Videosorveglianza aziendale e controllo a distanza

Normative, adempimenti e strategie operative

Prefazione

La videosorveglianza è una tecnologia sempre più utilizzata per motivi di sicurezza nelle imprese. La crescente diffusione di tali sistemi testimonia come essi rappresentino oggi uno strumento fondamentale per garantire la sicurezza nelle imprese moderne: proteggono i locali, le persone e il patrimonio aziendale, consentono di prevenire atti illeciti, migliorano l’efficienza operativa e supportano le Forze dell’Ordine nelle indagini. I dati raccolti dai sistemi di videosorveglianza, tuttavia, costituiscono informazioni personali la cui gestione richiede il rispetto rigoroso della normativa in materia di protezione dei dati e delle regole poste a tutela dei lavoratori. Questo documento si propone di analizzare le principali normative e linee guida, aiutando le aziende a implementare un sistema di videosorveglianza conforme alle leggi vigenti, evitando sanzioni e proteggendo i diritti fondamentali degli individui.

Il ruolo strategico dei sistemi di videosorveglianza trova riscontro anche nell’andamento economico del settore. Le più recenti proiezioni indicano che il mercato della videosorveglianza in Italia passerà dai 740,39 milioni di USD stimati per il 2025 ai 981.49 milioni di USD previsti per il 2030, con un tasso di crescita annuo composto (CAGR) del 5,8%. L’espansione riguarda sia il comparto privato sia quello pubblico, confermando la videosorveglianza come una tecnologia ormai strutturale nei processi di sicurezza.

Nonostante ciò, la Relazione annuale 2024 del Garante per la Protezione dei Dati Personali evidenzia come i trattamenti connessi agli impianti di videosorveglianza continuino a generare un numero rilevante di reclami e segnalazioni. Questo dato conferma che, accanto alla crescita tecnologica ed economica, permangono difficoltà applicative e incertezze interpretative sugli adempimenti richiesti per una gestione conforme.

L’installazione e l’utilizzo dei sistemi di videosorveglianza si collocano all’interno di un doppio binario normativo. Da un lato il Regolamento (UE) 2016/679 (GDPR) disciplina il trattamento dei dati personali e i criteri generali di liceità, minimizzazione, trasparenza e responsabilizzazione del titolare. Dall’altro, l’Articolo 4 dello Statuto dei Lavoratori (L. 300/1970) pone limiti specifici all’utilizzo degli impianti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, imponendo la preventiva stipula di un accordo sindacale oppure, in sua mancanza, l’autorizzazione dell’Ispettorato Nazionale del Lavoro. L’interferenza con l’attività lavorativa e con la sfera di riservatezza del personale rende il settore aziendale l’ambito più delicato dell’intera disciplina.

Il presente documento nasce con l’obiettivo di offrire una guida operativa per orientare le imprese nell’applicazione di questi adempimenti, traducendo i principi normativi in procedure pratiche e facilmente replicabili. La finalità è duplice: garantire la conformità alla normativa vigente e, al tempo stesso, consentire alle imprese di adottare sistemi di videosorveglianza efficaci, proporzionati e rispettosi dei diritti delle persone riprese.

Il testo analizza inizialmente il quadro normativo di riferimento, illustrando i fondamenti giuridici del trattamento e le condizioni di liceità previste dal GDPR e dallo Statuto dei Lavoratori. Prosegue con indicazioni pratiche sull’installazione, configurazione e gestione degli impianti, approfondendo aspetti quali: il principio di minimizzazione, le misure di sicurezza (controllo accessi, crittografia, configurazione dei dispositivi), l’informativa a due livelli e la gestione dei diritti degli interessati. Un’intera sezione è dedicata ai tempi di conservazione delle immagini, tema sul quale la disciplina è particolarmente rigorosa.

Ampio spazio è, inoltre, riservato alla trasparenza e alla responsabilizzazione del titolare, con un focus sulle procedure interne, sulla documentazione obbligatoria, sul registro dei trattamenti e sulla valutazione d’impatto nei casi in cui sia richiesta. L’approfondimento esamina, anche, il sistema sanzionatorio, fornendo indicazioni operative per prevenire violazioni che possono comportare conseguenze economiche e giuridiche rilevanti.

L’auspicio è che questo documento possa rappresentare uno strumento utile per accompagnare le imprese verso un utilizzo consapevole, sicuro e conforme della videosorveglianza. La corretta applicazione delle regole, infatti, non deve essere considerata soltanto un obbligo legale, ma un’opportunità per costruire un ambiente imprenditoriale più sicuro, trasparente e rispettoso della privacy, capace di affrontare le sfide future con responsabilità e competenza.

1. Fondamenti normativi e principi guida

I sistemi di videosorveglianza raccolgono dati personali, spesso anche particolarmente delicati, la cui gestione è vincolata al Regolamento (UE) 2016/679 (di seguito “GDPR”), poiché le immagini e i suoni raccolti tramite videosorveglianza sono considerati dati personali, rendendo identificabili le persone riprese.

La base giuridica più comune per il trattamento di tali dati è l’interesse legittimo del titolare del trattamento (Art. 6, par. 1, lett. f, GDPR), giustificato dalla necessità di garantire la sicurezza o di proteggere il patrimonio aziendale. In alternativa, può essere considerata l'esecuzione di un obbligo legale (es. sicurezza sul lavoro). Tuttavia, l'interesse dell'azienda non deve mai prevalere sui diritti fondamentali dei lavoratori, in particolare sul diritto alla privacy.

In generale, il trattamento deve essere improntato ai principi di liceità, trasparenza, minimizzazione (limitando la raccolta ai dati strettamente necessari) e limitazione della conservazione (i dati non devono essere conservati più a lungo di quanto necessario) e tanto in ossequio a quanto previsto dall’Art. 5, GDPR.

La finalità è, dunque, quella di bilanciare le esigenze di sicurezza con il diritto alla riservatezza. L’Art. 25 del GDPR introduce i principi di privacy by design e privacy by default, prescrivendo che la protezione dei dati sia incorporata nella progettazione del sistema fin dalle fasi iniziali e mantenuta in ogni momento del trattamento attraverso misure tecniche e organizzative adeguate.

Prima della messa in funzione di un impianto occorre, quindi, procedere con una progettazione accurata e conforme ai requisiti normativi; ciò non riguarda solo le componenti tecniche, ma anche la definizione dei processi per la gestione, la conservazione e la protezione dei dati raccolti. A ciò si aggiunge l’obbligo (come si vedrà nel dettaglio più avanti), previsto dall’articolo 35 del GDPR, di effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA), fondamentale per individuare e mitigare i rischi connessi a sistemi di videosorveglianza (procedimento che verrà approfondito nel prosieguo del documento).

Per quanto più strettamente attiene, invece, alla materia giuslavoristica, è obbligatorio informare adeguatamente i lavoratori riguardo alle modalità di trattamento dei loro dati dell’Art. 4 dello Statuto della Legge n. 300/1970 vieta l’uso di impianti audiovisivi con finalità di controllo a distanza dell’attività lavorativa, salvo che per specifiche esigenze come quelle organizzative e produttive, di sicurezza sul lavoro o per la tutela del patrimonio aziendale. In tali casi può essere autorizzata l’installazione del sistema, ma solo a seguito di un iter formale. In pratica, l’azienda deve procedere con l’un accordo sindacale coinvolgendo RSU o RSA oppure, in mancanza di tale intesa, richiedere l’autorizzazione all’Ispettorato Nazionale del Lavoro

L’installazione di un sistema di videosorveglianza è considerata legittima solo quando vengono rispettati contemporaneamente, sia gli adempimenti previsti dallo Statuto dei Lavoratori, sia quelli relativi alla protezione dei dati personali stabiliti dal GDPR.

L’inosservanza di anche uno solo dei due sistemi di adempimenti rende l’uso delle telecamere illecito. Le conseguenze possono essere rilevanti, come verrà specificato anche nel prosieguo del documento: per le violazioni del GDPR le sanzioni possono raggiungere i 20 milioni di euro o fino al 4% del fatturato annuo globale dell’azienda, mentre il mancato rispetto dello Statuto dei Lavoratori può comportare sanzioni amministrative, responsabilità giudiziaria e significativi danni reputazionali.

1.1 Linee guida europee e provvedimenti nazionali del Garante per la protezione dei dati personali

Al fine di gestire correttamente i sistemi costituiscono un riferimento pratico le norme tecniche CEI EN 62676-1-1, le Linee Guida 3/2019 dell’European Data Protection Board (“EDPB”), i provvedimenti del Garante per la protezione dei dati personali (di seguito “Garante Privacy”).

Le Linee Guida offrono, indicazioni operative per una corretta applicazione del GDPR nel contesto della videosorveglianza, sottolineando la necessità di progettare sistemi che riducano il più possibile l’impatto sulla privacy, raccogliendo solo i dati indispensabili e per finalità determinate e legittime, come la sicurezza dei luoghi di lavoro o la salvaguardia del patrimonio.

Ugualmente centrale è l’obbligo di informare in modo chiaro gli interessati. Ciò deve avvenire mediante una segnaletica visibile, integrata da un’informativa completa che illustri modalità del trattamento, tempi di conservazione, diritti esercitabili e procedure per richiederli, incluso l’accesso alle immagini registrate.

All’interno dell’impresa devono essere definiti processi e regolamenti interni che identificano responsabilità, misure di sicurezza, modalità di trattamento e gestione delle registrazioni. Tali documenti devono essere aggiornati, applicati e condivisi con il personale interessato.

Accanto al quadro europeo, le autorità nazionali, in Italia il Garante Privacy, forniscono orientamenti e raccomandazioni complementari, adattate al contesto normativo nazionale. Tra i punti ricorrenti emerge la necessità di un approccio proporzionato e non invasivo, la limitazione dei tempi di conservazione e l’adozione di misure efficaci per prevenire accessi non autorizzati o utilizzi impropri dei dati.

Progettare e implementare un sistema di videosorveglianza conforme richiedono, quindi, una pianificazione attenta e multidimensionale, che integri competenze tecniche, conoscenza giuridica e organizzazione interna strutturata. Solo attraverso tale approccio è possibile assicurare che il trattamento dei dati sia esercitato in modo corretto, sicuro e rispettoso dei diritti fondamentali degli individui ripresi.

2. Procedure autorizzative e obblighi informativi

2.1 L'informativa agli interessati: il modello a due livelli

Nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR), i principi di trasparenza e responsabilità sono fondamentali per garantire che i dati personali siano trattati in modo lecito, equo e trasparente. Questi principi non solo tutelano i diritti degli individui, ma rafforzano anche la fiducia tra l’organizzazione e le persone i cui dati sono trattati. Nella videosorveglianza, questi principi sono particolarmente rilevanti, poiché i sistemi di sorveglianza comportano la raccolta e la gestione di dati sensibili, come le immagini che potrebbero identificare le persone monitorate. Garantire la trasparenza nelle pratiche aziendali è cruciale affinché gli interessati possano comprendere come i loro dati siano trattati e possano esercitare i diritti previsti dal GDPR.

Il principio di trasparenza richiede che tutte le pratiche concernenti il trattamento dei dati personali siano chiare, comprensibili e facilmente accessibili. Il titolare del trattamento deve fornire informazioni adeguate sui dati raccolti, sul trattamento che sarà effettuato e sulle finalità per cui le immagini sono registrate. In particolare, la videosorveglianza deve essere gestita in modo tale che le persone monitorate siano consapevoli del trattamento e possano esercitare liberamente i propri diritti senza difficoltà.

Le informazioni che devono essere comunicate riguardano principalmente:

• Scopi del trattamento: il titolare deve spiegare in modo chiaro il motivo per cui le immagini sono raccolte, ad esempio, per la protezione del patrimonio, la sicurezza sul posto di lavoro o la prevenzione di atti criminosi.
• Periodo di conservazione: l'informativa deve indicare il tempo per cui le registrazioni saranno conservate, specificando un periodo (ad esempio, ventiquattro o settantadue ore), o, in casi particolari, un periodo più lungo per esigenze investigative. È fondamentale che il periodo di conservazione non superi mai quello necessario per perseguire gli scopi legittimi del trattamento.
• Destinatari dei dati: gli interessati devono essere informati su chi avrà accesso alle immagini, come ad esempio il personale autorizzato (addetti alla sicurezza) o le forze dell'ordine, in caso di necessità legale.
• Diritti degli interessati: deve essere garantito che gli individui siano consapevoli dei loro diritti secondo il GDPR, come il diritto di accesso alle registrazioni, il diritto di rettifica, cancellazione e opposizione al trattamento dei dati personali.

L'informativa deve essere scritta in modo chiaro e facilmente comprensibile, affinché tutte le persone monitorate possano accedere alle informazioni e comprendere come vengono trattati i loro dati.

La corretta informazione agli interessati deve avvenire tramite l’esposizione di cartelli informativi (informativa di primo livello). Questi avvisi devono essere posizionati in modo ben visibile, prima dell’area ripresa, e redatti con un linguaggio semplice, diretto e comprensibile a chiunque vi acceda. La loro funzione è informare immediatamente della presenza delle telecamere, specificare le finalità per cui le immagini sono raccolte e indicare il titolare del trattamento o un suo referente. Attraverso questi cartelli deve inoltre essere fornito un rimando all’informativa completa (informativa di secondo livello) così da consentire a chiunque di approfondire le modalità del trattamento, esercitare i propri diritti e ottenere ulteriori chiarimenti.

2.1.1 Informativa di primo livello (cartello): requisiti per una comunicazione visibile e chiara

Il primo livello riguarda la modalità con cui avviene la prima interazione fra il titolare del trattamento e l’interessato ed è in questa fase che i titolari possono utilizzare un segnale di avvertimento che indichi le informazioni pertinenti.

Tali informazioni possono essere fornite in combinazione con un’icona, (come quella riportata nell’“esempio non vincolante”) per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (art. 12 del GDPR). Ovviamente il formato delle informazioni dovrà adeguarsi alle varie ubicazioni.

L’informativa di primo livello posta nel cartello/segnale di avvertimento dovrebbe comunicare i dati più importanti, e.g.:

1. le finalità del trattamento;
2. l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento. Si può fare riferimento, ad esempio, ai legittimi interessi perseguiti dal titolare (o da un soggetto terzo) e ai recapiti del DPO;
3. un riferimento (tipo QR Code o U.R.L.) per reperire e informazioni di secondo livello, più dettagliate, indicando precisamente dove e come trovarle;
4. tutte le informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale (senza alcuna registrazione di dati o trasmissione a soggetti terzi).

Queste raccomandazioni sono state anche ribadite dalla nostra Autorità Garante che le ha specificamente richiamate al punto 3.1 del provvedimento GPDP n. 214 del 9 giugno 2022.

Inoltre, i cartelli/segnali di avvertimento contenenti l’informativa di primo livello dovrebbero essere posizionati in modo da permettere agli interessati di riconoscere facilmente le circostanze della sorveglianza, ancor prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi); e, comunque, non è necessario rivelare l’ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza.

2.1.2 Informativa di secondo livello (documento completo): modalità di redazione e accessibilità dell'informativa completa

Allorquando siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; da ultimo, v. la FAQ n. 4 del Garante in materia di videosorveglianza, cit.).

La segnaletica di primo livello deve contenere un chiaro riferimento a tale secondo livello di informazioni attraverso, ad esempio, un codice QR o un indirizzo web. Un altro strumento appropriato potrebbe essere la messa a disposizione di un numero telefonico da contattare (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7).

Oltre a queste possibilità il Comitato europeo per la protezione dei dati promuove l’uso di strumenti tecnologici per fornire informazioni agli interessati. Per esempio, si possono geolocalizzare le telecamere caricando le relative informazioni su app o siti web di mappatura, cosicché le persone possano facilmente, da un lato, identificare e specificare le fonti video in vista dell’esercizio dei propri diritti e, dall’altro, ottenere informazioni più dettagliate sulla tipologia di trattamento.

Esempio: un negoziante videosorveglia il suo esercizio commerciale. Ai fini del rispetto delle disposizioni di cui all’art. 13 del GDPR, è sufficiente che collochi un cartello di avvertimento in un punto facilmente visibile all’ingresso dell’esercizio commerciale, contenente le informazioni di primo livello. Dovrà poi fornire le informazioni di secondo livello attraverso un foglio informativo disponibile presso la cassa o qualsiasi altro punto centrale e facilmente accessibile all’interno dell’esercizio.

2.2 Obbligo di informativa individuale per i dipendenti

In relazione ai dipendenti, la videosorveglianza comporta l'obbligo di fornire un'informativa individuale, che integra e specifica quanto comunicato con i cartelli generali.

Ai sensi del comma 3 dell’art. 4 dello Statuto dei Lavoratori, il datore di lavoro è obbligato a fornire informativa scritta ai lavoratori in merito alle modalità di uso degli strumenti e degli eventuali controlli sia che si tratti di impianti audiovisivi o altri strumenti di potenziale controllo a distanza (comma 1, Art. 4 St. Lav.) sia che si tratti di strumenti di lavoro (comma 2, Art. 4, St. Lav.).

L'informativa deve consentire al lavoratore di acquisire piena conoscenza delle finalità del trattamento, delle aree monitorate, della durata della conservazione dei filmati e delle modalità di accesso ai dati, inclusi eventuali interventi da parte di autorità competenti.

L'informativa individuale deve descrivere le misure tecniche e organizzative adottate dall'azienda per garantire riservatezza, integrità e disponibilità dei dati, nonché l'eventuale necessità di una Valutazione d'Impatto sulla Protezione dei Dati (DPIA), qualora il trattamento comporti rischi elevati per i diritti dei lavoratori.

L'informativa può essere fornita tramite strumenti elettronici, consegna cartacea o portale aziendale, e deve essere conservata come prova dell'adempimento degli obblighi di trasparenza e accountability. Tale adempimento assicura la conformità alle disposizioni del GDPR, al Provvedimento generale del Garante dell'8 aprile 2010, alle Linee Guida 3/2019 dell'EDPB e, se pertinente, alle indicazioni del Decreto Piantedosi (DL 20/2023) in materia di videosorveglianza esterna di esercizi pubblici.

2.3 Autorizzazione all'installazione: l'accordo sindacale e la funzione sussidiaria della procedura presso l'Ispettorato Nazionale del Lavoro

Nel contesto del potere di controllo datoriale, l'articolo 4 dello Statuto dei Lavoratori (L. 300/1970) riveste un ruolo fondamentale nel disciplinare l'installazione e l'utilizzo di impianti audiovisivi e di ogni altra apparecchiatura che consenta il controllo a distanza delle attività dei lavoratori. Tale norma rappresenta una delle principali garanzie giuslavoristiche poste a tutela della dignità e della riservatezza dei lavoratori, configurando uno dei principali limiti all'esercizio del potere di controllo del datore di lavoro.
L'Art. 4 dello Statuto dei Lavoratori pone il divieto generale del controllo a distanza dell'attività dei lavoratori. La norma, tuttavia, considera anche la necessità per l'azienda di installare impianti audiovisivi e, pertanto, dispone che l'adozione di strumenti quali telecamere di videosorveglianza o sistemi informatici di monitoraggio è ammessa esclusivamente al ricorrere delle seguenti specifiche esigenze aziendali (Art. 4, comma 1, Statuto dei Lavoratori):

• organizzative e produttive, strettamente correlate all'attività d'impresa;
• di sicurezza del lavoro, finalizzate alla prevenzione di infortuni e alla salvaguardia dell'integrità psico-fisica dei lavoratori;
• di tutela del patrimonio aziendale, intese come protezione dei beni materiali e immateriali dell'azienda da condotte illecite o dannose.

L'installazione degli impianti audiovisivi e di tutti gli strumenti dai quali possa derivare anche la possibilità di controllo a distanza dell'attività dei lavoratori deve essere subordinata al rispetto di un iter procedurale finalizzato a salvaguardare il bilanciamento tra le prerogative datoriali e i diritti inviolabili della persona del lavoratore.
In particolare, l'installazione dei predetti strumenti può avvenire (Art. 4, comma 1, Statuto dei Lavoratori):

• In via principale previo accordo collettivo tra datore di lavoro e le rappresentanze sindacali aziendali (RSA) o unitarie (RSU). In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In tal caso, l'intervento delle associazioni sindacali comparativamente più rappresentative sul piano nazionale è solo un'opzione: tale interpretazione si ricava dall'inciso utilizzato dal Legislatore "in alternativa" e dall'uso del verbo "potere" e non già del verbo "dovere".

A tal riguardo, l'Ispettorato Nazionale del Lavoro, con Nota n. 2572/2023, ha chiarito che le imprese con unità produttive site in diverse province, in alternativa alla stipulazione di singoli accordi con le RSA/RSU, possono stipulare un unico accordo con le associazioni sindacali comparativamente più rappresentative sul piano nazionale e che in caso di mancato accordo o in assenza della RSA/RSU, potranno presentare istanza di autorizzazione alle singole sedi territoriali dell'INL o, in alternativa, alla sede centrale.

• In via sussidiaria, sia per il singolo datore di lavoro che per le imprese con più unità produttive, qualora l'accordo non venga raggiunto, o nel caso in cui non siano presenti RSA o RSU, previa presentazione del datore di lavoro di apposita istanza presso la sede territoriale o centrale dell'Ispettorato Nazionale del Lavoro.

A tal proposito, con la predetta nota, l'INL ha specificato che “le imprese con più unità produttive site nell'ambito di competenza della medesima sede territoriale dell'INL – in caso di mancato accordo con la RSA/RSU o in assenza delle rappresentanze sindacali – in presenza di medesime ragioni legittimanti e avuto riguardo allo stesso sistema, possono presentare una sola istanza di autorizzazione all'Ispettorato territorialmente competente il quale, previa verifica delle condizioni formali e sostanziali previste, emanerà un unico provvedimento valido per tutte le unità produttive interessate dall'istanza medesima”.

Con la medesima nota, l'INL ha inoltre ribadito il principio ormai consolidato secondo il quale “l'accordo con le rappresentanze aziendali costituisce […] il percorso prioritario previsto dal Legislatore e la procedura pubblica risulta solo eventuale e successiva al mancato accordo con i sindacati ed è condizionata, ai fini istruttori, alla dimostrazione dell'assenza della RSA/RSU, ovvero del mancato accordo con esse” e che “le istanze presentate all'Ispettorato dovranno contenere la dichiarazione di assenza delle RSA/RSU o la documentazione comprovante il mancato accordo”.

In altre parole, l'installazione di apparecchiature – da impiegare esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale ma dalle quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori – deve essere sempre preceduta da una forma di codeterminazione (accordo) tra il datore di lavoro e le rappresentanze sindacali dei lavoratori, con la conseguenza che se l'accordo non è raggiunto o non sono presenti RSA/RSU, il datore di lavoro deve far precedere l'installazione dalla richiesta di un provvedimento autorizzativo da parte dell'INL.
È opportuno precisare, per completezza delle informazioni, che l'assenza dell'accordo tra il datore di lavoro e le rappresentanze sindacali o del successivo provvedimento autorizzativo non può essere sostituita dall'eventuale consenso, seppur informato, dei singoli lavoratori (Sent. n. 1733 del 17/10/2020, Nota INL n. 2572/2023).

Il comma 2 dell'Art. 4 dello Statuto dei Lavoratori, meglio dettagliato nel paragrafo 5.2, prevede che non sia necessario alcun accordo con le RSA/RSU o alcuna autorizzazione dell'Ispettorato del Lavoro per l'utilizzo, da parte dei lavoratori, di strumenti necessari per rendere la prestazione lavorativa, né per l'utilizzo da parte del datore di lavoro di strumenti di registrazione degli accessi e delle presenze.

3. Gestione sicura dei dati e conservazione delle immagini

La gestione sicura dei dati raccolti tramite videosorveglianza rappresenta un elemento centrale per garantire conformità normativa e tutela della privacy. Un trattamento corretto non si limita alla raccolta delle immagini, ma richiede controllo, protezione, monitoraggio e tracciabilità di ogni fase del loro ciclo di vita.

3.1 Periodo di conservazione: regola delle 24–48 ore, eccezioni giustificate e angolo visivo

Il principio di limitazione della conservazione, sancito dall’Art. 5, par. 1, lett. e) GDPR costituisce uno degli obblighi più stringenti per i titolari del trattamento e assume una rilevanza centrale nell’ambito della videosorveglianza, dove la raccolta di immagini avviene in modo continuo e potenzialmente invasivo. La normativa europea, integrata dall’orientamento costante del Garante Privacy, ha progressivamente limitato ogni margine di discrezionalità sui tempi di conservazione, imponendo durate brevi e giustificabili esclusivamente in funzione della finalità di sicurezza perseguita. In assenza di una previsione specifica nel GDPR o nelle Linee Guida 3/2019 dell’EDPB, la prassi consolidata del Garante ha definito come standard un periodo massimo di 24–48 ore per la conservazione delle immagini registrate. Tale durata rappresenta il tempo normalmente necessario per accertare eventuali episodi illeciti e consentire al titolare di intervenire senza ritardi.

Il sistema deve pertanto essere configurato affinché la cancellazione o sovrascrittura delle immagini avvenga in modo automatico allo scadere delle 24–48 ore, senza possibilità d’interventi discrezionali da parte degli operatori. L’automazione è, infatti, l’unica modalità idonea a garantire l’effettivo rispetto del principio di limitazione della conservazione, riducendo contestualmente il rischio di trattamenti illeciti o di conservazioni eccedenti, ritenute in più occasioni contrarie alla normativa vigente. Eventuali deroghe alla regola generale sono ammesse soltanto quando il titolare dimostri, attraverso un’analisi di rischio documentata, che un periodo più lungo è necessario e proporzionato rispetto a un rischio specifico. Solo circostanze eccezionali, come un elevato rischio di atti vandalici o il verificarsi di periodi di chiusura prolungata dell’attività, possono giustificare un’estensione, che deve comunque essere contenuta entro il numero strettamente necessario di giorni e debitamente motivata.

La giurisprudenza e i provvedimenti sanzionatori del Garante dimostrano la severità dell’approccio in materia. È stato infatti più volte ribadito che la conservazione eccedente rispetto alle 24–48 ore integra un trattamento illecito dei dati, soprattutto quando sostenuta da mere ragioni organizzative o di comodità, come il bisogno generico di visionare con maggiore calma le registrazioni. Le sanzioni irrogate hanno spesso raggiunto importi rilevanti, con casi di conservazione di 7, 14 o addirittura 30 giorni considerati illegittimi in mancanza di un rischio concretamente documentato. Significativa è la sentenza del Tribunale di Novara del 28 novembre 2019, che ha condannato un esercente commerciale per aver conservato per oltre 30 giorni le registrazioni, giustificando la scelta solo con un generico incremento di rischio nel periodo di maggiore affluenza: il Tribunale ha chiarito che la finalità di sicurezza non consente una sorveglianza prolungata in assenza di una specifica proporzionalità tra rischio e durata della conservazione.

L’unica eccezione pienamente legittima che consente la conservazione oltre il limite massimo ordinario riguarda la necessità di utilizzare le immagini come prova in procedimenti giudiziari. Qualora un illecito venga accertato entro i termini ordinari e venga sporta denuncia alle autorità competenti, le registrazioni possono essere estratte, segregate e conservate per l’intera durata del procedimento, poiché il trattamento assume una nuova base giuridica legata all’esercizio di un diritto in sede giudiziaria. La conservazione deve tuttavia riguardare solo le immagini pertinenti all’evento e deve avvenire in un archivio separato, garantendo accessi controllati e tracciati.

Parallelamente al tema della conservazione, il corretto angolo visivo delle telecamere costituisce l’elemento operativo che rende effettivo il principio di minimizzazione dei dati sancito dall’Art. 5 GDPR. Le telecamere devono inquadrare esclusivamente le aree di stretta pertinenza e rilevanza per la finalità perseguita, evitando sistematicamente la ripresa di zone pubbliche, aree di terzi o porzioni non necessarie. Già il Provvedimento generale del Garante del 2010 aveva imposto un rigoroso divieto di ripresa eccedente, prevedendo l’obbligo di installare la telecamera in modo da escludere le zone non pertinenti o, qualora ciò non fosse tecnicamente possibile, adottare misure come il mascheramento statico o dinamico delle aree non rilevanti.

Con l’entrata in vigore del GDPR e il successivo Decreto del Ministero dell’Interno del 21 gennaio 2025 (c.d. Decreto Piantedosi), l’osservanza dei limiti di angolo visivo ha assunto un ulteriore valore, poiché la conformità al GDPR è divenuta anche un parametro di valutazione per le autorità di pubblica sicurezza nell’ambito delle licenze degli esercizi pubblici. La violazione dei limiti di ripresa comporta pertanto una duplice esposizione al rischio: da un lato, le sanzioni amministrative del GDPR, che possono raggiungere fino a 20 milioni di euro o il 4% del fatturato mondiale; dall’altro, misure restrittive sulla licenza commerciale, che possono arrivare alla sospensione o revoca ai sensi dell’Art. 100 T.U.L.P.S.. L’angolo visivo, pertanto, non è più soltanto un requisito tecnico, ma rappresenta un elemento giuridico essenziale che distingue una misura lecita di sicurezza da una sorveglianza indebita e sproporzionata.

In conclusione, la gestione dei tempi di conservazione e la corretta limitazione dell’angolo visivo rappresentano i due pilastri fondamentali per assicurare che un sistema di videosorveglianza sia conforme al GDPR e alle normative italiane. Ogni estensione dei tempi di conservazione o ampliamento dell’area ripresa deve essere giustificato da una valutazione oggettiva e documentata, poiché in mancanza di tali presupposti la videosorveglianza si trasforma in un trattamento illecito, esponendo il titolare a sanzioni severe e a responsabilità ulteriori in materia di sicurezza pubblica.

3.2 Misure di sicurezza: crittografia e controllo degli accessi nella videosorveglianza

La videosorveglianza rappresenta uno degli strumenti più diffusi per la sicurezza nelle imprese moderne, ma, al pari di qualunque sistema informatico, richiede adeguate misure di protezione per salvaguardare i dati raccolti da accessi non autorizzati, perdita o manipolazione. Le misure tecniche e organizzative adottate devono rispecchiare i principi di integrità e riservatezza sanciti dall’articolo 5, paragrafo 1, lettera f del GDPR, nonché soddisfare gli obblighi dell’articolo 32 in materia di sicurezza del trattamento.

La prima barriera di sicurezza è di natura fisica: telecamere, DVR/NVR e server devono essere installati in luoghi protetti, difficilmente accessibili e adeguatamente sorvegliati, così da prevenire tentativi di manomissione o furto delle apparecchiature. L’efficacia del sistema dipende però anche dalla protezione logica, che comprende password robuste, accessi limitati al personale autorizzato e segmentazione della rete.

Ad esempio, in un magazzino complesso le telecamere possono essere posizionate in punti difficili da raggiungere, mentre i registratori video collocati in locali ad accesso controllato con PIN, badge o riconoscimento biometrico.

La cifratura delle immagini è un elemento imprescindibile per prevenire intercettazioni o alterazioni da parte di terzi. I flussi video devono essere protetti durante il trasferimento e durante l’archiviazione, tramite tecnologie come TLS, VPN o protocolli Wi-Fi sicuri (es. WPA3).
In un sistema collegato in rete, l’assenza di crittografia lascerebbe le immagini vulnerabili: l’uso di VPN e TLS riduce drasticamente il rischio di compromissione dei flussi.

Un sistema di videosorveglianza, se integrato in rete, deve essere protetto come qualsiasi altra infrastruttura IT. Firewall, sistemi IDS/IPS, antivirus e monitoraggio continuo garantiscono resistenza agli attacchi esterni e segnalano eventuali anomalie. Alert automatici devono attivarsi in caso di guasto o interruzione della registrazione, così da consentire interventi tempestivi.

Ad esempio, un firewall può isolare il traffico delle telecamere dalla rete aziendale principale, mentre un IDS permette di identificare accessi sospetti o tentativi di intrusione.

Neppure il miglior sistema è immune da incidenti. Per questo è fondamentale predisporre backup periodici, ridondanze hardware e procedure di ripristino rapido, così da garantire continuità operativa anche in caso di attacco o malfunzionamento.

Un piano efficace può prevedere il salvataggio dei filmati su server separati o in cloud certificato, con indicazione chiara delle modalità di recupero e dei tempi di ripristino.

La sicurezza non è solo tecnologia, ma anche governance. Un regolamento interno predisposto dal titolare del trattamento deve definire chiaramente chi può accedere ai filmati, in quali circostanze, per quanto tempo vengono conservati e come vengono distrutti al termine della necessità. Questo consente di rispettare il principio di responsabilizzazione (accountability) e di documentare l’aderenza alla normativa.

Un regolamento può stabilire che solo figure autorizzate visualizzino le immagini, mentre l’estrazione di copia o la conservazione oltre 24–48 ore sia consentita solo in casi eccezionali e motivati.

La sicurezza dei sistemi di videosorveglianza richiede, infatti, un approccio multilivello: protezione fisica delle apparecchiature, crittografia dei dati, segmentazione e monitoraggio della rete, piani di “disaster recovery” e regolamenti interni chiari.

Solo l’integrazione coerente di questi elementi garantisce un trattamento conforme, protetto e responsabile, in linea con il GDPR e con le aspettative di tutela della privacy.

3.3 Registro delle visualizzazioni: monitoraggio degli accessi ai filmati

Il registro delle visualizzazioni (Audit Log) è un elemento fondamentale per garantire la trasparenza e la responsabilità nella gestione dei dati raccolti dai sistemi di videosorveglianza, in pieno rispetto delle normative previste dal Regolamento Generale sulla Protezione dei Dati (GDPR). Le immagini registrate dalle telecamere di videosorveglianza sono considerate dati personali e, come tali, il loro trattamento deve rispettare i principi di integrità e riservatezza (Art. 5, par. 1, lett. f) e di responsabilizzazione (Art. 5, par. 2), che impongono specifici obblighi per garantire la sicurezza e la protezione della privacy.

Secondo il Garante per la Protezione dei Dati Personali, l’accesso ai filmati deve essere riservato a un personale strettamente autorizzato come operatori di sicurezza, amministratori di sistema o le Forze dell’Ordine, ma solo su richiesta legale ed inoltre tracciato in modo immutabile, al fine di garantire la legittimità di ogni operazione.

Il registro delle visualizzazioni svolge un ruolo cruciale nel monitoraggio degli accessi, poiché non solo consente di dimostrare la compliance al GDPR, ma permette anche di prevenire abusi e gestire incidenti di sicurezza.

Ogni operazione sui filmati, che si tratti di visualizzazione, estrazione, cancellazione o ricerca nello storico, deve essere registrata con precisione, includendo informazioni come l'ID utente, la data e l’ora dell’operazione, il tipo di azione svolta e l’identificativo del filmato o della telecamera. L’aggiunta di una motivazione (quando richiesta dal sistema) rende il registro ancora più robusto, giustificando ogni accesso ai dati. Inoltre, per garantire la massima trasparenza e la possibilità di verificare ogni attività, il registro degli accessi deve essere conservato per un periodo di tempo più lungo rispetto ai filmati stessi  che di solito sono cancellati dopo 24-72 ore, salvo specifiche esigenze legali o di sicurezza.

Questo periodo di conservazione esteso assicura che, anche dopo la cancellazione dei filmati, rimanga traccia degli accessi effettuati, permettendo di verificare la legittimità delle operazioni svolte. Il registro delle visualizzazioni è quindi una misura tecnica e organizzativa essenziale che traduce in pratica l’obbligo di proteggere l’integrità e la riservatezza dei dati di videosorveglianza, come previsto dal GDPR. Senza di esso, l’organizzazione rischierebbe non solo sanzioni da parte del Garante, ma anche la compromissione della sicurezza dei dati e dei diritti degli interessati, impedendo qualsiasi verifica dell’operato in caso di violazioni o abusi.

3.4 I diritti degli interessati: gestione delle richieste di accesso ai dati

La videosorveglianza comporta il trattamento di dati personali che possono rendere identificabili, direttamente o indirettamente, le persone riprese. Per questa ragione il GDPR riconosce agli interessati specifici diritti volti a tutelare la privacy, garantire trasparenza e assicurare un controllo effettivo sull’utilizzo delle immagini che li riguardano (Artt. 12–23 GDPR). Per le imprese, rispettare tali diritti non costituisce solo un adempimento normativo, ma rappresenta anche un mezzo per prevenire contenziosi e consolidare la fiducia di dipendenti, clienti e visitatori.

Il diritto di accesso consente all’interessato di sapere se è oggetto di ripresa e di ottenere informazioni sulle modalità del trattamento, sulle finalità perseguite, sulle categorie di dati trattati, sui destinatari e sui tempi di conservazione (Art. 15 GDPR). È quindi necessario che l’impresa disponga di procedure interne chiare per ricevere, valutare e rispondere a tali richieste, individuando un referente dedicato o coinvolgendo, quando presente, il DPO. Poiché nelle registrazioni possono comparire terzi, l’accesso deve avvenire attraverso tecniche di protezione come: oscuramento o mascheramento dei volti, così da evitare la diffusione non autorizzata di dati personali (Provvedimento Garante 8 aprile 2010; Linee Guida EDPB 3/2019). Il rispetto dei tempi di conservazione, in genere limitati a 24–72 ore, risulta essenziale per permettere il recupero delle immagini prima della cancellazione automatica.

L’interessato può, inoltre, richiedere la cancellazione delle immagini quando non sono più necessarie rispetto alle finalità originarie o qualora il trattamento risulti illecito (Art. 17 GDPR). Per l’impresa ciò implica la necessità di disporre di sistemi che consentano l’eliminazione rapida, selettiva e sicura dei filmati, senza incidere su quelli conservati per obblighi legali o esigenze probatorie. Il diritto alla limitazione del trattamento permette, invece, di sospendere temporaneamente alcune operazioni sui dati – ad esempio durante una verifica interna o in caso di contestazione (Art. 18 GDPR). A ciò si aggiunge il diritto di opposizione, che consente all’interessato di rifiutare il trattamento basato sul legittimo interesse del titolare: l’impresa può proseguire solo dimostrando la presenza di motivi legittimi prevalenti (Art. 21 GDPR).

Dal punto di vista operativo, garantire l’esercizio dei diritti significa predisporre procedure documentate, moduli standardizzati per la presentazione delle richieste, un registro dedicato e tempi certi di risposta. È altrettanto fondamentale formare il personale incaricato del trattamento e garantire un sistema di governance che assicuri coerenza tra policy, prassi operative e principi regolatori.

Inoltre, il titolare del trattamento è tenuto a fornire agli interessati un'informativa che sia chiara, facilmente accessibile e redatta in un linguaggio comprensibile, come previsto dagli articoli 12 e 13 del GDPR. L'informativa deve includere: le finalità del trattamento, la base giuridica, i tempi di conservazione, le modalità per esercitare i diritti e i contatti del Titolare o del DPO, garantendo la massima trasparenza nell'intero processo di gestione delle immagini.

Le Linee Guida EDPB 3/2019 e il Provvedimento del Garante dell'8 aprile 2010 forniscono indicazioni pratiche per bilanciare l'esercizio dei diritti con la tutela della privacy delle persone coinvolte, stabilendo criteri di necessità, proporzionalità e misure tecniche appropriate. La supervisione da parte del Garante assicura che le imprese adottino misure conformi e proporzionate, riducendo il rischio di violazioni e sanzioni.

In sintesi, rispettare i diritti degli interessati implica l'adozione di procedure chiare, tecnologie appropriate e un sistema organizzativo in grado di rispondere prontamente alle richieste. Solo in questo modo si può garantire un equilibrio sostenibile tra le esigenze di sicurezza e la tutela dei diritti fondamentali delle persone riprese.

4. Analisi del rischio, sanzioni e casistiche particolari

4.1 Valutazione d’Impatto sulla Protezione dei Dati (DPIA): criteri e procedura

Come già evidenziato nei paragrafi precedenti, l'installazione di sistemi di videosorveglianza all'interno degli esercizi commerciali è potenzialmente in grado di generare grande invasività della sfera personale degli individui, aspetto più volte richiamato dal Garante per la Protezione dei Dati Personali (“Garante Privacy”). La suddetta autorità ha, infatti, costantemente sottolineato l'importanza di un utilizzo corretto dei sistemi di videosorveglianza, evidenziando come i trattamenti legati a questi impianti generino un numero significativo di segnalazioni e reclami.

Per tale motivo Il titolare del trattamento non può esimersi, e anzi dovrà necessariamente procedere con la formalizzazione di una valutazione d'impatto sulla protezione dei dati (la cosiddetta “DPIA”).

L'articolo 35 del GDPR stabilisce che, quando un tipo di trattamento, in particolare se si avvale di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a effettuare, prima del trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. La videosorveglianza, per sua natura, rientra spesso in questa casistica, specialmente quando implica:

• Trattamento su larga scala: La sorveglianza di aree aperte al pubblico in un esercizio commerciale può coinvolgere un numero elevato di persone.
• Utilizzo di nuove tecnologie: Sistemi "smart" con funzionalità avanzate come l'analisi facciale o il tracciamento dei movimenti aumentano il rischio per i diritti degli interessati.
• Monitoraggio sistematico: La videosorveglianza costituisce un monitoraggio costante e sistematico di aree accessibili al pubblico.

Le linee guida dell’European Data Protection Board (“EDPB”) sono decise nell'affermare la DPIA non sia un mero adempimento burocratico, ma uno strumento essenziale per:

• Identificare e valutare i rischi: permette di individuare i potenziali rischi per i diritti e le libertà degli interessati derivanti dal trattamento dei dati tramite videosorveglianza.
• Definire misure di mitigazione: consente di individuare e implementare misure tecniche e organizzative adeguate a mitigare tali rischi, garantendo il rispetto dei principi del GDPR.
• Dimostrare la conformità (Accountability): aiuta il titolare del trattamento a dimostrare di aver adottato tutte le precauzioni necessarie per la protezione dei dati, in linea con il principio di "accountability".

Affinché poi la valutazione possa ritenersi valida e completa dovrebbe includere, tra gli altri, i seguenti elementi:

• una descrizione sistematica dei trattamenti, delle relative finalità e di eventuali interessi legittimi perseguiti dal titolare del trattamento;
• una valutazione inerente la necessità e la proporzionalità del trattamento. È fondamentale che la videosorveglianza non sia l'unico mezzo per raggiungere lo scopo prefissato, se esistono alternative meno invasive. Le Linee Guida EDPB suggeriscono di considerare misure alternative come recinzioni, pattugliamento di personale di sicurezza, migliore illuminazione, serrature di sicurezza o finestre e porte a prova di manomissione;
• una valutazione dei rischi basata su metodologie che concretamente rivelino le minacce per i diritti e le libertà degli interessati;
• quali sono le misure di sicurezza tecniche ed organizzative previste dal titolare del trattamento per affrontare i rischi.

La preventiva valutazione d'Impatto si pone, dunque, quale passaggio ineludibile per gli esercizi commerciali che intendono installare sistemi di videosorveglianza. Questo processo, guidato dalle indicazioni delle Linee Guida EDPB, non solo garantisce la conformità al GDPR, ma contribuisce anche a costruire un rapporto di fiducia con clienti e dipendenti, dimostrando un impegno concreto nella tutela della privacy.

4.4 Videosorveglianza in ambito condominiale: adempimenti e obblighi

Un caso particolare concerne la possibilità di installare sistemi di videosorveglianza che riprendono parti comuni all’interno di una realtà condominiale. In tale ambito, infatti, la suddetta installazione è soggetta a precisi adempimenti, in quanto il condominio (o l'amministratore, se incaricato) agisce come Titolare del trattamento.

In tale eventualità, sarà opportuno porre in essere i seguenti adempimenti:

• Delibera Assembleare: l'installazione di telecamere sulle parti comuni (innovazione) richiede una delibera assembleare adottata con una maggioranza qualificata (generalmente la maggioranza degli intervenuti che rappresenti almeno 500 millesimi).
• Principio di Minimizzazione: le riprese devono essere strettamente limitate alle aree comuni perimetrali (es. accessi, garage) e devono escludere, per quanto possibile, le proprietà private, gli ingressi dei singoli condomini o la pubblica via (marciapiedi e strade).
• Informativa Obbligatoria (Art. 13 GDPR):
  • è obbligatorio informare gli interessati (condomini, visitatori, ecc.) con appositi cartelli visibili prima di accedere all'area sorvegliata;
  • il cartello deve contenere i dati essenziali: l'identità del Titolare del trattamento, la finalità perseguita e il riferimento al testo completo dell'informativa estesa.
• Conservazione dei Dati: il periodo di conservazione delle immagini deve essere limitato allo stretto necessario per la finalità (generalmente sicurezza e tutela dei beni). Salvo casi eccezionali, il tempo di conservazione non dovrebbe superare le 24-72 ore.
• Accesso: l'accesso ai dati (immagini registrate) deve essere consentito solo all'Amministratore o a soggetti specificamente autorizzati e designati.

5 Trattamento dei dati tramite strumenti aziendali (Gps su veicoli e smartphone)

5.1 Dispositivi di localizzazione GPS sui veicoli aziendali: inquadramento normativo e adempimenti

I GPS o localizzatori satellitari permettono un controllo di quei lavoratori che, per svolgere la propria prestazione lavorativa, si spostano sul territorio nazionale ed estero. Tali sistemi, mediante la localizzazione dei veicoli aziendali, permettono di controllare gli spostamenti dei dipendenti, le eventuali pause, i tempi di percorrenza, ecc., e, per questo, rientrano nei sistemi di controllo disciplinati dall’art. 4 dello Statuto dei Lavoratori.

In tale contesto è sicuramente rilevante il Provvedimento n. 370 del 4 ottobre 2011 del Garante per la Privacy, il quale ha riconosciuto la liceità di tali sistemi e la loro conseguente installazione a condizione che sia stata data attuazione delle garanzie di cui all’art. 4, comma 1 dello Statuto dei Lavoratori (accordo con le rappresentanze sindacali o, in via sussidiaria, autorizzazione amministrativa), individuando nei datori di lavoro che si avvalgono dei predetti sistemi per soddisfare esigenze organizzative, produttive ovvero per la sicurezza sul lavoro o per la tutela del patrimonio aziendale, un legittimo interesse al trattamento dei dati relativi all’ubicazione dei propri dipendenti.

Il Provvedimento sopra citato prescrive ai datori di lavoro pubblici e privati che si avvalgono di sistemi di localizzazione e di comunicazione della posizione rilevata installati a bordo dei veicoli ed impiegati per soddisfare esigenze organizzative, produttive ovvero per la sicurezza sul lavoro:

1. quale misura necessaria, nel rispetto del principio di necessità, che la posizione del veicolo non sia di regola monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite;
2. quale misura necessaria, in base al principio di pertinenza e non eccedenza, che i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati siano commisurati tenendo conto di ciascuna delle finalità in concreto perseguite;
3. quale misura necessaria, la designazione, quali responsabili, degli operatori economici che forniscono i servizi di localizzazione del veicolo e di trasmissione della posizione del medesimo, impartendo loro le necessarie istruzioni rispetto all’utilizzo legittimo dei dati raccolti per le sole finalità previste dall’accordo;
4. quale misura opportuna, un modello semplificato di informativa, al fine di rendere noto agli interessati il trattamento effettuato mediante il sistema di localizzazione del veicolo.

A tal proposito, il Garante per la protezione dei dati personali con provvedimento del 18 dicembre 2025 ha disposto che anche in assenza di geolocalizzazione, un sistema di telematica applicato ai veicoli aziendali può integrare una forma di controllo a distanza dell’attività lavorativa e, dunque, non può essere utilizzato senza il previo rispetto delle garanzie previste dall’art. 4 della legge 300/1979.

5.2 Dispositivi di localizzazione sul cellulare aziendale: inquadramento normativo e adempimenti

Le dotazioni aziendali sono quegli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa di cui all’art. 4 comma 2 dello Statuto dei Lavoratori. Si tratta di mezzi indispensabili per adempiere al proprio obbligo contrattuale che non possono essere considerati strumenti di controllo a distanza e che, tempo addietro, si sarebbero chiamati gli “attrezzi di lavoro”.

Per un elenco non esaustivo, in virtù delle innovazioni tecnologiche, per dotazioni aziendali si intendono: postazioni di lavoro fisse (pc desktop e simili) e mobili (pc portatili), smartphone, servizi software o applicativi, e-mail client, internet browser, ecc.

L’eccezione di cui al comma 2 dell’art. 4 dello Statuto dei Lavoratori è, pertanto, limitata agli strumenti che “immediatamente servono al lavoratore per adempiere alle mansioni assegnate”. In tal senso l'INL con la circolare 7 novembre 2016, n. 2, ha precisato che possono essere considerati strumenti di lavoro “gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione”.

È opportuno ricordare che anche per tali strumenti è obbligatorio rendere adeguata informativa ai lavoratori ai sensi del Codice della Privacy.

Il Ministero del Lavoro, con nota del 18 giugno 2015, ha stabilito che nel momento in cui lo strumento viene modificato (ad esempio, con l’aggiunta di software di localizzazione), non si considera più rientrante nella categoria degli strumenti utili alla prestazione di lavoro. In presenza di tali modifiche, lo strumento assume infatti caratteristiche proprie degli apparati idonei al controllo a distanza dei lavoratori.

Di conseguenza, l’utilizzo di smartphone sui quali siano installati specifici software di localizzazione funzionali alle esigenze organizzative, produttive o di sicurezza del lavoro o di tutela del patrimonio aziendale, è ammesso nel rispetto delle garanzie procedurali previste dalla norma di cui all’art. 4, comma 1 e 3 dello Statuto dei Lavoratori.

6. Ambiti sensibili e tutela dei minori: videosorveglianza e pubblicazione delle immagini

La protezione dei dati personali dei minori all'interno delle strutture educative, come asili nido e scuole, rappresenta una delle sfide più delicate nel contesto della videosorveglianza e della pubblicazione delle immagini. Sebbene questi strumenti possano fornire vantaggi in termini di sicurezza e monitoraggio, il loro utilizzo deve essere sempre giustificato da motivi legittimi e proporzionati, in linea con i principi sanciti dal Regolamento Generale sulla Protezione dei Dati (GDPR). La privacy dei minori, infatti, è un diritto fondamentale che va tutelato con estrema attenzione, soprattutto in un ambiente sensibile come quello educativo. Le strutture scolastiche e gli asili nido sono obbligati a rispettare stringenti normative per garantire che ogni trattamento di dati, in particolare quelli concernenti le immagini dei minori, avvenga in maniera conforme alla legge e tuteli la dignità e la riservatezza degli stessi.

Il provvedimento n. 8/2025 del Garante per la protezione dei dati personali ha fornito precise direttive riguardanti l’utilizzo della videosorveglianza e la pubblicazione delle immagini nelle scuole e negli asili nido, definendo le modalità per una corretta gestione dei dati. Tra gli aspetti centrali del provvedimento, si evidenzia la necessità di proporzionalità e necessità del trattamento, in modo che i dati raccolti siano utilizzati esclusivamente per finalità di sicurezza e non per scopi non giustificati. La pubblicazione delle immagini, inoltre, è subordinata al consenso esplicito e informato dei genitori, che devono essere pienamente consapevoli delle modalità di utilizzo e conservazione delle stesse.

Questo capitolo esamina le principali disposizioni relative alla videosorveglianza e alla pubblicazione delle immagini nei contesti educativi, mettendo in luce le obbligazioni legali a cui sono soggetti gli operatori scolastici e le strutture private (come gli asili nido), nonché le problematiche legate alla validità e libertà del consenso nel trattamento dei dati dei minori. In questo contesto, le scuole e le altre strutture educative sono chiamate a bilanciare la necessità di garantire un ambiente sicuro con il rispetto dei diritti fondamentali dei bambini e del personale.

6.1 Videosorveglianza negli asili nido e nelle scuole: finalità e limitazioni

Il provvedimento n. 8/2025 del Garante stabilisce che la videosorveglianza all'interno degli asili nido e delle scuole può essere installata solo a fini di sicurezza, come la protezione dei minori da episodi di abuso, violenza o da atti di vandalismo. Le telecamere devono essere installate solo in spazi comuni, come corridoi, ingressi, giardini o aree esterne, evitando qualsiasi installazione in aree sensibili, quali aule, bagni e spogliatoi, dove la privacy dei minori e del personale educativo potrebbe essere gravemente compromessa.

L'uso della videosorveglianza deve essere sempre proporzionato agli scopi dichiarati e non deve comportare la raccolta di dati non necessari o eccessivi rispetto alla finalità di sicurezza. Questo principio si allinea con quello di minimizzazione dei dati previsto dall'Art. 5, par. 1, lett. c del GDPR, secondo cui i dati devono essere raccolti solo per scopi specifici, espliciti e legittimi⁴. Il Garante ha inoltre enfatizzato la necessità di trasparenza: i genitori e il personale devono essere informati in modo chiaro e tempestivo sulla presenza delle telecamere e sui motivi del loro utilizzo. Tale informazione deve essere fornita tramite cartelli visibili e una informativa dettagliata sui trattamenti effettuati, conforme a quanto previsto dall'Art. 13 del GDPR.

In questo contesto, è cruciale che le strutture educative dimostrino, mediante la documentazione e l'accesso ai registri, che la videosorveglianza non superi i limiti necessari e che non vengano registrate informazioni eccedenti rispetto agli scopi di sicurezza.

6.2 Pubblicazione delle immagini: consenso esplicito e rispetto della privacy

Il Garante ha trattato anche il tema della pubblicazione delle immagini dei minori, un aspetto particolarmente delicato in ambito educativo. Secondo il provvedimento, le immagini dei bambini non possono essere pubblicate senza il consenso esplicito dei genitori o dei tutori legali. Il consenso deve essere libero, informato, specifico e inequivocabile, come stabilito dall'articolo 7 del GDPR, e deve essere ottenuto prima che le immagini vengano utilizzate per qualsiasi scopo, inclusa la pubblicazione su social media, siti web o altre piattaforme pubbliche.

Inoltre, il Garante sottolinea che le immagini dei minori possono essere pubblicate solo per finalità educative, informative o promozionali e che la loro diffusione deve sempre avvenire nel rispetto della privacy e della dignità dei minori. È assolutamente vietato l'uso delle immagini per finalità commerciali o pubblicitarie senza una specifica autorizzazione separata da parte dei genitori.

La struttura educativa ha, quindi, l'obbligo di garantire che le immagini siano protette da misure di sicurezza adeguate, in modo da evitare che vengano accessibili da soggetti non autorizzati. Le scuole devono inoltre informare i genitori in merito alla durata del trattamento e alla conservazione delle immagini, nonché ai destinatari dei dati, in piena conformità con i principi di trasparenza e proporzionalità sanciti dal GDPR. La protezione dei dati deve essere sempre assicurata, impedendo qualsiasi uso improprio delle immagini.

7. FAQ, checklist e casi pratici rilevanti

7.1 Domande Frequenti (FAQ)

Posso utilizzare le telecamere per monitorare l’attività dei dipendenti?

No. L' Art. 4 dello Statuto dei Lavoratori vieta l’uso di impianti audiovisivi per il mero controllo a distanza dell’attività lavorativa. Si ricorda, infatti, che gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato con le RSU o RSA o, in mancanza di accordo, previa autorizzazione dell’INL.

È obbligatorio stipulare un accordo sindacale per l’installazione di sistemi di videosorveglianza?

Sì. Secondo l'Art. 4 dello Statuto dei Lavoratori, qualunque impianto di videosorveglianza che possa generare anche solo un controllo indiretto sui dipendenti deve essere preventivamente concordato con le rappresentanze sindacali (RSU/RSA). In alternativa, in mancanza del predetto accordo, occorre ottenere l’autorizzazione dell'Ispettorato Territoriale del Lavoro (ITL).

Cosa è tenuto a fare il datore di lavoro in caso di videosorveglianza sul personale addetto alle pulizie?

Il datore di lavoro deve, in tal caso, conformarsi ai relativi obblighi informativi mediante l’apposizione di idonea segnaletica informativa di primo livello e la predisposizione di un’informativa più dettagliata di secondo livello.

Qualora il sistema di videosorveglianza sia attivo durante l’esecuzione delle operazioni di pulizia da parte del personale addetto, del quale l’impresa è titolare del rapporto di lavoro, e inquadrasse aree in cui detto personale opera, l’installazione dell’impianto dovrà essere preventivamente legittimata ai sensi dell’art. 4 della legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori).

Nel caso di una società appaltatrice, è necessario richiedere una nuova autorizzazione per l’impianto di videosorveglianza?

No, se l’impianto è già esistente e autorizzato dalla committente. In questo caso, la committente ha già adempiuto agli obblighi di legge. Tuttavia, l’impresa appaltatrice deve fornire l’informativa completa ai propri dipendenti riguardo all’esistenza dell’impianto e le modalità di utilizzo. È consigliabile per quest’ultima verificare la natura ed i contenuti dell’autorizzazione in possesso della committente.

Cosa succede se non ricevo risposta dall’INL? Posso considerare il silenzio come approvazione?

No. Il silenzio-assenso non si applica in questo contesto. In assenza di risposta formale da parte della sede competente dell’'INL, l'installazione dell’impianto non è consentita. Procedere senza l’autorizzazione è una violazione della normativa sulla privacy e sulla protezione dei lavoratori.

Quando è possibile evitare l'accordo sindacale o, in sua mancanza, l'autorizzazione dell'INL?

Le procedure di cui all’art. 4, comma 1, dello Statuto dei Lavoratori, non si applicano agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

Qual è la durata massima di conservazione dei filmati?

Secondo il principio di limitazione della conservazione previsto dal GDPR, i filmati devono essere conservati per il tempo strettamente necessario a soddisfare le finalità per cui sono stati raccolti. Il Garante consiglia un periodo di conservazione di 24-48 ore nella maggior parte dei casi. Solo in circostanze specifiche e giustificate (come la protezione in periodi di alta stagione o festivi) può essere esteso a sette giorni. Qualsiasi conservazione superiore deve essere supportata da una Valutazione di Impatto sulla Privacy (DPIA). Il punto 3.4 del Provvedimento generale del Garante in materia di videosorveglianza dell'8 aprile 2010 stabilisce che la durata della conservazione delle immagini registrate è tendenzialmente fissata in 24 ore, estendibile a 48 ore in casi specifici e documentati, e fino a un massimo di 7 giorni solo in presenza di comprovate esigenze.

Cos'è il "modello a due livelli" per l'informativa?

Il modello a due livelli implica che l’informativa sia fornita in due fasi:

1. Primo livello: un cartello informativo visibile, con informazioni sintetiche sul trattamento (finalità, Titolare, e riferimento al secondo livello).
2. Secondo livello: un'informativa più dettagliata (come previsto dagli Art. 13 e 14 del GDPR), accessibile tramite QR code, link o in formato cartaceo, che fornisce informazioni complete sulla conservazione dei dati, i diritti degli interessati e i dettagli del Data Protection Officer (DPO).

Devo informare ogni dipendente singolarmente?

Sì. Ogni dipendente deve ricevere l'informativa completa (secondo livello), non solo per adempiere agli obblighi del GDPR, ma anche per rispettare la normativa dello Statuto dei Lavoratori (Art. 4), che impone di informare i lavoratori riguardo all’uso di impianti di controllo a distanza.

Quali sono le conseguenze di una violazione della normativa sulla videosorveglianza?

Le sanzioni possono essere di due tipi:

• Amministrative (GDPR): sanzioni pecuniarie che possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo dell’impresa.
• Penali e Civili (Statuto dei Lavoratori): in caso di installazione non autorizzata o di violazione dei diritti dei lavoratori, le conseguenze possono includere ammende o arresto per il datore di lavoro e risarcimenti danni ai lavoratori coinvolti.

Le immagini raccolte tramite impianti audiovisivi sono utilizzabili per sanzionare il dipendente?

Le informazioni così raccolte sono utilizzabili a tutti i fini connessi al rapporto di lavoro e, quindi, anche ai fini sanzionatori, a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D. Lgs. n. 196/2003.

7.2 Checklist di conformità propedeutica all’installazione degli impianti audiovisivi

La checklist di conformità è uno strumento pratico che permette alle imprese di verificare se stanno rispettando le normative sulla videosorveglianza e sul trattamento dei dati personali. Ogni fase del processo deve essere documentata in modo chiaro e trasparente.

Fase 1: Analisi e Finalità

• Ho identificato una finalità legittima per l’uso delle telecamere? (Ad esempio, sicurezza aziendale, protezione del patrimonio)
• Ho verificato che l’impianto non sia utilizzato per monitorare l’attività lavorativa dei dipendenti? (Controllo degli angoli di ripresa)

Fase 2: Autorizzazione e Informazione

• Ho installato i cartelli informativi (primo livello) in modo visibile e comprensibile per tutti?
• Ho fornito l'informativa completa (secondo livello) a tutti i dipendenti, e ho ricevuto la firma di ricezione o una prova di invio digitale?
• Ho ottenuto l’accordo sindacale o, in mancanza di accordo, l’autorizzazione dall’Ispettorato del Lavoro (ITL)?

Fase 3: Gestione dei Dati

• Il sistema cancella automaticamente i filmati entro il periodo stabilito (ad esempio, quarantotto ore)?
• Ho limitato l’accesso ai filmati solo al personale autorizzato?
• Esiste un registro degli accessi ai filmati che traccia ogni visualizzazione/estrazione?
• Le misure di sicurezza (ad esempio, password forti, cifratura dei dati) sono sufficienti per proteggere i dati raccolti?
• Ho redatto una Valutazione di Impatto sulla Privacy (DPIA) per il sistema di videosorveglianza, se necessario?
• Le telecamere sono state installate?

7.3 Casi Pratici

Casi pratici da rappresentare?

Esempi possibili:

Caso 1: Implementazione Corretta in Azienda
L'azienda "Alfa S.p.A." ha rispettato tutti gli obblighi previsti dalla normativa. Ha ottenuto l’accordo sindacale, ha definito una finalità legittima per la videosorveglianza (protezione contro i furti), ha informato correttamente i dipendenti e ha conservato i filmati per un periodo adeguato di 48 ore. Risultato: conformità totale. Il sistema è completamente legittimo e non è soggetto a sanzioni.

Caso 2: Implementazione Errata in Azienda
L'azienda "Beta S.r.l." ha installato telecamere per monitorare gli orari di lavoro, senza una finalità legittima, senza l’accordo sindacale o l’autorizzazione della sede competente dell’INL, e ha conservato i filmati per sei mesi. Risultato: violazione grave. L'azienda è passibile di sanzioni amministrative (fino al 4% del fatturato) e penali per violazione dello Statuto dei Lavoratori.

Caso 3: Applicazione della Videosorveglianza e Trattamento di Immagini in Asili Nido/Scuole
Una struttura educativa ha ripreso i bambini in momenti intimi (come a mensa o mentre dormono) e ha pubblicato la foto online senza il consenso libero dei genitori. Risultato: violazioni gravi. È stata riscontrata una gestione illecita delle immagini, con un consenso non libero e non specifico. Titolare è stato sanzionato in quanto il consenso dei genitori (o del personale) non poteva considerarsi "libero" se la sua negazione condizionava l'accesso al servizio educativo. Il Garante ha stabilito la prevalenza del Superiore Interesse del Minore (principio giuridico fondamentale) rispetto all'esigenza di controllo, invalidando così la base giuridica del trattamento. L'installazione di telecamere era, dunque, illecita in assenza di una base giuridica valida. Il Garante ha imposto una multa di €10.000 e l'immediata cancellazione delle immagini. La dignità del minore e la libertà del consenso sono prioritarie rispetto a finalità promozionali o didattiche.

8. Adempimenti per diverse tipologie di contesto

La videosorveglianza è uno strumento essenziale per garantire la sicurezza in molte situazioni, dalle piccole e medie imprese (PMI) alle grandi aziende, fino agli ambienti residenziali, come i condomini. Tuttavia, la sua implementazione deve sempre rispettare le normative sulla protezione dei dati personali, in particolare il Regolamento UE 2016/679 (GDPR) e la Legge 300/1970 (Statuto dei Lavoratori). La gestione dei sistemi di videosorveglianza varia sensibilmente in base al contesto di utilizzo, e per questa ragione le imprese e gli altri enti coinvolti devono rispettare specifici adempimenti giuridici, in funzione della loro dimensione e della tipologia di attività svolta. Questo capitolo analizza gli obblighi riguardanti la videosorveglianza per le PMI, le grandi imprese e i condomini, fornendo indicazioni pratiche su come garantire la conformità alle normative in ogni situazione.

8.1 Per le PMI: come essere conformi

Le piccole e medie imprese (PMI) devono gestire la videosorveglianza in modo che sia proporzionata alla dimensione dell’impresa e alla finalità della sorveglianza. Come stabilito dall’articolo 4 dello Statuto dei Lavoratori (Legge 300/1970), le telecamere non devono mai essere utilizzate per monitorare sistematicamente l’attività lavorativa dei dipendenti, ma esclusivamente per scopi legittimi, come la protezione del patrimonio aziendale o la sicurezza dei lavoratori.

Per garantire la conformità, un primo passo essenziale è la mappatura del sistema di videosorveglianza. L’imprenditore deve effettuare una valutazione preliminare delle telecamere in uso, documentando la loro ubicazione, le aree monitorate e le finalità dichiarate per l'installazione. Ogni dipendente deve essere informato in modo chiaro e trasparente sulle finalità della videosorveglianza, la durata della conservazione dei filmati e i diritti che spettano agli interessati. L’informativa deve essere scritta e firmata dai dipendenti per confermare la ricezione, come richiesto dal GDPR.

L'installazione dei predetti sistemi di videosorveglianza deve essere preceduta da un accordo tra il datore di lavoro e le rappresentanze sindacali dei lavoratori, con la conseguenza che se l'accordo non è raggiunto o non sono presenti RSA/RSU, il datore di lavoro deve far precedere l'installazione dalla richiesta di un provvedimento autorizzativo da parte dell'INL. Senza l’accordo sindacale o senza l’autorizzazione amministrativa, l'installazione è vietata.

Riguardo alla conservazione dei dati, i filmati devono essere conservati solo per il periodo strettamente necessario, di norma non oltre 24-48 ore, salvo motivazioni eccezionali, come nel caso di furti o atti illeciti. L'accesso ai filmati deve essere limitato e monitorato, e devono essere adottate misure di sicurezza per proteggere i dati.

8.2 Per le grandi imprese: gestire la videosorveglianza nei processi aziendali

Per le grandi imprese, la gestione della videosorveglianza è più complessa, sia per la maggior estensione degli impianti, sia per l'uso di tecnologie avanzate che potrebbero essere adottate. Oltre agli adempimenti previsti per le PMI, le grandi imprese devono rispettare obblighi più rigorosi, soprattutto in relazione alla protezione dei dati personali.

Una delle principali differenze rispetto alle PMI è l'obbligo di redigere una Valutazione di Impatto sulla Privacy (DPIA) quando il trattamento dei dati comporta rischi elevati per i diritti e le libertà degli interessati, come nel caso d’impianti di videosorveglianza con riconoscimento facciale o altre tecnologie avanzate. La DPIA consente di identificare, valutare e mitigare i rischi associati al trattamento dei dati e deve essere effettuata prima dell’installazione o dell’aggiornamento dell’impianto di videosorveglianza.

Inoltre, le grandi aziende devono garantire una documentazione adeguata dell'informativa sui sistemi di videosorveglianza, che deve essere distribuita a tutti i dipendenti. L'informativa deve essere di primo livello (cartello visibile) e di secondo livello (documento completo), accessibile tramite l'intranet aziendale. Essa deve descrivere le finalità del trattamento, la durata della conservazione dei dati e i diritti degli interessati.

L’accesso ai filmati deve essere limitato a personale autorizzato, e ogni visualizzazione deve essere documentata attraverso un registro degli accessi che tracci chi visualizza i filmati, quando e per quale motivo. Le misure di sicurezza devono essere particolarmente robuste: i filmati devono essere protetti con crittografia, backup sicuri e monitoraggio continuo, per evitare accessi non autorizzati e garantire la protezione dei dati sensibili.

8.3 Per i condomini: videosorveglianza in ambito residenziale

Nel contesto dei condomini, l'installazione di telecamere di videosorveglianza è regolata dalle normative sulla protezione dei dati personali, ma le finalità e le modalità d'uso sono più restrittive rispetto agli altri contesti. La videosorveglianza nei condomini è consentita solo nelle aree comuni (come ingressi, cortili, scale) e non può essere utilizzata per monitorare le aree private o per controllare i comportamenti dei condòmini (vedi par. 4.4)

Ai sensi dell’articolo 1136 del Codice Civile, l'installazione delle telecamere deve essere approvata dall’assemblea condominiale con una maggioranza qualificata. Le finalità devono essere strettamente legate alla sicurezza delle aree comuni, e non può essere giustificata per il controllo delle abitudini dei condomini È fondamentale che l’informativa sui sistemi di videosorveglianza sia fornita ai residenti, e che includa informazioni chiare su chi può accedere ai filmati, le finalità della videosorveglianza, e la durata della conservazione.

8.4 Videosorveglianza in attività con dati sensibili: RSA, case di riposo, asili nido

Le attività che trattano dati sensibili, come le RSA (Residenze Sanitarie Assistite), le case di riposo e gli asili nido, richiedono un’attenzione particolare nell'implementazione della videosorveglianza. Questi ambienti trattano dati relativi a persone vulnerabili, come anziani, bambini o soggetti con disabilità, e pertanto la videosorveglianza deve essere giustificata da finalità di sicurezza e tutela, mai da scopi diversi.

In tali contesti, è obbligatorio effettuare una Valutazione di Impatto sulla Privacy (DPIA), poiché il trattamento dei dati sensibili comporta rischi maggiori per la privacy degli interessati. La videosorveglianza deve essere limitata alle aree necessarie per garantire la sicurezza degli ospiti, come le aree comuni e le zone di passaggio, e non deve mai invadere la privacy delle persone ospiti delle strutture. I filmati devono essere protetti con la massima sicurezza, utilizzando sistemi di crittografia e adottando misure di protezione adeguate per evitare abusi. Inoltre, deve essere garantito che l’accesso alle registrazioni sia riservato esclusivamente a personale autorizzato e che la conservazione dei filmati sia limitata al periodo strettamente necessario.

In conclusione, si rileva che la videosorveglianza è uno strumento cruciale per garantire la sicurezza, ma deve essere implementata con la massima attenzione alla protezione dei dati personali e nel rispetto delle normative vigenti. Le PMI, le grandi imprese e i condomini devono rispettare gli obblighi specifici in base al loro contesto e alla tipologia di attività svolta. In tutti i casi, l’utilizzo delle telecamere deve essere giustificato da finalità legittime, le informazioni sui sistemi di videosorveglianza devono essere chiare e trasparenti, e le misure di sicurezza per proteggere i dati raccolti devono essere robuste e conformi alle disposizioni del GDPR.

Particolare attenzione deve essere riservata alle strutture che trattano dati sensibili, come le RSA, le case di riposo e gli asili nido.