In un mondo sempre più simile a quello immaginato da Orwell, dove occhi elettronici spiano ogni angolo della vita privata, il Garante per la protezione dei dati personali, con il provvedimento n. 573 del 1° ottobre 2025, ha tracciato una linea netta: chi raccoglie e diffonde immagini da videocamere di sorveglianza non protette non può più nascondersi dietro lo scudo della “neutralità tecnologica”.
Il principio sancito è destinato a riverberarsi su tutti i servizi digitali basati sull’acquisizione di flussi video: se un sito mostra contenuti catturati da telecamere collocate in luoghi privati, anche se mal configurate e accessibili pubblicamente, non è un semplice “passante” digitale. Diventa, a tutti gli effetti, titolare del trattamento dei dati personali, con obblighi stringenti di tutela, sicurezza e responsabilità.
Conta ciò che il servizio fa concretamente – raccogliere, organizzare e mostrare – non ciò che dichiara di essere.
Il caso
Tutto comincia con una segnalazione.
Un sito, apparentemente come tanti altri nel sottobosco dello streaming per adulti, inizia ad attirare l’attenzione per qualcosa di strano: contenuti troppo realistici, troppo privati. Non attori, ma persone inconsapevoli. Ambienti domestici, stanze da letto, cucine, salotti. Il sospetto prende forma: e se quei video non fossero stati caricati da utenti consenzienti, ma rubati in tempo reale da videocamere IP lasciate aperte, non protette, vulnerabili?
L’indagine parte.
Gli investigatori del Garante si muovono con discrezione, analizzano il sito, leggono i termini di servizio. Il quadro che emerge è inquietante: dietro la facciata di neutralità, si intravede un ingranaggio ben oliato, forse capace di raccogliere e trasmettere attivamente flussi video, pescando dalle falle di sicurezza nelle case italiane. Il gestore declina le proprie responsabilità. Ma i dettagli tecnici – il modo in cui i video appaiono, la struttura delle pagine, la consistenza dei contenuti – raccontano un’altra storia. Una storia che, come in ogni buon giallo, porta il sospetto dritto al cuore del sistema. È a questo punto che il Garante Privacy decide di intervenire. E lo fa con urgenza.
Il cuore innovativo del provvedimento consiste nel ridefinire con chiarezza i confini della responsabilità nei servizi digitali che fanno uso di immagini raccolte da fonti non protette. In particolare, viene smontato lo “schermo” della neutralità tecnica: se un soggetto costruisce un sistema che reperisce, aggrega, indicizza e trasmette immagini provenienti da ambienti privati, non può sottrarsi agli obblighi di tutela sul trattamento dati.
Questo implica che ogni fase dell’attività – dalla raccolta alla messa online – deve essere conforme ai principi fondamentali di tutela della persona. Si tratta di un cambio di prospettiva rispetto all’idea, troppo spesso abusata, che la rete sia una zona franca in cui le responsabilità si dissolvono nella complessità tecnologica. Al contrario, il Garante Privacy impone un approccio sostanziale: contano gli effetti concreti delle attività svolte.
Il provvedimento del Garante della riservatezza introduce anche un’importante svolta nell’approccio preventivo. Non si limita a sanzionare ciò che è accaduto, ma blocca in anticipo la possibilità che quel modello venga replicato. La logica è chiara: quando esistono indizi gravi e concordanti su un trattamento illecito, l’Autorità può intervenire anche prima che il servizio torni attivo. Questo evita che il danno si ripeta o peggio che si consolidi con inevitabili effetti sugli individui coinvolti. È un metodo di enforcement moderno, che si allinea con l’evoluzione delle tecnologie digitali e con la velocità con cui i dati personali possono essere esposti e sfruttati.
Dal punto di vista sistemico, l’intervento rafforza l’idea stessa che la protezione dei dati non sia solo una materia giuridica, ma anche un argine etico contro la mercificazione della vita privata. Le immagini provenienti da telecamere installate in abitazioni private sono infatti frammenti di quotidianità, sono espressione di libertà, di intimità, di relazioni.
La decisione assume, infine, una portata paradigmatica per l’intera governance della privacy digitale. Stabilisce che non esistono zone a responsabilità minore per chi opera in modo transnazionale. Questo ha una conseguenza pratica importante. Non basta che i server siano montati all’estero per evitare la giurisdizione: è il luogo degli effetti, non della sede legale, a determinare l’applicabilità del diritto. Una conclusione che impone una revisione radicale della logica con cui molte piattaforme digitali gestiscono i dati personali.
In un’epoca in cui le tecnologie di sorveglianza sono sempre più pervasive e spesso sottovalutate, questa decisione segna un punto fermo: la sorveglianza elettronica non autorizzata non è solo una questione tecnica o di sicurezza informatica, ma è – prima di tutto – una violazione della dignità umana. E chi vi partecipa, direttamente o indirettamente, è chiamato a risponderne.