DISCLAIMER: In questo artiolo, useremo il termine “fototrappole”, per semplicità. Tuttavia, sotto questa etichetta, intendiamo i sistemi professionali di videosorveglianza mobile per il contrasto ai reati ambientali — non gli strumenti amatoriali a uso faunistico.
Nel 2022 il Comune di Taranto è stato sanzionato dal Garante Privacy per 350.000 euro per l’uso scorretto di fototrappole installate per contrastare l’abbandono dei rifiuti.
Nello stesso anno il Comune di Orte ha ricevuto una sanzione di 20.000 euro per fototrappole installate “in fase di test” senza valutazione d’impatto né informativa. Pochi mesi dopo è toccato al Comune di Policoro, multato per 26.000 euro per non aver mai definito un tempo massimo di conservazione delle immagini.
Nel 2025 sono arrivati i provvedimenti contro Recco e Nave.
Davanti a questi numeri, la prima reazione di un’Amministrazione che valuta l’installazione di fototrappole è prevedibile: meglio rimandare. Ed è la reazione sbagliata.
Le fototrappole non vengono sanzionate per quello che sono. Vengono sanzionate per come vengono gestite. La differenza tra un Comune protetto e un Comune sanzionato non è nella tecnologia — è in una checklist procedurale di sette punti che il Garante ha già messo nero su bianco nei suoi provvedimenti.
In questo articolo vediamo i cinque casi più rilevanti, estraiamo i pattern degli errori e ricaviamo la checklist operativa che il DPO comunale può applicare oggi stesso. Iniziamo.
Le regole del Garante per le fototrappole comunali nel 2026
Il Provvedimento del 4 giugno 2025 [doc 10163530], pur emesso a chiusura del caso Recco, ha un valore doppio: definisce in chiaro le condizioni alle quali un Comune può oggi installare e usare fototrappole per il contrasto agli illeciti ambientali. È diventato di fatto lo schema operativo che ogni DPO comunale dovrebbe stampare e tenere sulla scrivania.
Le cinque condizioni di liceità stabilite dal Garante:
- Aree specifiche e circoscritte. Le fototrappole non possono essere installate “preventivamente” su aree generiche. Devono coprire luoghi precisi, individuati e documentati.
- Rischio effettivo di illecito. Sull’area deve insistere un rischio reale e documentato di abbandono o conferimento scorretto di rifiuti. Statistica delle violazioni passate, segnalazioni, sopralluoghi.
- Residualità rispetto a sistemi alternativi. L’uso della fototrappola è lecito solo se non è possibile o efficace ricorrere ad altri strumenti di controllo (telecamere fisse mirate, presidi periodici della Polizia Locale).
- Minimizzazione dei dati. Angolo di visuale stretto, limitato all’area effettivamente interessata dal fenomeno. No grandangolo. No riprese di marciapiedi adiacenti, finestre di abitazioni private, attività commerciali.
- Informativa adeguata. Cartello di primo livello visibile in prossimità della zona videosorvegliata, con i contenuti minimi previsti dall’art. 13 GDPR. Informativa estesa di secondo livello disponibile (link, QR code, pubblicazione sul sito istituzionale).
A queste cinque condizioni si aggiungono — e sono altrettanto vincolanti — i requisiti generali del Regolamento (UE) 2016/679: la valutazione d’impatto ex art. 35, la nomina dei responsabili esterni del trattamento ex art. 28, le misure tecniche di sicurezza ex art. 32. Sono questi requisiti, mancati o gestiti male, che hanno generato le sanzioni dei cinque casi che vediamo nelle prossime sezioni.
C’è un punto importante che il DL 116/2025, convertito nella Legge 147/2025 (“Terra dei Fuochi”), ha rafforzato la base giuridica per la videosorveglianza ambientale dei Comuni. Ma la base giuridica non sostituisce gli obblighi GDPR. Li affianca. Un Comune che oggi installa fototrappole confidando solo nella nuova legge, senza la cornice procedurale GDPR, è un Comune che si espone esattamente come quello del 2022.
Taranto: 350.000 euro, la sanzione più pesante d’Italia per fototrappole
Il 28 aprile 2022 il Garante ha emesso due ordinanze ingiunzione contemporanee. La prima, da 150.000 euro, contro il Comune di Taranto [doc 9777974]. La seconda, da 200.000 euro, contro AMIU s.p.a. [doc 9777996], la società in-house che gestiva il servizio rifiuti per conto del Comune. Totale: 350.000 euro.
Le fototrappole erano state installate da AMIU nelle aree più sensibili della città, dove l’abbandono di rifiuti era più frequente. La finalità — contrastare un fenomeno reale — era legittima. Tutto il resto è stato gestito male.
Le quattro violazioni che hanno portato alla sanzione record:
- Assenza di informativa adeguata ai cittadini sulla presenza delle fototrappole. Né cartelli di primo livello in loco, né informativa estesa pubblicata.
- Mancata valutazione d’impatto sulla protezione dei dati (DPIA) ex art. 35 GDPR. Per un trattamento di dati personali su larga scala in spazi pubblici, la DPIA non è opzionale. È obbligatoria, e va fatta prima dell’installazione.
- Designazione tardiva di AMIU come responsabile del trattamento ex art. 28 GDPR. Il Comune (titolare del trattamento) avrebbe dovuto nominare formalmente AMIU come responsabile prima dell’avvio dell’attività. La mancanza di questo passaggio formale ha esposto entrambi.
- Pubblicazione di immagini delle fototrappole sui canali social istituzionali, con riprese che permettevano l’identificazione di persone non sanzionate ma incidentalmente riprese. Una violazione che ha aggravato in modo decisivo il quadro complessivo.
Tradotto in articoli del Regolamento, le violazioni hanno coinvolto gli artt. 5 (principi generali del trattamento), 6 (liceità), 13 (informativa), 28 (responsabili esterni), 35 (DPIA) e 37 (designazione del DPO).
C’è un punto che il caso Taranto rende evidente meglio di qualunque altro: la responsabilità non si esaurisce nel Comune. Quando una società in-house gestisce le fototrappole, la responsabilità è dell’una E dell’altro — e le sanzioni colpiscono entrambi. Il fatto che AMIU abbia preso una sanzione più alta del Comune (200k contro 150k) non significa che il Comune sia “meno responsabile”. Significa che la struttura formale dei rapporti, art. 28 GDPR alla mano, non era stata costruita correttamente — e il Garante l’ha rilevato come responsabilità autonoma di entrambi.
Per chi oggi sta valutando un’installazione, questo è il primo punto da fissare: la qualifica formale dei soggetti coinvolti precede l’installazione. Non la segue.
Orte: 20.000 euro per fototrappole installate “in fase di test” senza DPIA
Il 7 aprile 2022, con ordinanza ingiunzione n. 119 [doc 9773950], il Garante Privacy ha sanzionato il Comune di Orte per 20.000 euro. Il caso era partito dalla denuncia di un cittadino sanzionato amministrativamente sulla base di immagini riprese da una fototrappola installata per contrastare l’abbandono dei rifiuti.
La difesa del Comune merita di essere letta per intero: l’Amministrazione ha sostenuto di aver installato i dispositivi in via sperimentale, “per testarne il funzionamento”, e ha argomentato che le tutele GDPR sarebbero state introdotte solo a sperimentazione conclusa. Il Garante ha bocciato tutta la linea difensiva, e l’ha fatto in modo netto.
L’istruttoria ha rilevato tre violazioni cumulative:
- DPIA mai svolta ex art. 35 GDPR. Il Comune non aveva effettuato la valutazione d’impatto preliminare all’installazione, malgrado il trattamento — videosorveglianza in spazi pubblici per finalità di accertamento di violazioni amministrative — rientri tra i casi in cui la DPIA è obbligatoria.
- Informativa di primo livello assente. Nessun cartello segnalava al cittadino l’ingresso in un’area videosorvegliata.
- Misure tecniche e organizzative non implementate. Nessuna procedura di limitazione della conservazione, nessun controllo accessi, nessun protocollo per la gestione delle immagini raccolte.
Il principio che il Garante ha codificato in questa occasione vale per ogni Amministrazione che valuta l’acquisto di nuovi sistemi: la natura “sperimentale” o “di test” di un trattamento non autorizza a posticipare gli adempimenti privacy. Dal momento in cui un dispositivo raccoglie il primo dato personale, tutte le tutele del GDPR si applicano integralmente.
Per il Comandante di Polizia Locale o il Dirigente dell’Ufficio Tecnico che si trova davanti a un’offerta tecnologica con la formula “provatela per qualche mese e poi decidete”, la conseguenza operativa è una: prima del primo accendimento devono essere già pronti DPIA, informative, designazioni dei responsabili e misure di sicurezza. Non c’è una “modalità prova” che esoneri dal GDPR.
Recco, Policoro, Nave: tre errori che mettono a rischio qualunque Comune
Le sanzioni di Recco, Policoro e Nave sono state quantitativamente più contenute rispetto a Taranto, ma proprio per questo sono i casi più importanti per la maggioranza dei Comuni italiani: sono errori frequenti, non eclatanti, che possono colpire qualsiasi Amministrazione di buona fede.
Recco: la difesa che ha generato lo schema valido per tutti
Il caso del Comune di Recco [doc 10163530] è partito dal reclamo di un cittadino sanzionato per conferimento errato dei rifiuti. Il cittadino lamentava l’omessa segnaletica informativa nei pressi della zona videosorvegliata.
Nel difendersi, il Comune ha precisato di non utilizzare fototrappole ma “telecamere di contesto” e telecamere fisse configurate con angolo di visuale ristretto, mirato esclusivamente all’area di conferimento. Il Garante ha accolto la distinzione operata dal Comune e, proprio nel motivare la decisione, ha codificato lo schema operativo per le fototrappole che abbiamo visto nella prima sezione.
La lezione paradossale è questa: anche un Comune che ha gestito tutto correttamente sul piano tecnico (angolo di ripresa stretto, finalità mirata) può generare un reclamo se la segnaletica non è gestita con altrettanta cura. La cartellonistica non è un accessorio dell’impianto. È parte dell’impianto.
Policoro: 26.000 euro per non aver definito i tempi di conservazione
Il 9 giugno 2022, con ordinanza ingiunzione [doc 9794895], il Garante ha sanzionato il Comune di Policoro per 26.000 euro. Il caso è partito dal reclamo di un cittadino, sanzionato amministrativamente per abbandono di rifiuti urbani sulla base di un filmato di una fototrappola comunale.
L’elemento che rende questo provvedimento particolarmente rilevante è il dettaglio temporale. L’accertamento della violazione amministrativa è arrivato al cittadino più di due mesi dopo la data di registrazione delle immagini. Il Comune, infatti, non aveva mai stabilito né formalizzato un tempo massimo di conservazione dei filmati raccolti dalle fototrappole. Le immagini venivano archiviate a tempo indeterminato, in attesa di una eventuale verifica.
Il Garante ha qualificato la condotta come violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e, GDPR), che impone di conservare i dati personali “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. A questa violazione si è aggiunta l’inadeguatezza della segnaletica informativa: i cartelli installati non riportavano la finalità specifica del controllo né i contenuti minimi previsti dall’art. 13 GDPR.
Il principio operativo che emerge è netto. La definizione del tempo massimo di conservazione delle immagini non è un dettaglio tecnico da rimandare alla configurazione del sistema. È una decisione di policy che il titolare del trattamento — il Comune — deve prendere, formalizzare e documentare prima dell’avvio del trattamento. Tradotto: nel capitolato d’acquisto di una fototrappola deve essere già scritto per quanto tempo le immagini vengono conservate, e il sistema deve essere tecnicamente configurato per cancellarle automaticamente al termine.
Nave: le finalità ambientali non legittimano la videosorveglianza generica
Il Comune di Nave [doc 10196164], con provvedimento del 23 ottobre 2025, è stato richiamato dal Garante per aver utilizzato telecamere ad ampio angolo per finalità di “tutela ambientale” e di “polizia amministrativa”, senza indicare una base normativa specifica che legittimasse un trattamento così esteso.
Qui il principio si applica a ogni Comune. La finalità “tutela ambientale” è legittima in sé, ma non basta a giustificare qualunque tipo di videosorveglianza. Il principio di minimizzazione (art. 5 GDPR) impone che il trattamento sia proporzionato alla finalità. Una telecamera ad ampio angolo che riprende un’intera piazza per “sorvegliare l’abbandono di rifiuti” sta riprendendo una quantità di dati personali sproporzionata rispetto alla finalità dichiarata.
Il messaggio per il DPO comunale è netto: ogni installazione deve poter rispondere alla domanda “perché questa telecamera ha bisogno di vedere proprio questa porzione di territorio?”. Se la risposta è “per sicurezza”, manca la specificità. Se la risposta è “per sorvegliare lo scarico abusivo nel punto X”, la telecamera deve essere puntata sul punto X — non sulla piazza che lo contiene.
La checklist anti-sanzione: 7 punti che ogni Comune deve verificare prima di installare una fototrappola
I cinque casi visti finora mostrano errori diversi ma riconducibili a un’unica origine: la conformità al GDPR è stata trattata come un adempimento successivo, non come un requisito di progettazione dell’impianto. Quando la conformità arriva dopo, il rischio si è già materializzato.
Ecco la checklist che il DPO comunale, il Segretario o il Comandante di Polizia Locale dovrebbero verificare punto per punto prima di firmare l’autorizzazione all’installazione.
1. Valutazione d’impatto sulla protezione dei dati (DPIA), art. 35 GDPR. Per un trattamento di videosorveglianza in spazi pubblici, su larga scala e con finalità di accertamento di violazioni amministrative, la DPIA è obbligatoria. Va redatta prima dell’installazione, non dopo. Va aggiornata ogni volta che si modifica il perimetro dell’impianto.
2. Aree circoscritte e rischio effettivo documentato. Ogni installazione deve essere accompagnata da una motivazione scritta: perché proprio quest’area, sulla base di quali dati storici di violazioni, segnalazioni, sopralluoghi. La fototrappola “preventiva” su area generica è in chiaro contrasto con i criteri tracciati dal Garante.
3. Residualità rispetto a sistemi alternativi. Va dimostrato per iscritto perché altri strumenti di controllo (telecamere fisse mirate, presidi periodici della Polizia Locale, sensibilizzazione) non sono possibili o non sono efficaci per quel fenomeno specifico in quell’area specifica. La fototrappola è una scelta motivata, non una scelta automatica.
4. Minimizzazione: angolo stretto, mascheramento privacy, ottiche direzionali. L’angolo di ripresa deve essere il più stretto possibile, limitato all’area dove si verifica il fenomeno. Eventuali porzioni non rilevanti che cadono nel campo visivo (finestre private, marciapiedi adiacenti, ingressi di esercizi commerciali) vanno mascherate digitalmente. No grandangolo per “vedere meglio”.
5. Informativa di primo livello e di secondo livello, entrambe complete. Il cartello informativo di primo livello (visibile prima dell’ingresso nell’area videosorvegliata) deve indicare il titolare, le finalità, la base giuridica, la durata di conservazione e il rinvio all’informativa estesa. L’informativa di secondo livello (pubblicata sul sito istituzionale o accessibile via QR code) deve contenere tutti i contenuti dell’art. 13 GDPR. Entrambe presenti, entrambe complete.
6. Nomina del responsabile esterno del trattamento, art. 28 GDPR. Qualunque fornitore tecnologico che acceda ai dati, anche solo per assistenza tecnica o manutenzione, deve essere nominato responsabile del trattamento con atto scritto. La nomina va sottoscritta prima dell’avvio del trattamento. Il fornitore deve presentare garanzie documentate (certificazioni ISO, qualificazioni cloud, audit di sicurezza).
7. Sicurezza tecnica del trattamento, art. 32 GDPR. Crittografia dei dati a riposo e in transito, controllo accessi differenziato per ruolo, logging delle operazioni, conservazione limitata nel tempo con sovrascrittura automatica, protezione fisica del dispositivo contro la sottrazione. Sono i requisiti minimi. Il fornitore deve poterli documentare con schede tecniche, non con dichiarazioni generiche.
A queste sette voci si aggiunge un principio trasversale: la documentazione. Ogni scelta — la motivazione del rischio, la valutazione di residualità, la nomina del responsabile, la verifica delle misure di sicurezza — va messa per iscritto e conservata. In caso di ispezione del Garante, il primo elemento richiesto è la documentazione delle scelte fatte. La sua assenza pesa più dell’errore stesso.
Una checklist così strutturata rende esplicito un punto che i cinque casi visti rendono evidente: la conformità al GDPR non è uno strato applicato sopra il sistema. È la struttura del sistema. E quando la struttura è giusta, il sistema diventa difendibile da solo.
Privacy by design: l’unica via per uscire dal rischio strutturale
L’art. 25 GDPR — “protezione dei dati fin dalla progettazione e per impostazione predefinita” — è la risposta normativa al problema che i cinque casi rendono evidente. La conformità non si “appicca” a un sistema dopo averlo acquistato. Si progetta dentro il sistema. E quando il sistema è progettato così, la checklist dei sette punti smette di essere una preoccupazione del DPO e diventa una caratteristica nativa dell’impianto.
I sistemi professionali di videosorveglianza mobile Ekiller sono stati progettati intorno a questa logica. Vediamo come la checklist trova risposta nelle caratteristiche native del sistema.
Sull’art. 25 GDPR (privacy by design), le registrazioni sono crittografate AES 256-bit direttamente sulla microSD interna, con chiave univoca per ogni dispositivo e non accessibile dall’esterno. Il dispositivo è protetto fisicamente da gabbia in acciaio inox, doppio lucchetto e catena antisabotaggio. Sulle riprese si possono applicare maschere di privacy che oscurano in modo non recuperabile le aree non rilevanti. La registrazione può essere configurata su evento (non continua), riducendo strutturalmente la quantità di dati raccolti.
Sull’art. 32 GDPR (sicurezza del trattamento), gli accessi sono profilati per ruolo (visualizzazione, gestione operativa, amministrazione completa) con credenziali univoche, blocco temporaneo dopo tentativi falliti, notifica via e-mail in caso di accessi anomali, logging completo delle operazioni con orario, IP e credenziali. Le comunicazioni tra dispositivo e piattaforma di gestione avvengono tramite connessione end-to-end crittografata.
Sull’art. 28 GDPR (nomina del responsabile), Sainvent S.r.l. — la società che produce Ekiller — è disponibile a sottoscrivere accordi di nomina conformi all’art. 28 comma 3 del GDPR, fornisce su richiesta schede tecniche, policy di sicurezza, audit interni e documentazione di supporto per la valutazione d’impatto. La nomina può essere predisposta prima dell’installazione, evitando la dinamica che ha portato il Garante a sanzionare congiuntamente Comune e società affidataria nel caso Taranto/AMIU.
Sulle garanzie del fornitore, le certificazioni in essere coprono ISO 9001:2015 (gestione qualità), ISO/IEC 27001:2022 (sicurezza delle informazioni), ISO/IEC 27017:2015 (sicurezza del cloud), ISO/IEC 27018:2019 (protezione dei dati personali in cloud). Il software Ekiller VMS in cloud è qualificato secondo gli standard dell’Agenzia per la Cybersicurezza Nazionale (ACN), con scheda servizio SaaS Ekiller VMS (ID Scheda SA-6240).
Sono 550 i Comuni italiani che oggi operano con i sistemi Ekiller. 1.800 i dispositivi installati sul territorio nazionale. Oltre 80.000 le sanzioni elevate grazie alle prove raccolte. Numeri che non sono un argomento commerciale: sono la dimostrazione operativa che la conformità by design e l’efficacia operativa non sono in conflitto. Sono lo stesso obiettivo, raggiunto con la stessa progettazione.
Per un Comune che oggi valuta come dotarsi per applicare le nuove norme ambientali senza esporsi al rischio Garante, la differenza sostanziale è una sola: scegliere un sistema in cui la conformità è una caratteristica nativa, non un’attività successiva da gestire da sé.
Domande Frequenti
Le fototrappole comunali sono legali nel 2026?
Sì, sono legali. Il Garante non le ha mai vietate. Ma sono lecite solo quando rispettano cinque condizioni: aree circoscritte, rischio effettivo documentato, residualità rispetto a sistemi alternativi, minimizzazione dei dati, informativa adeguata. Sono le condizioni codificate dal Garante con il provvedimento del 4 giugno 2025. A queste si aggiungono i requisiti generali del GDPR (DPIA, nomina del responsabile, sicurezza tecnica).
Serve sempre la DPIA per installare una fototrappola?
Sì. Il trattamento di dati personali tramite videosorveglianza in spazi pubblici, finalizzato all’accertamento di violazioni amministrative, rientra tra i casi in cui la valutazione d’impatto sulla protezione dei dati (art. 35 GDPR) è obbligatoria. La DPIA va redatta prima dell’installazione, non dopo. Va aggiornata ogni volta che si modifica il perimetro dell’impianto. La sua assenza è stata uno dei punti centrali della sanzione di 350.000 euro al Comune di Taranto.
Cosa rischia un Comune che installa fototrappole senza informativa?
Le sanzioni del Garante per assenza o inadeguatezza dell’informativa vanno dalle decine di migliaia di euro per i casi più contenuti (20.000 euro al Comune di Orte, 26.000 euro al Comune di Policoro) fino alle sei cifre nei casi più gravi (150.000 euro al Comune di Taranto, 200.000 euro alla società di gestione AMIU). A queste si aggiungono le conseguenze indirette: l’esposizione mediatica del provvedimento, la perdita di credibilità presso i cittadini e il rischio che le sanzioni elevate sulla base di quei filmati vengano annullate in giudizio per mancanza di prova legittima.
Chi è il titolare del trattamento quando la fototrappola è gestita da una società esterna?
Il titolare resta il Comune. La società esterna è responsabile del trattamento ex art. 28 GDPR e va nominata formalmente con atto scritto, prima dell’avvio dell’attività. Il Comune risponde anche degli errori del responsabile, perché ha l’obbligo di scegliere fornitori “che presentino garanzie sufficienti”. Il caso Taranto del 2022 ne è la dimostrazione più netta: il Garante ha sanzionato sia il Comune (150.000 euro) sia la società affidataria AMIU s.p.a. (200.000 euro), perché entrambi titolari di obblighi distinti ma cumulativi sotto il GDPR.
Quanto a lungo si possono conservare le immagini di una fototrappola?
Il GDPR non fissa un termine assoluto. Il principio è quello della “limitazione della conservazione” (art. 5 GDPR): le immagini vanno conservate per il tempo strettamente necessario alla finalità per cui sono state raccolte. Nella prassi e nelle indicazioni del Garante, per finalità di accertamento di violazioni amministrative ambientali, ci si orienta su tempi brevi (24-72 ore per le immagini non rilevanti, fino al termine del procedimento sanzionatorio per quelle relative a violazioni accertate). La sovrascrittura automatica dei dati al termine del periodo è un requisito di privacy by design (art. 25 GDPR).
Le immagini di una fototrappola possono essere pubblicate sui social del Comune?
No. La pubblicazione di immagini riprese da fototrappole sui canali social istituzionali è una delle violazioni più gravi che il Garante ha sanzionato. Nel caso AMIU/Taranto è stato uno dei fattori che ha portato alla sanzione di 200.000 euro. Le immagini sono raccolte per una finalità specifica (accertamento di un illecito), e usarle per finalità diverse (comunicazione, sensibilizzazione, “esposizione mediatica” del trasgressore) costituisce trattamento ulteriore non compatibile con la finalità originaria, in violazione dell’art. 5 GDPR.
Per saperne di più
Le cinque sanzioni del Garante non sono casi isolati. Sono il sintomo di una transizione: i Comuni stanno acquisendo strumenti più potenti per il contrasto ai reati ambientali, ma le procedure di gestione dei dati personali non sempre stanno crescendo allo stesso ritmo. La conseguenza è che i sistemi efficaci sul piano operativo possono diventare problematici sul piano normativo.
Esiste una via per evitare questo doppio rischio. Si chiama privacy by design e significa scegliere sistemi che siano nativamente conformi alla checklist dei sette punti. È la strada che oggi seguono 550 Comuni italiani.
Se stai valutando l’installazione di un sistema di videosorveglianza ambientale per il tuo Comune, o se vuoi verificare la conformità di un impianto già attivo, richiedi una valutazione tecnico-giuridica del tuo progetto compilando il modulo di contatto. Un nostro consulente analizzerà la tua situazione specifica e ti fornirà un quadro chiaro dei punti di forza, dei rischi e delle soluzioni operative.
Ultimo aggiornamento il 24/04/2026
