L’esercente che decide di installare nel proprio locale un impianto di videosorveglianza deve affrontare una serie di adempimenti tutt’altro che formali. Anche quando non vengono effettuate registrazioni, il semplice accesso in tempo reale alle immagini tramite smartphone costituisce trattamento di dati personali che viaggiano attraverso internet, e richiede il rispetto integrale delle norme in materia di protezione dei dati, nonché quelle a tutela dei lavoratori.

E di certo non potrà installare le telecamere allo scopo di controllare in maniera indiscriminata i propri clienti e i dipendenti.

Il Garante per la protezione dei dati personali, con il provvedimento n. 493 dell’11 settembre 2025, ha ribadito che la visione da remoto delle immagini inquadranti avventori o dipendenti non è un’operazione neutra. Si tratta a pieno titolo di un trattamento di dati personali che impone l’osservanza dei principi di liceità, correttezza e trasparenza previsti dall’art. 5 del GDPR, oltre agli obblighi informativi verso gli interessati.

Il caso trae origine da un sopralluogo della Questura di Lecco in un bar dotato di telecamere parzialmente attive, ma prive di cartelli informativi e di autorizzazione dell’Ispettorato del lavoro. L’Autorità, ricevuta la relazione, ha aperto un’istruttoria che si è conclusa con l’applicazione di una sanzione amministrativa significativa.

Dalle dichiarazioni rese dallo stesso esercente emergeva che le immagini venivano visualizzate in diretta sul cellulare del titolare tramite un’applicazione dedicata, e che la principale finalità del sistema era “il controllo dei dipendenti addetti alla somministrazione di cibo e bevande nonché degli avventori presenti nel locale”.

Se tali giustificazioni sembrano quasi un’involontaria ammissione di violazione della privacy dei lavoratori con le telecamere puntate su di loro al solo scopo di controllare loro e gli sventurati clienti del bar, neanche risultava alcuna autorizzazione preventiva al controllo a distanza da parte dell’Ispettorato territoriale competente.

A seguito delle verifiche, l’Ispettorato del lavoro di Como-Lecco-Sondrio ha confermato di aver successivamente rilasciato un’autorizzazione con specifiche prescrizioni sulle modalità di uso dell’impianto, in linea con l’art. 4, comma 1, dello Statuto dei lavoratori. Contestualmente, era stata irrogata al titolare una sanzione di 387 euro per la precedente irregolarità.

Il Garante ha colto l’occasione per riaffermare un principio già espresso anche dalla Cassazione (sent. n. 17440/2015): il trattamento dei dati personali si realizza anche quando vi sia sola raccolta e visualizzazione delle immagini, senza alcuna registrazione o memorizzazione. Di conseguenza, il titolare del trattamento è tenuto ad adempiere a tutti gli obblighi di legge, compreso quello di informare preventivamente gli interessati mediante cartelli ben visibili, conformi all’art. 13 del Regolamento.

Sotto il profilo lavoristico, l’Autorità ha richiamato l’art. 114 del Codice privacy e l’art. 4 della legge 300/1970, che impongono la stipula di un accordo sindacale o, in mancanza, il rilascio di apposita autorizzazione dell’Ispettorato del lavoro prima di installare qualunque impianto che possa anche solo potenzialmente consentire il controllo a distanza dei dipendenti. La violazione di tale disposizione integra non solo un trattamento illecito ai sensi dell’art. 5, par. 1, lett. a) del GDPR, ma può anche assumere rilievo penale ai sensi dell’art. 171 del Codice.

L’istruttoria ha accertato che l’impianto in uso era stato concepito principalmente per la sorveglianza dei lavoratori, e dunque per una finalità non ammessa dalla legge. Tale impostazione ha comportato un trattamento illecito di dati personali fino al momento del successivo rilascio dell’autorizzazione da parte dell’Ispettorato, che ha delimitato in termini di liceità le condizioni di utilizzo.

Il sistema risultava, inoltre, sprovvisto di qualsiasi cartello informativo, in violazione del principio di trasparenza sancito dall’art. 5, par. 1, lett. a) e dagli obblighi informativi di cui all’art. 13 del GDPR.

Il provvedimento conferma quindi che la “sorveglianza fai da te” nei luoghi aperti al pubblico o nei locali di somministrazione comporta sempre una gestione regolata del trattamento dei dati, anche in assenza di registrazione. Le finalità di controllo del personale non possono essere surrettiziamente mascherate da esigenze di sicurezza o di tutela patrimoniale: in mancanza di accordo sindacale o di autorizzazione dell’Ispettorato del lavoro, l’intero sistema si colloca fuori dal perimetro di liceità previsto dal diritto europeo e nazionale.

Fonte: Federprivacy (Stefano Manzelli)

Altri articoli

Scopri altre novità sulla protezione dati e GDPR.

Se il lavoratore che viola le regole aziendali ha ricevuto un’adeguata informativa, è legittimo il suo licenziamento a seguito del controllo del computer

L'importanza di istruire il lavoratore sull'utilizzo degli strumenti informatici attravero il disciplinare interno

Viola la privacy l’azienda che aggiunge il dipendente in un gruppo WhatsApp utilizzando senza consenso il suo numero privato

Non si può includere il numero privato di un dipendente all'interno di un gruppo WhatsApp aziendale

Attacco hacker alla piattaforma sanitaria “Paziente Consapevole”: rubati i dati sensibili di migliaia di pazienti lombardi

I dati rubati danno il via a una truffa che poggia su finti solleciti di presunti pagamenti pagamenti per prestazini ricevuta e non saldate