[doc. web n. 10225084]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 83 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del 4 aprile 2019, n. 98, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La segnalazione ricevuta e l’avvio del procedimento sanzionatorio

1.1. Con nota del 12 marzo 2025 la Polizia locale del Comune di Monterotondo segnalava all’Autorità che nel corso di un sopralluogo eseguito in data 19 febbraio 2025 presso l’esercizio commerciale denominato Alimentari San Rocco di XX (di seguito “titolare del trattamento”), veniva accertata l’installazione di un sistema di videosorveglianza composto di quattro telecamere di cui tre interne ed una esterna con ripresa della pubblica via.

1.2. Acquisita copia del verbale di accertamento, dallo stesso è emerso che:

il trattamento di dati personali effettuato mediante l’impianto di videosorveglianza non era segnalato da idonei cartelli informativi;

ancorché fosse stata rilevata la presenza di un lavoratore la cui attività era suscettibile di essere ripresa da tale impianto, non risultavano soddisfatte le garanzie previste dall’art. 4, legge 20 maggio 1970, n. 300 e, in particolare, il titolare del trattamento risultava sprovvisto dell’autorizzazione dell’Ispettorato del Lavoro, nonostante la presenza di un lavoratore dipendente.

Secondo quanto documentato nel verbale di esibizione dei documenti, l’istanza di autorizzazione all’Ispettorato del lavoro risultava trasmessa dal titolare in data 26 febbraio 2025, in un tempo successivo rispetto alle verifiche. 

1.3. Alla luce degli atti trasmessi dalla Polizia locale, l’Ufficio, con nota dell’8 ottobre 2025, provvedeva a notificare al titolare del trattamento l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice, che qui si intende integralmente richiamato, in relazione alla violazione degli artt. 5, par. 1, lett. a), 6, 13, del Regolamento nonché all’art. 114 del Codice unitamente all’art. 4, l. n. 300/1970 e 88 del Regolamento quanto alla disciplina applicabile in materia di controlli a distanza.

1.4. Il titolare del trattamento non ha fatto pervenire al Garante scritti difensivi in relazione al procedimento sanzionatorio a suo carico.

2. Il quadro giuridico del trattamento effettuato

2.1. Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, lo stesso deve essere effettuato nel rispetto della disciplina di protezione dei dati personali e, per quanto qui di diretto rilievo, dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, in particolare del principio di trasparenza, il quale si declina nel dovere di informazione gravante sul titolare del trattamento in base all’art. 13 del Regolamento.

2.2. A tale scopo, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”; di qui la necessità che il titolare del trattamento predisponga idonei cartelli informativi affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”. In tal senso da tempo il Garante ha fornito proprie indicazioni (cfr. punto 3.1. del provv. 8 aprile 2010, doc. web n. 1712680; v. anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità; per una fattispecie individuale di natura analoga v. provv. 6 luglio 2023, n. 293, doc. web n. 9920881) e, analogamente, il Comitato europeo per la protezione dei dati, con le Linee Guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, ha specificato che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)” (cfr. punto 7). Nelle stesse linee guida si prevede inoltre che “tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”.

Tali informazioni dovrebbero inoltre essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi), per consentirgli “di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

2.3. Inoltre, anche alla luce delle indicazioni contenute nel provvedimento dell’8 aprile del 2010, nel caso di ripresa di aree esterne ad edifici ed immobili il trattamento deve avvenire “con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando la ripresa di luoghi circostanti e di particolari non rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)” (si veda, in particolare, il punto 6.2.2.1 del provvedimento).

Analogamente le sopra menzionate Linee Guida n. 3/2019 prevedono che, “in generale, la necessità di utilizzare la videosorveglianza per proteggere la proprietà di un titolare si arresta ai confini della proprietà stessa. Tuttavia, vi sono casi in cui la sorveglianza della proprietà non è sufficiente per una protezione efficace. In alcuni singoli casi potrebbe essere necessario estendere la videosorveglianza alle immediate vicinanze dell’area di proprietà. In tale contesto, il titolare del trattamento dovrebbe prendere in considerazione l’impiego di mezzi fisici e tecnici, ad esempio bloccando o oscurando le zone non pertinenti”.

2.4. Il suddetto trattamento dei dati deve avvenire nel rispetto dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, in particolare del principio di liceità, il quale si declina, in presenza di riprese che possono interessare i lavoratori, nel dovere di osservare quanto prescritto dall’art. 4, legge n. 300/1970, richiamato dall’art. 114 del Codice.

In particolare, i trattamenti di dati personali effettuati tramite impianti di videosorveglianza nell’ambito della gestione del rapporto di lavoro, in quanto a tal fine necessari (artt. 6, par. 1, lett. c) e 9, par. 2, lett. b) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed in particolare del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento).

Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Al riguardo, come è noto, il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che tra le condizioni di liceità del trattamento ha stabilito l’osservanza di quanto prescritto dall’art. 4, l. n. 300/1970. La violazione dell’art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

In base al richiamato art. 4, l. n. 300/1970 gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro.

L’attivazione e la conclusione di tale procedura di garanzia − come più volte sottolineato dalla giurisprudenza di legittimità, posta a “tutela interessi di carattere collettivo e superindividuale”, di tal che, in sua assenza la condotta del datore di lavoro lede anche gli interessi collettivi a presidio dei quali è posta (v., tra le altre, Cass. pen, sez. III, 17 dicembre 2019, n. 50919) − è quindi condizione indefettibile per l’installazione di sistemi di videosorveglianza e condizione di liceità del trattamento di dati personali che ne deriva. 

3. L’esito dell’istruttoria

3.1. Il trattamento dei dati personali effettuato nel caso di specie dal titolare del trattamento attraverso il sistema di videosorveglianza non si è informato al quadro regolatorio sopra richiamato. Infatti, sulla base della documentazione in atti sopra richiamata è emerso che l’impianto di videosorveglianza in parola, attivo e funzionante, era segnalato da cartelli informativi inidonei.

Tale condotta si è quindi posta in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni previste dalla normativa, anzitutto la denominazione del titolare del trattamento, nonché del principio generale di trasparenza del trattamento di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

3.2. È stato altresì rilevato che le telecamere erano idonee a riprendere aree pubbliche in assenza di elementi idonei a comprovarne la necessità, e pertanto il trattamento risulta effettuato in violazione degli articoli 5, par. 1, lett. a) e 6 del Regolamento in quanto privo di base giuridica. 

3.3. Risulta inoltre accertato che il titolare del trattamento ha installato e utilizzato sistemi di videosorveglianza presso il punto vendita in assenza di accordo con le rappresentanze sindacali o di autorizzazione rilasciata dall’Ispettorato del lavoro ex art. 4, l. n. 300/1970. La condotta tenuta dal titolare del trattamento ha quindi integrato la violazione del principio di liceità (art. 5, par. 1, lett. a), del Regolamento in relazione agli articoli 114 del Codice e 4, l. n. 300/1970) e dell’art. 88 del RGPD quanto alla disciplina applicabile in materia.

4. Illiceità del trattamento

Alla luce di tali considerazioni, il Garante rileva l’illiceità del trattamento effettuato dal titolare del trattamento in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a), 6, 13 del Regolamento nonché degli articoli 114 del Codice, 4, l. n. 300/1970 e 88 del Regolamento quanto alla disciplina applicabile in materia di controlli a distanza.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione, che ha coinvolto altresì lavoratori, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione, per il tramite di accertamenti svolti dalla Polizia locale (v. cons. 148 del Regolamento).
Pertanto, accertata l’illiceità della condotta come sopra descritta, deve adottarsi un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria.

5. Ordinanza di ingiunzione

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal titolare del trattamento per il tramite del descritto impianto di videosorveglianza risultato sprovvisto dell’informativa di cui all’art. 13 del Regolamento e dell’autorizzazione dell’Ispettorato del Lavoro.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze sotto riportate:

a. con riguardo alla natura, gravità e durata della violazione, è stata presa in considerazione la condotta del titolare del trattamento, la responsabilità connessa all’inadempimento dell’obbligo di rendere l’informativa agli interessati – peraltro nel tempo oggetto di innumerevoli provvedimenti del Garante (sia di natura individuale, sia contenenti indicazioni di natura generale: cfr., in particolare, i citati provvedimenti del 29 aprile 2004 e dell’8 aprile 2010) e di un consolidato orientamento giurisprudenziale (cfr. Cass. civ., Sez. II, 2 settembre 2015, n. 17440; Cass. civ., Sez. II, 5 luglio 2016, n. 13633) −, nonché la circostanza che la condotta illecita abbia potuto interessare un’ampia platea di interessati in ragione della natura di esercizio pubblico dei luoghi oggetto di videosorveglianza;

b. quale fattore attenuante, l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali;

c. quale fattore attenuante, la circostanza che il titolare del trattamento abbia provveduto, subito dopo l’accertamento, a richiedere l’autorizzazione al competente Ispettorato del Lavoro.

In ragione dei suddetti elementi valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila) per la violazione delle disposizioni richiamate nel presente provvedimento.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare del trattamento individuato in premessa con violazione degli artt. 5, par. 1, lett. a), 13 e 88 del Regolamento, unitamente agli artt. 114 del Codice e 4, l. n. 300/1970;

ORDINA

al titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; 

INGIUNGE

in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

ai sensi degli artt. 58, par. 2, lett. d), del Regolamento, di conformare il trattamento dei dati personali al Regolamento entro trenta giorni dalla notifica del presente provvedimento, provvedendo:

a rendere l’informativa agli interessati per il tramite di idonea cartellonistica;

ad orientare le telecamere che vanno a comporre il sistema di videosorveglianza in modo da non riprendere spazi pubblici;

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, omesso il nominativo del contravventore, la pubblicazione del presente provvedimento sul sito internet del Garante, tenuto conto della natura delle violazioni, peraltro oggetto di reiterati provvedimenti da parte del Garante, nonché in ragione del numero di soggetti coinvolti dal trattamento;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori