Il sistema del contributo d’accesso a Venezia, pensato per regolare l’afflusso turistico nella città storica e nelle isole minori della laguna, è stato giudicato illegittimo dal Garante (nel provvedimento del 4 agosto 2025) per la protezione dei dati personali. L’Autorità ha rilevato che le modalità di raccolta e gestione dei dati personali da parte del Comune violano i principi fondamentali stabiliti dal Regolamento europeo sulla protezione dei dati (GDPR). Il provvedimento prevede già una sanzione di 10.000 euro e lascia aperta la possibilità di multe ben più rilevanti, fino a 20 milioni di euro, in caso di violazioni gravi e persistenti.
Il procedimento era stato avviato a seguito di segnalazioni e di notizie di stampa, che avevano evidenziato le criticità della registrazione obbligatoria per ottenere il QR-code necessario ad accedere in città. La procedura riguardava non solo i turisti, ma anche categorie esentate dal pagamento: lavoratori, studenti pendolari, residenti temporanei, soggetti con disabilità, persone in visita a familiari residenti o detenuti, cittadini impegnati in visite mediche e numerosi altri casi. Una mole di informazioni che, secondo il Garante, ha generato una raccolta preventiva e sproporzionata rispetto agli scopi dichiarati. L’Autorità ha sottolineato infatti che la registrazione online comportava la raccolta di dati non strettamente necessari, come motivazioni di spostamento e dettagli relativi alla vita personale e familiare degli interessati. Informazioni che avrebbero potuto essere fornite solo in caso di controllo contestuale, attraverso autocertificazioni o documenti. Il trattamento così organizzato, invece, ha comportato una raccolta massiva di dati con un utilizzo effettivo limitato, considerato che solo una minima parte sarebbe stata verificata successivamente dagli uffici comunali.
Un punto particolarmente critico ha riguardato i cosiddetti totem informatici, collocati in punti strategici della città per consentire la registrazione. Durante un’ispezione della Guardia di Finanza, è emerso che le impostazioni del browser potevano essere modificate dagli utenti, con il rischio di rendere visibili dati inseriti in precedenza. Nonostante i file scaricabili contenessero solo iniziali e data di validità, il Garante ha chiarito che anche queste informazioni, se combinate con altri elementi, potevano consentire l’identificazione indiretta degli utenti. La configurazione è stata quindi ritenuta inadeguata sotto il profilo della sicurezza.
Altro elemento di rilievo è la conservazione dei dati. La registrazione anticipata sul portale comunale comportava la memorizzazione delle informazioni personali anche mesi prima dell’accesso effettivo alla città. Questo, secondo l’Autorità, contrasta con il principio di limitazione temporale previsto dal GDPR, che impone di conservare i dati solo per il tempo strettamente necessario agli scopi dichiarati. Durante il confronto con il Garante, il Comune ha introdotto dunque alcune modifiche al regolamento, ampliando la categoria “Altre esenzioni” per ridurre la raccolta di informazioni specifiche e semplificando le procedure per i residenti, i disabili e gli ospiti delle strutture ricettive. Ad ogni modo, le misure correttive sono state considerate parziali e non sufficienti a eliminare le criticità di fondo. Il problema principale, secondo il Garante, resta la sproporzione tra la quantità di dati raccolti e le finalità tributarie.
Un altro aspetto riguarda l’uso dei dati per finalità ulteriori rispetto a quelle fiscali. La normativa comunale collegava la registrazione anche al monitoraggio dei flussi turistici e alla programmazione dei servizi pubblici. In ogni caso, non sono mai state fissate soglie giornaliere di presenze, elemento che avrebbe giustificato un trattamento così ampio. In assenza di tali parametri, la raccolta preventiva di informazioni è stata considerata priva di reale necessità. Il Garante ha quindi stabilito che il trattamento dei dati da parte del Comune di Venezia è stato effettuato in modo illecito, violando i principi di liceità, correttezza, minimizzazione, proporzionalità e riservatezza. Sono state impartite misure correttive: il Comune dovrà ridurre le categorie obbligate alla pre-registrazione, sospendere la raccolta dei dati degli ospiti dei residenti e rafforzare le misure di sicurezza del portale e dei dispositivi utilizzati.
Oltre a disporre un adeguamento delle procedure, il provvedimento stabilisce una multa di 10.000 euro in caso di mancata definizione della controversia. Ma il rischio più grave è rappresentato dall’applicazione dell’articolo 83 del GDPR, che prevede sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuo dell’ente responsabile, per violazioni dei principi fondamentali in materia di dati personali. L’episodio solleva una questione centrale: come conciliare la gestione dei flussi turistici con la tutela dei diritti fondamentali dei cittadini e dei viaggiatori.
Per inviare il commento devi
accedere
o
registrarti.
Non preoccuparti, il tuo commento sarà salvato e ripristinato dopo
l’accesso.
