Non si possono chiedere alle persone le motivazioni dei loro spostamenti (dietro cui magari ci sono “delicati aspetti della vita privata“), nè si possono raccogliere dati personali in maniera massiva, come invece avveniva per chi doveva compilare i moduli e ottenere un ticket di accesso. È per questi motivi che l’Autorità garante della privacy ha bocciato il contributo di accesso del Comune di Venezia, multando l’amministrazione per 10.000 euro ordinando una serie di misure correttive da apportare al meccanismo del contributo entro 30 giorni.
“CHI TI HA INVITATO A VENEZIA?”
Il problema più spinoso della raccolta effettuata dal Comune di Venezia riguarda in particolare le persone che si registravano per evitare di pagare il ticket con la motivazione di andare a trovare qualcuno in città: gli veniva chiesto di dire da chi erano stati invitati (l’essere invitato da qualcuno residente a Venezia era motivo di esenzione) e perchè, o dove dovevano andare, e a fare cosa. Informazioni che non possono essere chieste, dice il Garante, si tratta di violazione della privacy.
Nella decisione del Garante, si legge che “le modalità con cui il Comune di Venezia ha disciplinato l’applicazione del contributo per l’accesso comportano un trattamento massivo di dati personali riferiti non solo ai soggetti tenuti al pagamento del contributo d’accesso ma, soprattutto, a coloro che ne sono esclusi o esentati”, e che tale raccolta “non appare necessaria né proporzionata, in quanto le informazioni rese in sede di pre-registrazione per l’acquisizione del QR-code ai fini dell’accesso non costituiscono dichiarazioni ai sensi della d.P.R. n. 445 del 2000”. Cosa accadeva poi di tutti questi dati raccolti? Il Garante ha ritenuto che “soltanto una percentuale decisamente trascurabile sarà effettivamente utilizzata per finalità tributarie”, pur acquisendo dati “riguardanti gli spostamenti e le relative motivazioni ad essi sottese, potenzialmente afferenti a delicati aspetti della vita privata”. Che quindi non potevano venire chiesti e raccolti. Tant’è che, si legge ancora nel provvedimento, con questo sistema sono stati violati “i principi di necessità e di proporzionalità, di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, di limitazione della conservazione, di integrità e riservatezza, nonché di privacy by design e privacy by default” (artt. 5, par. 1, lett. a), b), c), e) ed f, e 6, parr. 1, lett. e), e 3, nonché 25 e 32 del Regolamento)”.
CORRETTIVI ENTRO 30 GIORNI
I funzionari dell’Autorithy hanno criticato anche i chioschi (i “totem”) dove si poteva fare la registrazione, sottolineando che “le impostazioni programmate su tali dispositivi fossero modificabili dagli utenti durante l’utilizzo, in violazione del principio di ‘integrità e riservatezza’ che impone l’adozione di misure tecniche e organizzative… volte a garantire un’adeguata riservatezza dei dati personali”. Per tutti questi motivi, il Garante ha ordinato al Comune di adottare una serie di misure correttive. Tra cui: “Individuare ulteriori categorie di interessati che non debbano pre-registrarsi sul Portale”, sospendere la raccolta dati “dei soggetti invitati dai residenti nel Comune di Venezia” e anche “disciplinare nel dettaglio la procedura per i controlli successivi”.
L’INTERROGAZIONE DEL PD
La sanzione del Garante della Privacy è del 4 agosto 2025 e stigmatizza le modalità di trattamento dei dati personali legato all’attuazione del Regolamento del Contributo d’accesso. Alla luce di questo, il Pd ha presentato un’interrogazione all’amministrazione chiedendo urgentemente cosa si intenda fare per rimediare alle irregolarità riscontrate dall’Autorithy. A firmare l’interrogazione sono i consiglieri Giuseppe Saccà, Sara Visman, Marco Gasparinetti, Cecilia Tonon, Gianfranco Bettin, Alessandro Baglioni, Alberto Fantuzzo, Emanuele Rosteghin, Monica Sambo, Paolo Ticozzi, Gianluca Trabucco e Emanuela Zanatta.
Chiedono all’amministrazione “quali azioni concrete ha adottato e intenda adottare la Giunta per dare piena attuazione ai rilievi e agli ordini contenuti nel provvedimento, “al fine di assicurare il rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, limitazione delle finalità, limitazione della conservazione, integrità e riservatezza, privacy by design e privacy by default, nel contesto in esame”. E ancora: entro quali tempistiche l’Amministrazione prevede di modificare il sistema di registrazione ed esenzione, e come verrà garantita la “minimizzazione e limitazione delle finalità”; Se è stato avviato un audit interno sulle misure di sicurezza e integrità dei sistemi (es. totem) come richiesto dal Garante; Per quale motivo sono rimaste inascoltate le molte segnalazioni di amministratori e cittadini sul tema di privacy, che hanno poi trovato riscontro nel provvedimento citato in premessa.