Villa, Siclari (FI): «Cerbero attivato fuori dalle regole, le multe sono vulnerabili»

«Il dibattito in aula sul sistema Cerbero ha portato alla luce un quadro ancora più preoccupante di quello finora emerso. Non solo il Comandante della Polizia Locale ha sostenuto in Consiglio che l’apparato sarebbe “omologato GDPR” o “certificato GDPR” – affermazioni totalmente prive di fondamento tecnico e giuridico – ma, fatto ancora più grave, anche il Sindaco si è apertamente allineato a tali dichiarazioni, difendendole come se fossero corrette.

Una posizione istituzionale – si legge nella nota diffusa da Daniele Siclari, Consigliere Comunale Coordinatore Cittadino Forza Italia – che rischia di alimentare disinformazione, confusione normativa e di giustificare irregolarità che invece sono pienamente riscontrabili negli atti.»

1. DPIA tardiva – Violazione art. 35 GDPR

Il GDPR impone che la Valutazione d’Impatto sia redatta prima dell’attivazione del sistema. A Villa San Giovanni: Cerbero attivo dal 22 luglio 2025

DPIA approvata solo il 10 ottobre 2025

Per quasi tre mesi il sistema ha operato senza i requisiti minimi di legge.

2. Informativa mancante – Violazione artt. 12 e 13 GDPR

La cartellonistica completa è comparsa solo negli ultimi giorni. Per mesi i cittadini sono stati ripresi senza informativa preventiva, violando trasparenza e correttezza.

Secondo Cass. 28378/2023: dati raccolti in violazione della privacy = prova inutilizzabile.

3. Ordinanza retroattiva – Atto inefficace

L’ordinanza è stata firmata il 28 luglio, ma resa efficace dal 22 luglio.

Gli atti amministrativi non possono avere effetti retroattivi, meno che mai se generano sanzioni e raccolta dati.

Le sanzioni del 22–28 luglio sono viziate.

4. DPIA che definisce il sistema “a rischio minimo” – Valutazione errata

Il Comune qualifica Cerbero come sistema a “rischio minimo”, mentre il Garante e l’EDPB stabiliscono che i sistemi OCR sono sempre ad alto rischio.

Una DPIA che minimizza il rischio è non conforme e non legittima il trattamento.

5. Governance privacy critica – DPO individuato nel Segretario Comunale

Il DPO è il Segretario Generale. Pur essendo legittimo, il ruolo apicale richiede particolare indipendenza (art. 38 GDPR), che in questa vicenda non risulta adeguatamente garantita.

6. Sindaco e Comandante allineati su dichiarazioni tecnicamente errate

È stato affermato – e il Sindaco lo ha confermato pubblicamente – che: l’apparato sarebbe “omologato GDPR”, esisterebbero “certificazioni GDPR” del sistema.

Queste affermazioni sono tecnicamente false: Il GDPR non omologa apparecchiature.

Il GDPR non prevede certificazioni obbligatorie per dispositivi.

Nessun OCR in Italia possiede una certificazione GDPR riconosciuta.

Tali dichiarazioni rischiano di indurre in errore Consiglio, cittadini e stampa.

Conclusione: cinque irregolarità più una posizione politica sbagliata

DPIA tardiva, informativa mancante, ordinanza retroattiva, rischio minimizzato, governance privacy debole, più un Sindaco che difende tesi tecnicamente infondate.

Le sanzioni elevate fra il 22 luglio e il 10 ottobre sono vulnerabili e contestabili. L’Ente rischia ricorsi, danno erariale e intervento del Garante.

«La sicurezza non si improvvisa e la legalità non può essere piegata alle necessità politiche. Quando un Sindaco difende pubblicamente affermazioni tecnicamente sbagliate, la Città corre un rischio ancora maggiore: quello della mancanza di trasparenza. Forza Italia continuerà a vigilare affinché Villa San Giovanni venga amministrata nel rispetto delle norme europee e dei diritti dei cittadini.»