Videosorveglianza nei negozi: quando un solo cartello non basta

L’installazione di sistemi di videosorveglianza è diventata una prassi diffusissima negli esercizi commerciali, nei contesti produttivi e in ogni ambiente in cui si avverta l’esigenza di tutelare beni, persone o di garantire la sicurezza degli ambienti di lavoro. Tuttavia, la capillarità della videosorveglianza non ne ha ancora accompagnato una pari maturità nella gestione della compliance. Anzi: i provvedimenti sanzionatori del Garante per la protezione dei dati personali continuano a registrare, con una certa ricorrenza, errori elementari che tradiscono la diffusa sottovalutazione degli obblighi imposti dal Regolamento (UE) 2016/679 (GDPR) e dalla disciplina lavoristica.

Videosorveglianza GDPR e cartello informativo unico

Tra gli errori più frequenti, ne spicca uno in particolare: ritenere che un unico cartello informativo, apposto all’ingresso di un esercizio o in una posizione generica, sia sufficiente a segnalare la presenza di più telecamere distribuite in ambienti diversi – talvolta su piani differenti, in aree funzionalmente distinte, ciascuna delle quali presuppone una interazione separata con gli interessati. Il Provvedimento n. 167 del 12 marzo 2026 (doc. web n. 10240451), con cui il Garante ha sanzionato una società di ristorazione, offre l’occasione per analizzare con rigore questo tema, inquadrandolo nel perimetro normativo vigente.

Il presente articolo ricostruisce, in modo sistematico, il quadro regolatorio applicabile dal GDPR alle Linee Guida EDPB n. 3/2019, dall’art. 4 della Legge 300/1970 (Statuto dei Lavoratori) all’art. 114 del Codice Privacy, analizza i tre distinti profili di violazione emersi nel caso oggetto del provvedimento e offre indicazioni operative per la messa in conformità.

La videosorveglianza come trattamento di dati personali

La videosorveglianza è a tutti gli effetti un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, GDPR, anche quando si limiti alla mera visualizzazione in tempo reale delle immagini senza registrazione. La raccolta di immagini che possano identificare direttamente o indirettamente una persona fisica è sufficiente a integrare la definizione di trattamento e a rendere applicabile l’intero apparato normativo del Regolamento.

Tra i principi fondamentali di cui all’art. 5 GDPR, due assumono rilievo centrale nella materia della segnaletica informativa:

• Il principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) – impone che i dati siano trattati in modo trasparente nei confronti dell’interessato. La trasparenza, nella videosorveglianza, si concretizza nella preventiva informazione che consenta all’interessato di sapere di stare per accedere a un’area sorvegliata, prima di entrarvi.

• Il principio di minimizzazione dei dati (art. 5, par. 1, lett. c) – impone che le riprese siano limitate a quanto strettamente necessario rispetto alle finalità dichiarate, con conseguente obbligo di delimitare con precisione l’area di ripresa e di informare l’interessato per ogni ambiente sorvegliato.

L’art. 13 GDPR obbliga il titolare del trattamento a fornire all’interessato, al momento della raccolta dei dati, una serie di informazioni tra cui: l’identità e i dati di contatto del titolare; le finalità e la base giuridica del trattamento; gli eventuali destinatari dei dati; i periodi di conservazione; i diritti degli interessati. Nel contesto della videosorveglianza, questa informativa deve essere resa “prima” che l’interessato entri nella zona sorvegliata, secondo la logica che nessuno deve essere ripreso senza aver avuto la possibilità di essere informato – e, se lo ritiene, di modificare la propria condotta o di evitare l’area.

Linee Guida EDPB e informativa a più livelli

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato le Linee Guida n. 3/2019, aggiornate nella versione definitiva nel marzo 2020, con l’obiettivo di fornire un’interpretazione uniforme e sistematica dell’applicazione del GDPR ai sistemi di videosorveglianza. Il documento è vincolante per le Autorità di controllo degli Stati membri quale standard interpretativo di riferimento.

Il contributo più rilevante delle Linee Guida in materia di informativa agli interessati è la codificazione dell’approccio a più livelli:

• Primo livello (segnale di avvertimento): il cartello affisso in prossimità dell’area videosorvegliata, visibile prima di entrarvi. Deve contenere le informazioni più importanti: finalità del trattamento, identità del titolare, esistenza dei diritti degli interessati, dati di contatto del DPO (ove nominato), riferimento all’informativa di secondo livello e modalità per accedervi (anche tramite QR code). Deve indicare anche le informazioni che potrebbero “sorprendere” l’interessato, come la trasmissione a terzi o il periodo di conservazione, se superiore alla sola visualizzazione in tempo reale.

• Secondo livello (informativa completa): il documento esaustivo contenente tutte le informazioni richieste dall’art. 13 GDPR. Deve essere facilmente accessibile, anche in formato non digitale, ed è consigliabile che sia disponibile prima di accedere all’area videosorvegliata (ad esempio presso la reception, attraverso un link o un numero telefonico indicato sul cartello di primo livello).

Le Linee Guida sono particolarmente nette quanto al posizionamento del segnale di primo livello (cap. 7.1, § 111): le informazioni devono essere collocate a una distanza ragionevole rispetto ai luoghi ripresi, approssimativamente all’altezza degli occhi, di modo che l’interessato possa facilmente riconoscere la presenza della videosorveglianza prima di accedere alla zona sorvegliata. L’interessato deve essere in grado di stimare quale area sia coperta da una telecamera, così da poterla evitare o adeguare il proprio comportamento.

Ne deriva con chiarezza che il posizionamento è un elemento costitutivo della conformità dell’informativa: un cartello che non sia fisicamente collocato prima dell’ingresso all’area sorvegliata non soddisfa i requisiti normativi, indipendentemente dal suo contenuto. Questo principio assume portata critica quando la videosorveglianza si estende a più ambienti distinti.

Videosorveglianza nei luoghi di lavoro e art. 4 dello Statuto

Il profilo del controllo a distanza dei lavoratori introduce una complessità normativa ulteriore. L’art. 4 della Legge n. 300/1970, nel testo risultante dalla riforma operata dal D.Lgs. n. 151/2015 (Jobs Act), subordina l’installazione di impianti audiovisivi e di altri strumenti idonei a consentire il controllo a distanza dei lavoratori a uno dei seguenti presupposti alternativi:

• Accordo sindacale: stipulato con le rappresentanze sindacali unitarie (RSU) o le rappresentanze sindacali aziendali (RSA), oppure – per le imprese che operano in più unità produttive situate in diverse province della stessa regione o in più regioni – con le associazioni sindacali comparativamente più rappresentative sul piano nazionale.

• Autorizzazione dell’Ispettorato Nazionale del Lavoro (INL): in alternativa all’accordo sindacale, qualora questo non sia stato raggiunto o non sia possibile stipularlo.

L’art. 4 si applica agli impianti di videosorveglianza quando le telecamere riprendono anche solo incidentalmente luoghi in cui prestano attività lavoratori. Il comma 3 dello stesso articolo consente comunque l’utilizzo dei dati raccolti a fini disciplinari, a condizione che al lavoratore sia stata fornita adeguata informativa in merito alle modalità d’uso degli strumenti e di effettuazione dei controlli.

Il raccordo con il GDPR è assicurato dagli artt. 88 GDPR e 114 del Codice Privacy (D.Lgs. 196/2003 e ss.mm.ii.), che rimandano espressamente alla disciplina dello Statuto dei Lavoratori per il trattamento di dati nel contesto lavorativo, richiedendo ulteriori garanzie rispetto alla sola trasparenza informativa. Si tratta di un doppio binario normativo: l’ottenimento dell’autorizzazione INL (o dell’accordo sindacale) è condizione di liceità del trattamento ai sensi dell’art. 5, par. 1, lett. a) GDPR; l’informativa completa agli interessati è condizione di trasparenza ai sensi degli artt. 5 e 13 GDPR.

Il provvedimento del Garante sul caso Hanako

Il Provvedimento n. 167 del 12 marzo 2026 (doc. web n. 10240451) origina da un’ispezione condotta dalla Guardia di Finanza Nucleo Privacy e Frodi Tecnologiche nei locali di una società di ristorazione (Hanako s.r.l.), il 15 agosto 2024. I verbali accertano la presenza di un impianto di videosorveglianza composto da quattro telecamere esterne e una interna, nonché la presenza di lavoratori nelle aree interessate dalle riprese.

L’istruttoria, conclusasi con il provvedimento sanzionatorio, ha evidenziato tre distinti profili di violazione:

• Informativa carente: era stato predisposto un unico cartello informativo per più telecamere distribuite in tre ambienti diversi, ubicati su piani differenti dell’esercizio commerciale. Il cartello unico risultava insufficiente a informare gli interessati in ciascuna delle aree videosorvegliate, non garantendo la conoscibilità preventiva della sorveglianza in ogni area distinta.

• Assenza di autorizzazione preventiva dell’Ispettorato del Lavoro: l’impianto era operativo dal momento in cui è stata accertata l’attività (15.8.2024), mentre l’autorizzazione INL n. 40218 di Padova-Rovigo è stata rilasciata solo il 31 ottobre 2024, data successiva alle verifiche. L’impianto era dunque attivo senza il preventivo adempimento dell’obbligo posto dall’art. 4 L. 300/1970.

• Accesso alle immagini non protetto da credenziali: il sistema di consultazione delle immagini risultava accessibile senza necessità di autenticazione, in violazione dei requisiti di sicurezza tecnica posti dall’art. 32 GDPR.

Il Garante ha contestato la violazione:

1. Degli artt. 5, par. 1, lett. a) e 13 GDPR, per l’assenza di un’informativa effettiva e completa in ogni area sorvegliata. Il cartello unico, non collocato in posizione idonea a coprire tutti gli accessi alle diverse aree sorvegliate, è stato ritenuto inidoneo a soddisfare il requisito di trasparenza preventiva.
2. Degli artt. 5, par. 1, lett. a) GDPR, 88 GDPR, 114 Codice Privacy e 4 L. 300/1970, per l’attivazione dell’impianto in assenza dell’autorizzazione INL, con conseguente illiceità del trattamento nel periodo antecedente al rilascio dell’autorizzazione.
3. Dell’art. 32 GDPR, per l’accesso non autenticato alle immagini, che espone i dati trattati a rischi di accesso non autorizzato.

Il Garante, rilevata la persistenza delle violazioni non avendo il titolare del trattamento fornito sufficienti elementi a comprovare l’avvenuta conformazione, ha adottato le seguenti misure:

4. Misura correttiva ai sensi dell’art. 58, par. 2, lett. d) GDPR: obbligo di installare idonei cartelli informativi per ciascuna area sorvegliata e di adottare adeguate misure di sicurezza per l’accesso alle immagini, entro 30 giorni dalla notifica del provvedimento.
5. Sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5 GDPR e art. 166 Codice Privacy, per la violazione dell’art. 13 GDPR. L’entità della sanzione è stata determinata tenendo conto del carattere colposo della condotta, dell’assenza di dolo, delle dimensioni ridotte del titolare e della sua cooperazione parziale con l’Autorità.

Per la violazione dell’art. 4 L. 300/1970 (assenza di autorizzazione preventiva), il Garante ha preso atto che l’autorizzazione è stata successivamente ottenuta e non ha irrogato sanzione separata per questo profilo, pur qualificandolo come violazione del principio di liceità.

Quando un solo cartello informativo non basta

La prassi di installare un unico cartello informativo per più telecamere affonda le sue radici in una concezione ormai superata della videosorveglianza come fenomeno unitario, riferito all’intera struttura anziché ai singoli spazi sorvegliati. Questa impostazione era già stata messa in discussione dal Garante nel provvedimento generale dell’8 aprile 2010 (doc. web n. 1712680) e dalle FAQ in materia di videosorveglianza pubblicate sul sito dell’Autorità. Le Linee Guida EDPB n. 3/2019 l’hanno definitivamente superata.

L’errore concettuale consiste nel confondere la unità del titolare del trattamento con l’unità dell’informativa. È vero che più telecamere dello stesso titolare, utilizzate per le medesime finalità, possono essere documentate unitariamente nel Registro dei trattamenti ex art. 30 GDPR e possono condividere la stessa informativa di secondo livello. Ma ciò non significa che la segnaletica di primo livello possa essere ridotta a un unico cartello: la funzione di quest’ultimo è garantire che ogni persona, prima di accedere a ciascuno spazio sorvegliato, sia informata. Il vettore dell’informazione deve raggiungere fisicamente l’interessato in ogni punto di accesso a ogni area di ripresa.

La regola che emerge dall’interpretazione sistematica del GDPR, delle Linee Guida EDPB e della giurisprudenza del Garante può essere espressa come segue:

Ogni area sorvegliata autonomamente accessibile deve essere segnalata da un proprio cartello informativo di primo livello, posizionato prima dell’ingresso all’area stessa, in modo visibile e a un’altezza che consenta la lettura prima del raggio di ripresa della telecamera. Un unico cartello è conforme solo se copre adeguatamente un’unica area funzionalmente unitaria.

La nozione di “area funzionalmente unitaria” richiede una valutazione concreta: più telecamere che sorvegliano uno stesso ambiente (ad esempio un magazzino aperto di grandi dimensioni) possono essere segnalate da un unico cartello, a condizione che quest’ultimo sia posizionato all’unico accesso dell’area e copra visibilmente tutte le angolazioni di ripresa. Diversamente, telecamere distribuite su più piani, più stanze, più ingressi o ambienti separati richiedono tanti cartelli quanti sono i punti di accesso autonomi alle aree sorvegliate.

Requisiti del cartello di primo livello

Sulla base dell’insieme delle fonti normative e dei provvedimenti del Garante, il cartello di primo livello conforme deve soddisfare i seguenti requisiti cumulativi:

1. Posizione: prima dell’ingresso nell’area sorvegliata, a un’altezza approssimativamente pari a quella degli occhi di un adulto, visibile nelle condizioni di illuminazione ordinarie (anche notturna, se il sistema è attivo di notte).
2. Contenuto minimo: a) icona o immagine stilizzata di videosorveglianza; b) identità del titolare del trattamento e dati di contatto; c) finalità del trattamento; d) diritti degli interessati e modalità per esercitarli; e) riferimento all’informativa di secondo livello (ad esempio tramite QR code o indirizzo web); f) dati di contatto del DPO, se nominato; g) periodo di conservazione o – in alternativa – indicazione della sola visualizzazione in tempo reale (perché, in assenza di indicazioni, l’interessato ha diritto di presumere che non vi sia registrazione).
3. Intellegibilità: il cartello deve essere chiaro, leggibile e comprensibile per il pubblico ordinario, senza un linguaggio eccessivamente tecnico. Il modello di cartello allegato alle Linee Guida EDPB costituisce un riferimento di buona prassi ma non impone un format obbligatorio.
4. Compatibilità con il vecchio modello Garante: il modello dell’8 aprile 2010 non è più considerato idoneo nelle sue versioni non aggiornate. Il Garante ha censurato esercizi che continuavano a utilizzare la vecchia segnaletica non aggiornata agli obblighi del GDPR e delle Linee Guida EDPB. È necessario il passaggio al nuovo formato.

Autorizzazione INL e controllo a distanza dei lavoratori

L’art. 4 della Legge n. 300/1970, nella sua formulazione post-riforma 2015, si applica agli impianti audiovisivi che possono determinare il controllo a distanza dei lavoratori. La norma ha un perimetro applicativo ampio: non è necessario che il controllo sia finalizzato, è sufficiente che sia possibile. Pertanto, qualsiasi telecamera installata in un luogo in cui transitano o prestano attività dei lavoratori ricade nel campo di applicazione dell’articolo 4, anche se la finalità dichiarata è la tutela del patrimonio aziendale o la sicurezza dei clienti.

Fanno eccezione gli strumenti di lavoro (art. 4, comma 2) e gli strumenti di registrazione degli accessi e delle presenze, che possono essere installati senza accordo sindacale né autorizzazione INL, pur dovendo rispettare gli obblighi informativi del GDPR.

L’installazione e l’attivazione di un impianto di videosorveglianza in luoghi di lavoro, in assenza di accordo sindacale o di autorizzazione INL, determina:

1. Illiceità del trattamento ai sensi dell’art. 5, par. 1, lett. a) GDPR, in violazione dell’art. 88 GDPR e dell’art. 114 Codice Privacy.
2. Inutilizzabilità disciplinare delle immagini registrate: i dati raccolti in violazione dell’art. 4 L. 300/1970 non possono essere utilizzati come base probatoria per procedimenti disciplinari nei confronti dei lavoratori (art. 4, comma 3, L. 300/1970 a contrario).
3. Responsabilità penale: la violazione dell’art. 4 L. 300/1970 configura il reato contravvenzionale di cui all’art. 38 della stessa legge, punito con ammenda e, in presenza di aggravanti, con la reclusione.
4. Sanzione amministrativa del Garante: come accertato nel Provvedimento n. 167/2026, la conduzione del trattamento in assenza di autorizzazione INL è contestata come violazione del principio di liceità, anche in sede di procedimento sanzionatorio GDPR.

Il percorso di compliance lavoristica prevede, in sintesi:

A) Prima dell’installazione: verificare se l’impianto può determinare il controllo a distanza dei lavoratori; in caso affermativo, avviare il tentativo di accordo sindacale o, in alternativa (o in assenza di RSU/RSA), presentare istanza all’INL.

B) Autorizzazione INL: l’Ispettorato valuta la proporzionalità dell’impianto, le finalità dichiarate e il rispetto delle garanzie per i lavoratori. L’autorizzazione deve essere ottenuta prima dell’attivazione.

C) Informativa ai lavoratori: anche dopo l’ottenimento dell’autorizzazione, i lavoratori devono ricevere un’informativa specifica, ai sensi dell’art. 4, comma 3, L. 300/1970 e dell’art. 13 GDPR, con indicazione delle modalità di utilizzo del sistema, dei dati raccolti, dei tempi di conservazione e delle eventuali finalità disciplinari.

D) Aggiornamento del Registro dei trattamenti: l’impianto di videosorveglianza deve essere registrato nell’art. 30 GDPR con indicazione della base giuridica (interesse legittimo, ex art. 6.1.f GDPR, o adempimento di obbligo normativo), finalità, destinatari, tempi di conservazione e misure di sicurezza.

Sicurezza tecnica e accesso alle immagini

Il terzo profilo di violazione emerso nel caso Hanako riguarda la mancanza di autenticazione per l’accesso alle immagini. L’art. 32 GDPR impone al titolare del trattamento l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio. Nel contesto della videosorveglianza, ciò comporta, in via non esaustiva:

1. Protezione dell’accesso ai sistemi di registrazione e visualizzazione con credenziali personalizzate (username e password), in modo che ogni accesso sia tracciabile e attribuibile a un soggetto identificato.
2. Separazione dei ruoli: l’accesso alle immagini deve essere consentito esclusivamente ai soggetti autorizzati (definiti nell’atto di nomina degli autorizzati al trattamento), per le sole finalità consentite.
3. Log degli accessi: conservazione di un registro degli accessi al sistema (chi ha visualizzato, copiato, cancellato immagini, e quando).
4. Cifratura o protezione fisica dei supporti: i dispositivi di registrazione non devono essere fisicamente accessibili a persone non autorizzate.
5. Retention automatica: il sistema deve essere configurato per cancellare automaticamente le immagini al termine del periodo di conservazione dichiarato nell’informativa.

La mancanza di password per l’accesso alle immagini non è una mera negligenza tecnica: è una violazione strutturale che espone i dati degli interessati (lavoratori, clienti, fornitori) a rischi concreti di accesso da parte di terzi non autorizzati, con potenziale pregiudizio ai diritti e alle libertà fondamentali. Il Garante ha esplicitamente censurato questa condotta, richiedendo l’adozione di misure correttive nel termine di 30 giorni.

Guida operativa alla conformità

Di seguito la Guida operativa alla conformità:

1. Definire per iscritto le finalità del trattamento per ciascuna telecamera (art. 5.1.b GDPR).
2. Valutare se l’impianto può consentire il controllo a distanza dei lavoratori: se sì, avviare il percorso ex art. 4 L. 300/1970 (accordo sindacale o richiesta di autorizzazione INL).
3. Effettuare, se necessario (rischio elevato per natura, ambito, contesto), una DPIA ex art. 35 GDPR.
4. Definire il periodo di conservazione delle immagini (di norma non superiore a 24-72 ore; può essere esteso fino a 7 giorni con adeguata motivazione).
5. Configurare il sistema di gestione degli accessi con credenziali personalizzate e log degli accessi.
6. Per ogni area sorvegliata dotata di accesso autonomo: predisporre un cartello di primo livello, aggiornato al modello EDPB/GDPR, posizionato prima dell’ingresso a circa altezza occhi.
7. Il cartello deve contenere: icona di videosorveglianza, identità del titolare, finalità, diritti degli interessati, dati di contatto DPO (se nominato), QR code o riferimento all’informativa di secondo livello, periodo di conservazione (o indicazione “solo visualizzazione live”).
8. Preparare l’informativa di secondo livello completa, conforme all’art. 13 GDPR, disponibile in formato cartaceo e/o digitale, accessibile prima di accedere alle aree sorvegliate.
9. Verificare che la segnaletica vecchio-modello Garante (8 aprile 2010) non sia più utilizzata o, se ancora presente, venga aggiornata.
10. Aggiornare il Registro dei trattamenti ex art. 30 GDPR con il trattamento “Videosorveglianza”, indicando: titolare, finalità, base giuridica, categorie di dati e di interessati, eventuale autorizzazione INL, destinatari, periodo di conservazione, misure di sicurezza.
11. Predisporre e consegnare informativa specifica ai lavoratori ai sensi dell’art. 13 GDPR e art. 4.3 L. 300/1970.
12. Nominare per iscritto gli incaricati autorizzati all’accesso alle immagini.
13. Conservare la documentazione relativa all’accordo sindacale o all’autorizzazione INL.

Checklist videosorveglianza GDPR

Le conseguenze operative del provvedimento

Il Provvedimento n. 167 del 12 marzo 2026 del Garante per la protezione dei dati personali rappresenta un ulteriore e significativo tassello nella costruzione di una giurisprudenza coerente e rigorosa in materia di videosorveglianza. La vicenda della società Hanako s.r.l. non è eccezionale: è esemplare, nel senso che riflette una condizione diffusa tra micro e piccole imprese che gestiscono impianti di videosorveglianza con eccessiva disinvoltura e senza un adeguato presidio di compliance.

Tre sono le lezioni principali che il provvedimento impone di assimilare:

• La segnaletica informativa non è un adempimento formale negoziabile. Non basta “un cartello da qualche parte”: ogni area sorvegliata accessibile autonomamente deve essere segnalata in modo preventivo, specifico e conforme ai requisiti EDPB. La pluralità degli ambienti sorvegliati comporta la pluralità dei cartelli.
• Il titolo abilitativo ex art. 4 L. 300/1970 è condizione di liceità, non di opportunità. L’impianto attivato prima dell’ottenimento dell’autorizzazione INL (o dell’accordo sindacale) è illecito per il periodo intercorso, con tutte le conseguenze sanzionatorie e probatorie che ne derivano.
• La sicurezza tecnica è parte integrante della compliance. Un sistema di videosorveglianza privo di autenticazione per l’accesso alle immagini non rispetta i requisiti dell’art. 32 GDPR e costituisce, di per sé, una violazione autonomamente sanzionabile.

Per i consulenti privacy, i DPO e i professionisti che assistono aziende nell’implementazione o nella verifica di impianti di videosorveglianza, queste tre direttrici definiscono l’oggetto minimo di ogni audit di conformità. La videosorveglianza è un trattamento ordinario per diffusione, ma straordinario per implicazioni: richiede pianificazione, documentazione, segnaletica adeguata, titoli abilitativi formali e misure di sicurezza efficaci. Nessuno di questi elementi è opzionale.

Il costo della conformità è contenuto. Il costo dell’inadempienza in termini di sanzioni, danno reputazionale, inutilizzabilità delle immagini come prova e ordini di adeguamento coattivo può essere assai superiore. Il Garante ha dimostrato ancora una volta di non considerare questi errori come formalità da tollerare: sono violazioni sostanziali del diritto alla privacy degli interessati, e vengono trattate come tali.