la tutela della dignità della persona privata della libertà. La conformità delle operazioni di trattamento dei dati rappresenta, in conclusione, un imprescindibile strumento di rafforzamento dei diritti dei detenuti e, parallelamente, una strumento di tutela per le Forze di Polizia, poiché regole chiare e processi documentati e validati previa Valutazione d’Impatto, prevengono errori e delimitano con precisione l’ambito delle responsabilità amministrative.
A cura di
Dott.ssa Cristina Pieretti
Avv. Chiara De Angelis
[1] Articolo 8, paragrafo 2, della Convenzione Europea dei Diritti dell’Uomo (CEDU). Sul punto cfr. Corte EDU, Gorlov e altri c. Russia, 2 luglio 2019, ricorsi nn. 27057/06, 56443/09 e 38904/10
[2] Provvedimento Garante 17 gennaio 2024 (doc. web n. 9977020):
