Studio Legale Di Biase

Videosorveglianza: sanzionato un bar per il controllo a distanza

Avv. Lucio Di Biase
Videosorveglianza: sanzionato un bar per il controllo a distanza

Immagine estratta da https://it.freepik.com/

1. Videosorveglianza e privacy, un equilibrio ancora difficile

Nel delicato bilanciamento tra sicurezza, esigenze organizzative e tutela della privacy, la videosorveglianza resta uno dei terreni più scivolosi per titolari del trattamento e datori di lavoro.
Ogni impianto di telecamere rappresenta, infatti, un trattamento di dati personali sottoposto alle regole del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (d.lgs. 196/2003, come modificato dal d.lgs. 101/2018), la cui disciplina si complica quando l’obiettivo della videosorveglianza si avvicina – anche solo di fatto – al controllo dei lavoratori. In tal caso entra in gioco l’art. 4 dello Statuto dei Lavoratori (L. 300/1970), che ammette i controlli a distanza solo in presenza di specifiche garanzie e autorizzazioni.

Ecco perché, proprio di recente, il Garante per la Protezione dei Dati Personali è tornato a sanzionare, con provvedimento dell’11 settembre 2025, la titolare di un esercizio commerciale per uso illecito di un sistema di videosorveglianza.

Un caso apparentemente “minore”, ma che in realtà chiarisce bene i confini tra sicurezza e controllo e mostra come anche i piccoli esercenti siano tenuti a conoscere e rispettare il GDPR nella gestione delle telecamere.

2. Telecamere al bar

Tutto nasce da un controllo effettuato dalla Questura di Lecco il 15 gennaio 2025 presso un esercizio commerciale gestito da un’impresa individuale, ove risultava la presenza di un impianto di videosorveglianza composto da tre telecamere, una delle quali perfettamente funzionante, installate senza alcun cartello informativo ai sensi dell’art. 13 del GDPR.

Dalle dichiarazioni rese dal titolare, le immagini venivano visualizzate in tempo reale tramite l’applicazione per smartphone “IEGeek Cam”, senza registrazione e il trattamento aveva come finalità prevalente il controllo dei dipendenti addetti alla somministrazione di cibi e bevande, oltre che degli avventori del locale.

In altre parole, la videosorveglianza era usata non tanto per motivi di sicurezza, quanto per monitorare il comportamento dei lavoratori.

A seguito della segnalazione della Questura, il Garante Privacy ha aperto un procedimento sanzionatorio, notificando al titolare l’atto di avvio ai sensi dell’art. 166, comma 5, del Codice.

Successivamente, su richiesta del Garante, l’Ispettorato del Lavoro di Como-Lecco-Sondrio ha comunicato che l’autorizzazione per l’impianto di videosorveglianza era stata rilasciata solo il 19 febbraio 2025, cioè un mese dopo il controllo.

3. Il quadro normativo

Per comprendere la portata della decisione, è utile richiamare brevemente il quadro normativo di riferimento.

3.1. La videosorveglianza come trattamento di dati personali

L’art. 4, par. 1, n. 2) del GDPR definisce “trattamento” qualsiasi operazione compiuta su dati personali, inclusa la raccolta, registrazione, consultazione, conservazione o visualizzazione di immagini.
Pertanto, anche la semplice visione in diretta delle immagini – senza registrazione – costituisce un trattamento, come già chiarito dalla Cassazione (Sent. 2 settembre 2015, n. 17440) e dalla Corte di Giustizia UE (causa C-212/13, Ryneš).

Di conseguenza, anche chi usa telecamere solo per “guardare” in tempo reale, senza registrare, deve rispettare i principi del GDPR: liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati e sicurezza del trattamento (art. 5 GDPR).

3.2. L’obbligo di informativa (art. 13 GDPR)

L’informativa rappresenta il primo livello di trasparenza. Chi installa telecamere deve informare chiaramente le persone che stanno per accedere in una zona videosorvegliata.
Ciò avviene tramite cartelli ben visibili (almeno all’altezza degli occhi), contenenti le informazioni principali: finalità del trattamento, titolare, base giuridica, riferimenti per approfondire l’informativa completa.

Le Linee guida n. 3/2019 del Comitato europeo per la protezione dei dati (EDPB) confermano che le informazioni devono essere “ben visibili, leggibili e comprensibili”, e possono essere fornite in due livelli: un cartello sintetico e un documento completo.

3.3. Il controllo a distanza dei lavoratori (art. 4 L. 300/1970)

L’art. 88 del GDPR consente agli Stati membri di introdurre “norme più specifiche” per tutelare i lavoratori nel contesto dei trattamenti connessi all’impiego.
L’Italia lo ha fatto appunto con l’art. 114 del Codice, che rinvia allo Statuto dei Lavoratori.

L’art. 4 dello Statuto dei Lavoratori è chiaro: gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell’attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso  di  assenza  delle  rappresentanze,  solo  in  quanto  preceduta  dal  rilascio  di  apposita autorizzazione da parte dell’Ispettorato del lavoro.

Il mancato rispetto di tale procedura non solo determina l’illiceità del trattamento ai sensi del GDPR e del Codice Privacy (art. 114), anche se avviene in buona fede o per motivi di gestione interna, ma può integrare illecito penale ex art. 171 del Codice stesso.

4. La decisione del Garante

Dopo aver esaminato gli atti e la risposta dell’Ispettorato, il Garante ha concluso che il trattamento effettuato dal titolare del bar era illecito sotto due profili principali:

  • Violazione degli artt. 13 e 5, par. 1, lett. a) del GDPR – per mancanza di informativa agli interessati e difetto di trasparenza;
  • Violazione dell’art. 4 L. 300/1970 e dell’art. 114 del Codice Privacy – perché le telecamere erano state usate per controllare i dipendenti senza la preventiva autorizzazione dell’Ispettorato del Lavoro.

4.1. La natura del trattamento: controllo illecito a distanza

Quanto alla prima violazione, la totale assenza di cartelli informativi è stata qualificata come violazione autonoma e grave.
Il principio di trasparenza richiede che chiunque entri in un’area videosorvegliata possa sapere subito che è ripreso, da chi e per quali finalità.
La mancanza di tale informazione – soprattutto in un locale aperto al pubblico – lede i diritti di un’ampia platea di interessati, aggravando la gravità della condotta.

4.2. L’informativa mancante

Quanto alla seconda violazione, il Garante ha ribadito che la finalità dichiarata dal titolare (“controllo dei dipendenti addetti alla somministrazione”) non rientra tra quelle ammesse dall’art. 4 dello Statuto. Un impianto di videosorveglianza non può essere usato per “verificare come lavorano i dipendenti” o “monitorare la loro presenza” — nemmeno se ciò avviene solo tramite visione in diretta.

Solo le esigenze organizzative, produttive, di sicurezza o tutela del patrimonio possono giustificare la videosorveglianza e solo dopo aver ottenuto l’autorizzazione.

Pertanto, fino al 19 febbraio 2025 (data dell’autorizzazione postuma), il trattamento è stato considerato radicalmente illecito.

4.3. La valutazione della gravità e la sanzione

Il Garante, conseguentemente, considerate, da un lato, come aggravanti la natura intenzionale della violazione (uso esplicito per controllo dipendenti), la gravità e durata della condotta, la reiterazione di casi analoghi già oggetto di provvedimenti precedenti e l’ampiezza del numero di persone coinvolte (dipendenti e clienti) e, dall’altro, come attenuanti l’assenza di precedenti specifici a carico del titolare e la successiva regolarizzazione tramite richiesta di autorizzazione all’Ispettorato, ha applicato la sanzione di 8.000 euro.

5. Le implicazioni pratiche per imprese e professionisti

Questo caso, pur riguardando un piccolo esercizio commerciale, ha valenza generale.
Conferma che il GDPR non è una norma “per grandi aziende”, ma riguarda chiunque tratti dati personali, anche tramite strumenti semplici come una telecamera connessa a un’app.

Ecco le lezioni operative che imprese e datori di lavoro dovrebbero trarre.

5.1. Ogni telecamera è un trattamento di dati

Non esistono “telecamere private” se riprendono persone identificabili, anche solo potenzialmente.
Serve sempre:

  • una finalità lecita;
  • una base giuridica;
  • il rispetto dei principi di minimizzazione e proporzionalità.

5.2. L’obbligo di informativa e i cartelli

I cartelli informativi devono essere presenti, chiari e leggibili.
Devono indicare almeno:

  • che l’area è videosorvegliata;
  • il titolare del trattamento;
  • la finalità (es. sicurezza);
  • i riferimenti per visionare l’informativa completa (sito web, QR code, ecc.).

La mancanza dell’informativa costituisce una violazione autonoma e può essere sanzionata anche in assenza di altri illeciti.

5.3. L’autorizzazione per il controllo dei lavoratori

Se le telecamere possono anche solo indirettamente inquadrare i lavoratori, serve accordo sindacale o autorizzazione dell’Ispettorato del Lavoro.
Non importa se la finalità dichiarata è “sicurezza” o “tutela del patrimonio”: ciò che conta è la potenzialità del controllo.

Installare prima e chiedere l’autorizzazione dopo non sana la violazione.

5.4. La cooperazione tra Garante e Ispettorato

Il provvedimento mostra una crescente integrazione tra autorità: la Questura segnala, l’Ispettorato verifica, il Garante sanziona.
Il sistema di controllo interistituzionale funziona e le imprese devono esserne consapevoli: le violazioni lasciano tracce e vengono facilmente intercettate.

5.5. Privacy by design e by default

Gli impianti di videosorveglianza dovrebbero essere progettati in modo conforme al principio di privacy by design:

  • angoli di ripresa limitati al necessario;
  • impostazioni di oscuramento delle aree irrilevanti;
  • accesso limitato alle immagini;
  • password robuste e sistemi aggiornati.

L’app “IEGeek Cam”, usata in questo caso, dimostra come anche una semplice connessione da smartphone possa comportare rischi di accesso non autorizzato, se non gestita con cautele adeguate.

6. Conclusioni: videosorveglianza lecita, come evitare errori e sanzioni

Il provvedimento dell’11 settembre 2025 rappresenta un monito chiaro: la videosorveglianza può essere uno strumento utile, ma solo se gestita con consapevolezza e nel rispetto delle regole.

Per evitare errori costosi, ogni titolare dovrebbe:

  1. Definire le finalità del sistema prima dell’installazione.
  2. Verificare la necessità di autorizzazione (se vi sono dipendenti ripresi, quasi sempre sì).
  3. Predisporre un’informativa chiara e cartelli ben visibili.
  4. Tenere un registro dei trattamenti aggiornato.
  5. Limitare gli accessi alle immagini a soggetti autorizzati e istruiti.
  6. Conservare le registrazioni solo per il tempo strettamente necessario (di norma, 24–72 ore).
  7. Consultare un consulente privacy o DPO prima di ogni modifica all’impianto.

La trasparenza e la proporzionalità restano le parole chiave: le telecamere non devono mai diventare un mezzo di controllo personale o gestionale, ma uno strumento a tutela di persone e beni.

CHIEDI UN ESAME GRATUITO DEL TUO CASO

Articoli

Altri articoli