Verifica del rischio e legittimo interesse nella videosorveglianza condominiale
La videosorveglianza in ambito condominiale rappresenta uno dei trattamenti di dati personali più ricorrenti e, al tempo stesso, più complessi sotto il profilo della protezione dei diritti e delle libertà fondamentali. La ripresa continuativa delle parti comuni, sebbene frequentemente giustificata da esigenze di sicurezza e tutela del patrimonio, comporta un trattamento potenzialmente invasivo che richiede, in capo al Condominio quale titolare del trattamento, un’attenta e consapevole gestione dei rischi e delle basi giuridiche ai sensi del Regolamento (UE) 2016/679.

Il fulcro del sistema delineato dal GDPR è costituito dal principio di accountability, sancito dall’art. 5, par. 2, e sviluppato dagli artt. 24 e 32. Tale principio non si esaurisce nel rispetto formale delle prescrizioni normative, ma impone al titolare di essere in grado di dimostrare nel tempo la conformità del trattamento ai principi di liceità, necessità, proporzionalità e minimizzazione. In questa prospettiva, la compliance privacy non può essere concepita come un insieme di adempimenti statici, bensì come un processo dinamico di valutazione, monitoraggio e aggiornamento.
In termini organizzativi e di governance del trattamento dei dati, tale impostazione trova una rappresentazione efficace nel c.d. Ciclo di Deming (Plan – Do – Check – Act), modello di miglioramento continuo ampiamente utilizzato nei sistemi di gestione e pienamente compatibile con la logica del GDPR.
Applicato alla videosorveglianza condominiale, il ciclo Plan–Do–Check–Act consente di inquadrare la compliance privacy come un processo strutturato: la fase di “Plan” coincide con la pianificazione del trattamento e con le valutazioni preliminari di liceità e rischio (LIA e, se del caso, DPIA); la fase di “Do” riguarda l’implementazione concreta dell’impianto e delle misure tecniche e organizzative; la fase di “Check” si sostanzia nella verifica periodica del funzionamento del sistema, della persistenza o dell’eventuale insorgenza delle condizioni di rischio e della tenuta del bilanciamento degli interessi; infine, la fase di “Act” comporta l’adozione delle misure correttive e l’aggiornamento delle valutazioni e delle misure adottate. Tale ciclo rende evidente come la protezione dei dati personali non possa essere ridotta a un atto iniziale, ma debba essere governata nel tempo.
Le Linee Guida 3/2019 del Comitato europeo per la protezione dei dati (EDPB) qualificano la videosorveglianza come un trattamento suscettibile di presentare rischi significativi, soprattutto quando è sistematica e riguarda aree abitualmente frequentate da una pluralità di soggetti. Tali Linee Guida evidenziano come le riprese video possano incidere in modo rilevante sulle aspettative ragionevoli di riservatezza degli interessati, anche in contesti non strettamente privati. Questa impostazione è stata recepita dal Garante per la protezione dei dati personali nel Documento di indirizzo sul trattamento dei dati personali nell’ambito del condominio, adottato con provvedimento del 10 aprile 2025 e attualmente in consultazione pubblica, nel quale la videosorveglianza è espressamente ricondotta ai trattamenti di titolarità del Condominio ed è assoggettata a un rigoroso obbligo di rendicontazione del rischio.
In tale quadro si colloca la Valutazione d’Impatto sulla Protezione dei Dati (DPIA), disciplinata dall’art. 35 GDPR. È opportuno precisare che la norma non impone una reiterazione automatica e periodica della valutazione d’impatto, ma richiede che essa sia effettuata quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Ne consegue che l’obbligo centrale in capo al titolare non è quello di rifare la DPIA a intervalli prestabiliti, bensì quello di verificare periodicamente la persistenza o l’eventuale insorgenza delle condizioni di rischio che rendono necessaria la valutazione d’impatto.
In questa prospettiva devono essere letti anche i provvedimenti del Garante che richiamano l’aggiornamento periodico della DPIA o la cadenza almeno annuale. Tali indicazioni esprimono l’esigenza di una valutazione continua e documentata del profilo di rischio, che può condurre, a seconda dei casi, all’aggiornamento della DPIA già effettuata, alla redazione di una nuova valutazione ovvero alla conferma motivata della sua non necessità.
Applicata alla videosorveglianza condominiale, questa impostazione implica che il Condominio riesamini nel tempo elementi quali l’estensione delle aree riprese, le tecnologie impiegate, le modalità di accesso alle immagini, gli eventuali incidenti di sicurezza, le segnalazioni degli interessati e le modifiche organizzative, documentando in modo tracciabile l’esito di tale verifica.
Accanto alla DPIA si colloca la valutazione del legittimo interesse (LIA), quale presidio della liceità del trattamento ai sensi dell’art. 6, par. 1, lett. f), GDPR. Le Linee Guida EDPB 3/2019 delineano con chiarezza il test in tre fasi richiesto per il ricorso a tale base giuridica: l’individuazione di un interesse legittimo concreto e attuale, la verifica della necessità del trattamento rispetto a tale interesse e il bilanciamento con i diritti e le libertà fondamentali degli interessati. Le Linee Guida del Garante 2025 confermano che la videosorveglianza condominiale può fondarsi su un legittimo interesse qualificato, ma solo all’esito di una valutazione adeguata e documentata, pienamente rientrante nell’obbligo di accountability del titolare.
(Nella foto: l'Avv. Carlo Pikler, Coordinatore del Gruppo di Lavoro Federprivacy sulla privacy nei condomini)
A differenza della DPIA, non esiste allo stato una prescrizione esplicita del Garante che imponga una periodicità fissa di riesame della LIA. Ciò non consente, tuttavia, di considerare tale valutazione come cristallizzata nel tempo. Il legittimo interesse è una base giuridica intrinsecamente contestuale e dinamica, il cui equilibrio può mutare al variare delle circostanze di fatto. Le stesse Linee Guida 3/2019 presuppongono che il bilanciamento tra interessi resti valido solo fintanto che rimangono invariate le condizioni considerate: modifiche delle aree riprese, introduzione di nuove tecnologie, ampliamento degli accessi alle immagini, mutamento delle aspettative ragionevoli degli interessati o incremento dell’impatto del trattamento impongono una rivalutazione della liceità.
Ne deriva che, mentre per la DPIA è richiesta una verifica periodica della necessità della valutazione d’impatto, per la LIA è necessario procedere a una rivalutazione ogniqualvolta intervengano cambiamenti rilevanti nel trattamento o nel contesto in cui esso si inserisce. In entrambi i casi, ciò che il GDPR e le autorità di controllo richiedono non è la mera produzione di documenti, ma la capacità del titolare di dimostrare, in modo coerente e continuativo, di aver valutato consapevolmente il rischio e la liceità del trattamento nel tempo.
In conclusione, la gestione della videosorveglianza condominiale richiede un approccio evolutivo alla compliance privacy: la verifica del rischio come presupposto della DPIA e la rivalutazione del legittimo interesse al mutare delle circostanze, lette anche attraverso la lente del Ciclo di Deming, rappresentano declinazioni complementari del principio di accountability. Solo tale impostazione consente al Condominio di garantire una tutela effettiva dei diritti degli interessati e di ridurre in modo significativo il rischio di contesta.







