NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • Viola il GDPR l’impianto di videosorveglianza dotato di un solo cartello per segnalare più telecamere installate in vari ambienti

Viola il GDPR l’impianto di videosorveglianza dotato di un solo cartello per segnalare più telecamere installate in vari ambienti

Viola la privacy dei lavoratori l’impianto di videosorveglianza segnalato da un solo cartello informativo per più ambienti, con accesso alle immagini senza bisogno di credenziali di accesso, e soprattutto con l’autorizzazione dell’Ispettorato del lavoro ottenuta solo successivamente alla messa in funzione.

A evidenziarlo è il provvedimento n. 167 del 12 marzo 2026 adottato dal Garante per la protezione dei dati personali, che ha sanzionato una società di ristorazione per una gestione non conforme delle telecamere installate nei propri locali.

Il caso prende avvio da un accertamento della Guardia di Finanza che, nel corso di un’ispezione, aveva rilevato la presenza di telecamere attive all’interno e all’esterno dell’esercizio commerciale, con lavoratori presenti nelle aree riprese. Fin da subito, tuttavia, sono emerse criticità rilevanti: un solo cartello informativo per più ambienti (collocati su piani diversi), assenza di credenziali di accesso al sistema e, soprattutto, mancanza dell’autorizzazione dell’Ispettorato del lavoro al momento dell’installazione, intervenuta solo successivamente.

Il provvedimento si colloca nel solco applicativo del GDPR e del Codice Privacy, richiamando in particolare i principi generali del Regolamento UE 2016/679, tra cui quello di trasparenza (art. 5, par. 1, lett. a) e quello dell’art. 13 riguardante le informazioni da rendere agli interessati. Nel caso esaminato, la presenza di un unico cartello, peraltro non collocato in modo da coprire tutte le aree sorvegliate, è stata ritenuta insufficiente a garantire una informativa effettiva.

Non meno rilevante è il profilo della liceità del trattamento, analizzato alla luce dell’art. 88 del GDPR in materia di rapporti di lavoro e dell’art. 114 del Codice, che rinvia alla disciplina dello Statuto dei lavoratori. Come noto, l’art. 4 della Legge 300/1970 consente infatti l’uso di impianti audiovisivi solo previa stipula di un accordo sindacale o autorizzazione dell’Ispettorato del lavoro, qualora possa derivarne un controllo a distanza dei lavoratori. Nel caso di specie, l’impianto risultava già operativo prima del rilascio dell’autorizzazione, determinando una violazione del principio di liceità del trattamento.

Il Garante ribadisce così un orientamento consolidato: la procedura autorizzativa non rappresenta un mero adempimento formale che può essere espletato anche successivamente, ma una garanzia sostanziale posta a tutela della dignità dei lavoratori e dell’equilibrio tra potere datoriale e diritti fondamentali. La sua omissione incide direttamente sulla legittimità del trattamento dei dati personali.

Ulteriore profilo critico riguarda la sicurezza dei dati. L’assenza di credenziali di accesso al sistema di videosorveglianza è stata ritenuta in contrasto con gli artt. 5, par. 1, lett. f) e 32 del GDPR, che impongono l’adozione di misure tecniche e organizzative adeguate. Senza un sistema di autenticazione, infatti, non è possibile tracciare gli accessi né limitare la visione delle immagini ai soli soggetti autorizzati, con evidenti rischi per la riservatezza degli interessati.

Alla luce di tali violazioni, l’Autorità ha dichiarato l’illiceità del trattamento e irrogato una sanzione amministrativa pari a 2.000 euro, tenendo conto della natura colposa della condotta e dell’assenza di precedenti specifici.

Nel provvedimento il Garante ha messo in evidenza come l’obbligo di trasparenza necessiti della predisposizione e messa in opera di idonei cartelli di "informativa minima", affinché gli interessati siano resi «consapevoli del fatto che è in funzione un sistema di videosorveglianza» prima di entrare nel perimetro di ripresa delle telecamere. Le informazioni più importanti devono essere indicate sul segnale di avvertimento cioè mediante cartelli visibili a tutti, collocati ad altezza delle persone (primo livello) e riguardano le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato.

Come indicato nelle Linee Guida 3/2019 del Comitato Europeo della Protezione dei Dati (EDPB), gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello). Questi ultimi, devono essere facilmente accessibili per l’interessato, ad esempio attraverso una pagina informativa completa messa a disposizione in uno luogo centrale (sportello informazioni, reception, cassa, eccetera) o affissi in un luogo di facile accesso, o, infine, contenuti e riscontrabili in un codice QR o in un indirizzo web.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Articoli correlati

Prev Videosorveglianza urbana: dal Trentino il nuovo modello unico nazionale di patto per la sicurezza tra comune e prefettura
Next La relazione delle attività del Data Protection Officer: la CNIL pubblica linee guida e modello operativo

Galleria Video

Il presidente di Federprivacy al TG1 Rai

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza