La videosorveglianza nei negozi e nei centri commerciali rappresenta uno strumento sempre più diffuso per garantire sicurezza e prevenire reati, ma la sua implementazione richiede il rispetto di una normativa articolata che tutela i diritti dei lavoratori e la privacy dei clienti.

L’installazione e l’utilizzo di sistemi di videosorveglianza all’interno degli esercizi commerciali e dei centri commerciali sono soggetti a una complessa normativa che bilancia le esigenze di sicurezza e tutela del patrimonio con il diritto alla protezione dei dati personali di clienti e lavoratori. La disciplina è stata significativamente influenzata dal Regolamento (UE) 2016/679 (GDPR), che ha rafforzato i principi già presenti nell’ordinamento italiano, introducendo nuovi oneri in capo al titolare del trattamento.

Il quadro normativo europeo e nazionale sulla videosorveglianza

Il trattamento dei dati personali tramite videosorveglianza deve rispettare i principi fondamentali sanciti dall’art. 5 del GDPR, tra cui liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati e limitazione della conservazione.

Nonostante l’apparente ovvietà dei principi applicabili il Garante, ancora nel 2024 si è dovuto esprimere più volte con provvedimenti sanzionatori, pubblicandoli sul proprio sito, dove troviamo:

quello del 9 maggio 2024 (sanzione ai sensi dell’art. 58, par. 2, lett. i) del GDPR ad una Torrefazione di € 3000,00 per riprese video nel negozio senza accordo sindacale );

); quella del 24 aprile 2024 di € 5000,00 irrogata al titolare di un box all’interno di un Centro Commerciale che vedeva in tempo reale sul proprio telefono le immagini di sei telecamere utilizzando una autorizzazione rilasciata dalla ITL per altro esercizio di sua proprietà,

che vedeva in tempo reale sul proprio telefono le immagini di sei telecamere utilizzando una autorizzazione rilasciata dalla per altro esercizio di sua proprietà, o quella di € 40.000,00 del 12 dicembre 2024 ad un Hotel con boutique interna per avere accertato che “numerose telecamere degli impianti di videosorveglianza utilizzati dal titolare dell’esercizio erano state installate nei locali adibiti a spogliatoio per i clienti e, una di queste, anche nello spogliatoio riservato ai lavoratori, ledendo, quindi, la riservatezza e la dignità delle persone che utilizzavano i predetti spogliatoi.

Gli spogliatoti, infatti, sono luoghi, per natura, caratterizzati da una particolare aspettativa di riservatezza e di tutela della intimità e dignità della persona, anche alla luce delle disposizioni vigenti dell’ordinamento civile e penale” (v. sul punto anche Provv. n. 357 del 10 luglio 2014) considerato che, oltre non essere state autorizzate dall’Ispettorato, quelle posizionate negli spogliatori del personale riprendevano (anche) la macchina delle timbrature dei badge di presenza in maniera occulta ed in questo caso anche in assenza di un idoneo “Registro dei trattamenti” ex art. 30 GDPR.

Base giuridica del trattamento e legittimo interesse del titolare

La base giuridica per l’installazione di tali sistemi da parte di un soggetto privato è tipicamente il legittimo interesse del titolare alla tutela dei propri beni e alla sicurezza delle persone (art. 6, par. 1, lett. f) del GDPR), a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali degli interessati.

Codice privacy e statuto dei lavoratori: il coordinamento normativo

La normativa italiana, attraverso il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali), come modificato dal D.Lgs. 101/2018, integra e specifica le disposizioni del GDPR. Di particolare rilievo è l’art. 114 del Codice, che stabilisce una connessione diretta tra la disciplina della protezione dei dati e quella del diritto del lavoro, facendo salve le garanzie previste dall’art. 4 della Legge n. 300/1970 (Statuto dei Lavoratori).

Anche se antecedente al GDPR, il Provvedimento generale del Garante per la protezione dei dati personali dell’8 aprile 2010 rimane un punto di riferimento per molti aspetti pratici, come i tempi di conservazione e le modalità di informativa, purché le sue indicazioni siano interpretate alla luce del Regolamento europeo.

Accordo sindacale obbligatorio: procedure e condizioni di liceità

Una delle questioni centrali riguarda la necessità di seguire la procedura prevista dall’art. 4 dello Statuto dei Lavoratori. La risposta è affermativa e la procedura è inderogabile qualora l’impianto di videosorveglianza possa, anche solo potenzialmente, riprendere i lavoratori durante lo svolgimento della loro attività.

L’art. 4, comma 1, della L. 300/1970, richiamato dall’art. 114 del Codice Privacy, stabilisce che gli impianti audiovisivi dai quali possa derivare un controllo a distanza dell’attività dei lavoratori possono essere impiegati solo per:

Esigenze organizzative e produttive; Sicurezza del lavoro; Tutela del patrimonio aziendale.

L’installazione è inoltre subordinata ad almeno una delle seguenti condizioni:

Accordo collettivo: Stipulazione di un accordo con la rappresentanza sindacale unitaria (RSU) o le rappresentanze sindacali aziendali (RSA), oppure perlomeno un Autorizzazione della sede territoriale dell’Ispettorato Nazionale del Lavoro.

Non più dell’autorizzazione preventiva del Garante.

L’espletamento di questa procedura costituisce una condizione di liceità del trattamento dei dati dei lavoratori. Un impianto installato (anche se non ancora utilizzato) in violazione di tale procedura è illecito e la sua violazione è (anche) penalmente sanzionata, infatti secondo Cass. pen. n. 4331/2014, “l’idoneità degli impianti a ledere il bene giuridico protetto, cioè il diritto alla riservatezza dei lavoratori, necessaria affinché il reato sussista …(omissis) … è sufficiente anche se l’impianto non è messo in funzione, poiché, configurandosi come un reato di pericolo, la norma sanziona a priori l’installazione, prescindendo dal suo utilizzo o meno.

Perché il consenso del lavoratore non è sufficiente

Il consenso del singolo lavoratore (ma anche di tutti i lavoratori non organizzati in sindacato) non può sostituire la procedura di garanzia prevista dall’art. 4 dello Statuto dei Lavoratori a causa dello squilibrio di potere nel rapporto di lavoro, il consenso del dipendente non è considerato “liberamente prestato” e, pertanto, non costituisce una base giuridica valida per il controllo a distanza [Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679].

La giurisprudenza e i provvedimenti del Garante sono costanti nell’affermare che né la conoscenza dell’esistenza delle telecamere da parte dei lavoratori, né il loro consenso individuale possono sanare la mancanza dell’accordo sindacale o dell’autorizzazione amministrativa.

Come chiarito dal Comitato Europeo per la Protezione dei Dati (EDPB), “dato lo squilibrio di potere tra il datore di lavoro e il suo personale, i dipendenti possono manifestare il loro consenso liberamente soltanto in casi eccezionali, quando non subiranno alcuna ripercussione negativa per il fatto che esprimano il loro consenso o meno” [Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679].

Ambito di applicazione: quali aree richiedono l’accordo sindacale

Questa regola si applica a tutte le aree dell’esercizio commerciale in cui i lavoratori possono transitare o sostare, inclusi ingressi, aree di vendita, magazzini, parcheggi e spogliatoi (cfr. Provvedimento del 2 marzo 2023, Provvedimento del 12 dicembre 2024 e Provvedimento del 10 aprile 2025).

Valutazione d’impatto obbligatoria per i grandi impianti

Ulteriore criticità non sempre valutata è l’obbligo ex art. 35 del GDPR di eseguire una previa Valutazione d’Impatto sulla Protezione dei Dati (DPIA) prima di iniziare un trattamento che, per sua natura, ambito di applicazione, contesto e finalità, può presentare un “rischio elevato” per i diritti e le libertà delle persone fisiche.

La DPIA serve a descrivere il trattamento, valutarne la necessità e la proporzionalità, e a gestire i rischi per gli interessati, prevedendo le misure adeguate per mitigarli.

Il Garante Privacy ha individuato un elenco di trattamenti per i quali la DPIA è obbligatoria. Tra questi rientra la “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Di conseguenza, mentre per un singolo negozio possiamo ritenere che questa valutazione possa essere fatta anche nell’ambito della più generale adozione dei sistemi di tutela e minimizzazione di quei dati che derivano dall’uso dell’impianto e che son stati condivisi con i sindacati o ispettorato del lavoro, per impianti da installare in un centro commerciale o in un grande esercizio commerciale, che per definizione comportano un monitoraggio sistematico e su larga scala di aree aperte al pubblico, la DPIA sia da considerarsi necessaria.

Tempi di conservazione delle immagini: regole e termini massimi

Il principio di limitazione della conservazione (art. 5, par. 1, lett. e) del GDPR) impone che i dati delle videocamere siano conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Sulla base delle indicazioni del Garante, consolidate nella prassi, si possono delineare i seguenti termini:

Termine Ordinario (24-48 ore): La conservazione delle immagini registrate dovrebbe essere limitata a poche ore e, di norma, non superare le 24 ore, estensibili fino a 48 ore (cfr. Tribunale Ordinario Milano, sez. 1, sentenza n. 6684/2017 e Parere su uno schema di decreto del Presidente del Consiglio dei ministri concernente la disciplina di attuazione della disposizione di cui all’articolo 2 della legge 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo” del 19 settembre 2019. Questo è considerato un tempo congruo per la maggior parte delle finalità di sicurezza. Termine Esteso (fino a 7 giorni): Un tempo di conservazione più ampio, ma che non superi la settimana, è ammesso solo in casi particolari che richiedono una giustificazione specifica. Tali casi particolari si applicano ad esercizi ad alta rischiosità patrimoniale (es. banche, gioiellerie, sale giochi) ad esigenze legate a giorni festivi, chiusura dell’esercizio o ferie, nonché ovviamente alla necessità di aderire a una specifica richiesta investigativa dell’autorità giudiziaria o di polizia. Conservazione Superiore a 7 giorni: Un allungamento dei tempi oltre la settimana è eccezionale e richiede una giustificazione ancora più robusta. Prima del GDPR, era necessaria una richiesta di verifica preliminare al Garante. Oggi, tale necessità deve essere attentamente documentata e motivata dal titolare, preferibilmente nell’ambito di una DPIA, dimostrando l’assoluta indispensabilità di un periodo così prolungato per il perseguimento della finalità.

In ogni caso, il sistema deve essere programmato per la cancellazione automatica delle immagini allo scadere del termine prefissato, ad esempio tramite sovrascrittura, in modo da rendere i dati non più utilizzabili.

Obblighi informativi, minimizzazione e sicurezza dei dati

Restano poi fermi tutti gli ulteriori obblighi, tra cui:

Apporre cartelli informativi (informativa “minima“) ben visibili che avvisino della presenza delle telecamere, indicando chi è il titolare del trattamento e la finalità. Rendere disponibile l’informativa completa (“estesa“) in modo facilmente accessibile agli interessati (es. su un sito web con un QR code o un link o presso un punto informazioni).

Rispettare il principio di minimizzazione: l’angolo di ripresa delle telecamere deve essere limitato alle aree da proteggere, evitando, per quanto possibile, la ripresa di aree circostanti non pertinenti (es. strade pubbliche, proprietà altrui) e di luoghi in cui l’aspettativa di riservatezza è particolarmente elevata (es. bagni, spogliatoi).

Adottare misure tecniche e organizzative di sicurezza dei dati adeguate per proteggere le immagini da accessi non autorizzati, come l’uso di password, la limitazione del personale autorizzato alla visione e la custodia sicura dei dispositivi di registrazione.