[doc. web n. 10251701]

Provvedimento del 17 aprile 2026

Registro dei provvedimenti
n. 283 del 17 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del 4 aprile 2019, n. 98, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione ricevuta e l’avvio del procedimento sanzionatorio

1.1. Con nota del 31 ottobre 2025, la Guardia di Finanza – Gruppo Cuneo ha trasmesso a questa Autorità il verbale di operazioni compiute redatto a seguito del sopralluogo del 21 ottobre 2025 presso l’impresa individuale “Pak Store” di XX, con sede in Cuneo, via Battisti 6.

Dal suddetto verbale è risultato che tale impianto, costituito da una telecamera a circuito chiuso puntata verso il bancone dove i clienti procedono al pagamento della merce “per prevenire contestazioni in relazione ai pagamenti”:  

- non è segnalato da idonei cartelli informativi;  

- è sprovvisto della necessaria autorizzazione del competente Ispettorato del Lavoro, ancorché sia stata rilevata la presenza di un lavoratore alle dipendenze dell’impresa operante nell’area oggetto delle riprese.

Alle immagini riprese accede da remoto mediante app installata sul proprio smartphone il titolare dell’esercizio commerciale, sopraggiunto a verifiche in corso presso l’esercizio commerciale.

1.2. In considerazione degli elementi così acquisiti, con nota del 16 febbraio 2026 (prot. n. 23525), l’Ufficio provvedeva a notificare al titolare del trattamento l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice, che qui si intende richiamato, in relazione alla violazione del principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 13 del RGPD, del principio di liceità di cui agli articoli 5, par. 1, lett. a) e 6 del RGPD in relazione all’art. 114 del Codice e dell’art. 88 RGPD quanto alla disciplina di settore applicabile. 

1.3. Nonostante l’invito a produrre scritti difensivi in relazione al procedimento sanzionatorio a suo carico, il titolare del trattamento non ha fatto pervenire alcun riscontro all’Autorità. 

2. Il quadro giuridico del trattamento effettuato

2.1. L’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento anche nel caso in cui vi sia solo raccolta di dati personali e visualizzazione da remoto degli stessi mediante smartphone, come nel caso di specie (in tal senso v. anche Cass. 2 settembre 2015, n. 17740).

2.2. Tale trattamento deve pertanto essere effettuato nel rispetto della disciplina di protezione dei dati personali e, per quanto qui di diretto rilievo, del principio di liceità di cui agli articoli 5, par. 1, lett. a) e 6 del Regolamento nonché dell’art. 114 del Codice che, sulla scorta della previsione contenuta nell’art. 88, par. 1, del Regolamento, si declina nel dovere di osservare quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300.

Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori, nel caso di specie mediante il richiamo operato, quale disposizione più specifica, dall’art. 114 del Codice alle disposizioni contenute nell’art. 4, legge 20 maggio 1970, n. 300. In base ad essa gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro.

L’attivazione e la conclusione di tale procedura di garanzia è dunque condizione indefettibile per l’installazione di sistemi di videosorveglianza. La violazione di tale disposizione è penalmente sanzionata (v. art. 171 del Codice). La predetta procedura di garanzia, come più volte sottolineato dalla giurisprudenza di legittimità, “tutela interessi di carattere collettivo e superindividuale”, per cui, nel caso in cui il datore di lavoro non la attivi, la sua condotta lederà gli interessi collettivi a presidio dei quali è posta (v., tra le altre, Cass. pen, sez. III, 17 dicembre 2019, n. 50919). Solo attraverso tale procedura, quindi, per il tramite delle rappresentanze sindacali o dell’Ispettorato del lavoro, potrà essere correttamente valutata l’idoneità a ledere la dignità dei lavoratori di strumenti tecnologici dai quali possa derivare un controllo a distanza dei lavoratori e potrà essere verificata l'effettiva rispondenza di detti impianti alle esigenze tecnico-produttive o di sicurezza. L’inderogabilità della citata procedura risponde anche alla situazione di sproporzione esistente tra la posizione datoriale e quella dei lavoratori.

2.3. Per quanto di diretto rilievo nella fattispecie in esame, il trattamento deve altresì essere effettuato nel rispetto del principio di trasparenza, di cui all’art. 5, par. 1, lett. a) del Regolamento, il quale si declina nel dovere di informazione gravante sul titolare del trattamento in base all’art. 13 del Regolamento.

A tale scopo, quindi, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”; di qui la necessità che il titolare del trattamento predisponga idonei cartelli informativi affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”. In tal senso da tempo il Garante ha fornito proprie indicazioni (cfr. punto 3.1. del provv. 8 aprile 2010, doc. web n. 1712680; v. anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità; per una fattispecie individuale di natura analoga v. provv. 6 luglio 2023, n. 293, doc. web n. 9920881) e, analogamente, il Comitato europeo per la protezione dei dati, con le Linee Guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, ha specificato che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento cfr. (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)” (cfr. punto 7). Nelle stesse linee guida si prevede inoltre che “tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del Regolamento). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”.

Tali informazioni dovrebbero inoltre essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi), per consentirgli “di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

3. Esito dell’istruttoria e illiceità del trattamento

3.1. Il trattamento dei dati personali effettuato nel caso di specie dal titolare del trattamento attraverso il sistema di videosorveglianza non si è informato al quadro regolatorio sopra richiamato. Infatti, sulla base del menzionato verbale di accertamento è emerso che l’impianto di videosorveglianza in parola, attivo e funzionante:

era sprovvisto, al momento del controllo, della necessaria autorizzazione dell’Ispettorato del Lavoro e

era sprovvisto di idonei cartelli informativi idonei a informate gli interessati del trattamento effettuato.

Tale condotta si pone quindi in contrasto con quanto stabilito:

dagli artt. 5, par. 1, lett. a), 6 e 88 del Regolamento nonché dell’art. 114 del Codice, in base al quale il titolare del trattamento è tenuto al rispetto delle garanzie previste dall’art. 4 della l. n. 300/1970, con particolare riferimento all’assenza, al momento del controllo, della necessaria autorizzazione del competente Ispettorato del Lavoro;

dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire agli interessati tutte le informazioni relative alle caratteristiche essenziali del trattamento, nonché del principio generale di trasparenza del trattamento di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

3.2. Alla luce di tali considerazioni, si confermano le valutazioni preliminari dell’Ufficio in ordine ai profili di illiceità sopra evidenziati. 

3.3. Tanto premesso, occorre tenere in considerazione taluni elementi emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta tenuta dal titolare del trattamento (v. cons. 148 del Regolamento) in capo al quale non risultano precedenti violazioni pertinenti, rispetto al contesto oggetto di reclamo, commesse dall’impresa (art. 83, par. 2, lett. e), del Regolamento).

3.4. Alla luce di quanto rappresentato e dei termini complessivi della vicenda in esame, si ritiene pertanto di adottare un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria in ordine alla violazione delle disposizioni sopra richiamate al punto 3.1.

3.5. In relazione alla violazione del principio di trasparenza di cui agli artt. 5, par. 1, lett. a), e 13 del Regolamento, non essendovi elementi volti ad assicurare che la condotta abbia esaurito i suoi effetti, anche in considerazione del fatto che il titolare del trattamento non ha fornito sufficienti elementi idonei a comprovare l’avvenuta conformazione del trattamento al quadro regolatorio sopra esposto in seno al procedimento sanzionatorio conseguente alla contestazione degli addebiti notificata dall’Ufficio ai sensi dell’art. 166 del Codice, ricorrono i presupposti per l’adozione di misure correttive di cui all’art. 58, par. 2, lett. d) del Regolamento affinché le telecamere siano segnalate da idonei cartelli informativi.

Inoltre, sulla base del menzionato verbale di accertamento è emerso che l’impianto di videosorveglianza in parola, attivo e funzionante, ed accessibile da remoto da parte del titolare del trattamento, era sprovvisto della necessaria autorizzazione dell’Ispettorato del Lavoro.

4. Ordinanza di ingiunzione

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal titolare del trattamento, per mezzo del descritto impianto di videosorveglianza, in assenza dell’informativa di cui all’art. 13 del Regolamento e in violazione delle garanzie previste dall’art. 4 della legge n. 300/1970 (c.d. Statuto dei lavoratori).

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze sotto riportate:

a. con riguardo alla natura, gravità e durata della violazione, è stata presa in considerazione la natura colposa della condotta del titolare del trattamento in relazione all’inadempimento dell’obbligo di rendere l’informativa agli interessati – nel tempo oggetto di innumerevoli provvedimenti del Garante (sia di natura individuale, sia contenenti indicazioni di natura generale: cfr., in particolare, i citati provv.ti del 29 aprile 2004 e dell’8 aprile 2010) e di un consolidato orientamento giurisprudenziale (cfr. Cass. civ., Sez. II, 2 settembre 2015, n. 17440; Cass. civ., Sez. II, 5 luglio 2016, n. 13633) −, nonché la circostanza che la condotta illecita abbia potuto interessare un’ampia platea di interessati in ragione della natura di esercizio pubblico dei luoghi oggetto di videosorveglianza; è stata altresì tenuta in conto la responsabilità del titolare connessa all’inadempimento dell’obbligo di rispettare le garanzie previste dall’art. 4, l. n. 300/1970;

b. quale fattore attenuante, l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali.

In ragione dei suddetti elementi, valutati nel loro complesso, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e f), 13, 32 del Regolamento e 114 del Codice.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare del trattamento individuato in premessa (al punto 1) con violazione degli artt. 5, par. 1, lett. a), 13 del Regolamento e 114 del Codice;

ORDINA

al titolare del trattamento di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione; 

INGIUNGE

al medesimo titolare del trattamento:

di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si rappresenta in proposito che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come di seguito indicato;

ai sensi degli artt. 58, par. 2, lett. d), del Regolamento, di conformare il trattamento dei dati personali al Regolamento, provvedendo a rendere l’informativa agli interessati per il tramite di idonea cartellonistica, entro trenta giorni dalla notifica del presente provvedimento;

di limitare il trattamento posto in essere mediante l’impianto di videosorveglianza, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, con divieto di effettuazione dello stesso nei termini di cui in motivazione, sino all’eventuale conseguimento dell’autorizzazione prevista dall’art. 4, comma 1, l. 20 maggio 1970, n. 300. 

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante, tenuto conto della natura delle violazioni, oggetto di reiterati provvedimenti da parte del Garante, nonché in ragione del numero di soggetti coinvolti dal trattamento, ivi compresi i lavoratori, omessi i dati personali del legale rappresentate dell’impresa individuale;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori