Videosorveglianza nelle imprese: guida normativa e adempimenti

Videosorveglianza nelle imprese: guida normativa e adempimenti

Apr 24, 2026 | News

La diffusione dei sistemi di videosorveglianza rappresenta oggi un elemento strutturale nelle politiche di sicurezza delle imprese. L’utilizzo di tali strumenti consente di tutelare il patrimonio aziendale, prevenire atti illeciti e supportare le attività investigative delle Autorità competenti. Tuttavia, la gestione delle immagini raccolte comporta il trattamento di dati personali e richiede il rigoroso rispetto della normativa vigente in materia di privacy e tutela dei lavoratori.

Il quadro normativo di riferimento si fonda su un duplice livello di regolazione. Da un lato, il Regolamento (UE) 2016/679 (GDPR) disciplina i principi generali del trattamento dei dati personali, imponendo criteri di liceità, trasparenza, minimizzazione e limitazione della conservazione. Dall’altro, l’articolo 4 dello Statuto dei Lavoratori (Legge n. 300/1970) stabilisce specifici limiti all’utilizzo di impianti audiovisivi nei contesti lavorativi, vietando il controllo a distanza dell’attività dei dipendenti salvo il rispetto di precise condizioni.

Liceità del trattamento e principi GDPR

Le immagini registrate attraverso sistemi di videosorveglianza sono considerate dati personali. La base giuridica più frequentemente utilizzata è il legittimo interesse del titolare, legato alla sicurezza e alla tutela del patrimonio aziendale. Tale interesse, tuttavia, deve essere sempre bilanciato con i diritti e le libertà fondamentali delle persone riprese.

Il trattamento deve rispettare i principi fondamentali del GDPR, tra cui minimizzazione dei dati, limitando le riprese alle sole aree necessarie, limitazione della conservazione, evitando tempi eccessivi, trasparenza, mediante informativa chiara e accessibile, e privacy by design e by default, integrando la protezione dei dati fin dalla progettazione del sistema. Nei casi in cui il trattamento presenti rischi elevati, è inoltre obbligatoria la Valutazione d’Impatto sulla Protezione dei Dati (DPIA).

DPIA e accountability: quando sono obbligatorie

In molti casi, la videosorveglianza richiede una Valutazione d’Impatto (DPIA), soprattutto quando il monitoraggio è sistematico, le aree sono accessibili al pubblico e quando vengono utilizzate tecnologie avanzate.

La DPIA non è un mero adempimento formale, ma uno strumento di gestione del rischio e di dimostrazione della conformità.

In questo contesto si inserisce anche il principio di accountability (responsabilizzazione), introdotto dall’art. 5, par. 2 del GDPR, che rappresenta uno degli elementi centrali della disciplina.

Per le imprese, accountability significa non solo rispettare la normativa, ma essere in grado di dimostrarlo in ogni momento, nonché documentare le scelte effettuate (es. posizionamento telecamere, tempi di conservazione, base giuridica), mantenere aggiornati gli strumenti di compliance (registro dei trattamenti, policy interne, nomine) e adottare misure tecniche e organizzative adeguate e verificabili.

Obblighi nei confronti dei lavoratori

Nel contesto aziendale, l’installazione di impianti di videosorveglianza è subordinata a un iter autorizzativo specifico. In particolare è necessario stipulare un accordo con le rappresentanze sindacali (RSA/RSU), e in assenza di questo, occorre ottenere l’autorizzazione dell’Ispettorato Nazionale del Lavoro, in quanto il consenso dei singoli lavoratori non è sufficiente a legittimare l’impianto. L’installazione, infatti, è ammessa esclusivamente per esigenze organizzative e produttive, per la sicurezza sul lavoro o per la tutela del patrimonio aziendale.

Informativa e trasparenza

Uno degli obblighi principali riguarda l’informazione agli interessati, che deve essere strutturata su due livelli:

  • Informativa di primo livello, tramite cartelli ben visibili prima dell’area sorvegliata;
  • Informativa di secondo livello, contenente tutti i dettagli sul trattamento, accessibile tramite link, QR code o documentazione interna.

Per i dipendenti è inoltre obbligatoria un’informativa individuale che specifichi modalità, finalità e diritti connessi al trattamento dei dati.

Gestione dei diritti degli interessati

Le imprese devono essere in grado di gestire le richieste degli interessati, tra cui accesso alle immagini, cancellazione dei dati, limitazione del trattamento e opposizione.

Ciò richiede delle procedure interne già definite, personale formato e strumenti tecnici per l’estrazione selettiva delle immagini (es. oscuramento di terzi).

Sicurezza dei dati: obblighi tecnici e organizzativi

Le imprese devono garantire un livello adeguato di sicurezza dei dati trattati.

Tra le principali misure richieste:

  • controllo degli accessi ai filmati;
  • utilizzo di password robuste e sistemi di autenticazione;
  • crittografia dei flussi video;
  • protezione della rete (firewall, segmentazione);
  • sistemi di backup e disaster recovery.

È inoltre fondamentale implementare un registro degli accessi (audit log), che tracci ogni operazione effettuata sui filmati.

Conservazione delle immagini

Il principio di limitazione della conservazione rappresenta uno degli aspetti più rilevanti e frequentemente oggetto di sanzioni.

La prassi consolidata prevede conservazione ordinaria non superiore a 24–48 ore, con eventuali estensioni solo in presenza di motivazioni documentate e proporzionate e cancellazione automatica dei dati al termine del periodo stabilito.

La conservazione prolungata è ammessa esclusivamente in caso di utilizzo delle immagini per finalità giudiziarie.

Progettazione del sistema: minimizzazione e angolo visivo

Un sistema conforme deve essere progettato secondo i principi dell’angolo visivo e di minimizzazione.

In pratica, le telecamere devono riprendere solo le aree strettamente necessarie, evitando riprese di aree pubbliche o di terzi e adottando, se necessario, sistemi di mascheramento.

Sanzioni e rischi di non conformità

Il mancato rispetto della normativa espone le imprese a conseguenze rilevanti:

  • sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo;
  • responsabilità penali in caso di utilizzo illecito delle immagini;
  • danni reputazionali e contenziosi con lavoratori e clienti.

Tra le violazioni più frequenti si segnalano l’assenza di informativa, la conservazione eccessiva dei dati e la mancata autorizzazione degli impianti.

Ricorda di iscriverti al nostro canale WhatsApp per rimanere sempre aggiornato sui nostri servizi e le ultime novità.

Green pass & Privacy – Chiarimenti del Garante privacy

Green pass & Privacy – Chiarimenti del Garante privacy

Dic 20, 2021 | Lavoro

Con il provvedimento n. 430 del 13 dicembre il Garante per la protezione dei dati personali ha espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che aggiorna le disposizioni relative alle Certificazioni verdi e agli obblighi vaccinali per alcune categorie di lavoratori.

L’Autorità nel parere reso ha, ulteriormente, ribadito le implicazioni organizzative connesse all’eventuale acquisizione in azienda delle certificazioni verdi dei dipendenti.

In particolare ha evidenziato che:

  • i soggetti tenuti alla verifica del possesso delle certificazioni verdi debbano essere specificamente istruiti sulla possibilità di utilizzare la modalità “rafforzata” solo ed esclusivamente nei casi in cui lo richieda la legislazione vigente (punto 2);
  • nei casi in cui il lavoratore si avvalga della facoltà di consegnare la certificazione verde al datore di lavoro, quest’ultimo è comunque tenuto a effettuare il regolare controllo sulla perdurante validità, mediante lettura del QR code della copia in suo possesso attraverso l’app VerificaC19 o mediante le previste modalità automatizzate (punto 4);

L’Autorità ha anche confermato che, fatta eccezione per alcune categorie di persone, il datore di lavoro non è legittimato a trattare i dati personali relativi alla vaccinazione dei dipendenti, né gli è consentito far derivare alcuna conseguenza in ragione della scelta del lavoratore che ha aderito o meno alla campagna vaccinale.

Alla luce delle suddette considerazioni, il Garante ha chiesto al Ministero della salute alcune integrazioni per rendere evidente all’interessato la modalità di verifica utilizzata dal soggetto che effettua i controlli verificatore, introducendo, all’interno dell’app VerificaC19, elementi testuali, grafici e visivi, differenziati per le due modalità di verifica quella “base” o “rafforzata”.

Infine, in considerazione degli specifici rischi connessi ai trattamenti di dati personali in esame e avendo particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo, l’Autorità ha chiesto al Ministero di aggiornare la valutazione di impatto sulla protezione dei dati relativa ai trattamenti effettuati nell’ambito della Piattaforma nazionale-DGC.

Per ulteriori approfondimenti è disponibile nella nostra Area Riservata il provvedimento n. 430 del Garante della Privacy.