modern equipment for video surveillance on wall

Videosorveglianza sul lavoro: gli errori che costano caro

/ Diritto delle nuove tecnologie / Di
Tempo di lettura stimato:10 Minuti, 39 Secondi

Nel governo dei sistemi di videosorveglianza aziendale, l’errore più frequente non è tecnico quanto piuttosto giuridico.

Molti datori di lavoro installano infatti telecamere pensando soprattutto alla sicurezza, al patrimonio aziendale o all’ordine organizzativo. Ma, diciamolo subito, quando le riprese intercettano anche solo potenzialmente l’attività dei dipendenti, entra in gioco una disciplina severa, stratificata e tutt’altro che formale, a partire dall’art. 4 dello Statuto dei lavoratori, passando poi per il GDPR, il Codice privacy e fino ad arrivare alle diverse indicazioni in materia del Garante per la Protezione dei Dati Personali.

Per il datore, il punto non è soltanto “poter installare” le telecamere, ma è poter dimostrare la liceità dell’impianto, la necessità delle riprese, la proporzionalità del trattamento e la correttezza delle regole interne. In difetto, il rischio non è astratto, possono concorrere infatti profili lavoristici, privacy, ispettivi e anche penali, posto che la violazione dell’art. 4, comma 1, dello Statuto dei lavoratori è richiamata dall’art. 171 del Codice privacy, che rinvia alle sanzioni dell’art. 38 dello Statuto.

Un primo errore che quindi si commette, lo abbiamo capito, è quello di Installare le telecamere senza chiedersi se servano davvero

La videosorveglianza in azienda non è una misura neutra. Il datore di lavoro, pubblico o privato, può installarla solo per finalità specifiche: esigenze organizzative e produttive, sicurezza del lavoro, tutela del patrimonio aziendale. Lo ricorda il Garante nelle FAQ ufficiali in tema di videosorveglianza (premere qui per leggere) e lo conferma il modulo dell’Ispettorato Nazionale del Lavoro per l’autorizzazione preventiva, che riproduce proprio queste causali.

Il profilo prudenziale è decisivo. Non basta evocare genericamente la sicurezza. Occorre poter argomentare, con rigore, perché quel sistema sia necessario in quel contesto e perché misure meno invasive non sarebbero sufficienti. Le Linee guida 3/2019 dell’EDPB insistono proprio su questo, il trattamento mediante dispositivi video deve rispettare necessità e proporzionalità, e la sorveglianza non può espandersi senza un’analisi concreta del rischio (premere qui per leggere).

Un altro errore che spesso si commette è dimenticare l’accordo sindacale o l’autorizzazione dell’Ispettorato.

Qui probabilmente si annida il vizio più insidioso. Quando infatti l’impianto audiovisivo o altro strumento consente, anche indirettamente, il controllo a distanza dei lavoratori, serve prima un accordo collettivo con le rappresentanze sindacali previste dalla legge oppure, in mancanza, l’autorizzazione dell’Ispettorato nazionale del lavoro. È la struttura stessa dell’art. 4 dello Statuto che lo prevede. L’INL, nel proprio modulo ufficiale, parla infatti di “autorizzazione preventiva”.

Su questo passaggio non conviene indulgere in letture elastiche.

La tentazione di considerare l’impianto lecito perché “serve solo a dissuadere furti” o perché “non viene guardato continuamente” è spesso fuorviante. Se dal sistema può derivare il controllo dell’attività lavorativa, il presidio autorizzatorio viene prima dell’attivazione dell’impianto. E la sua omissione può esporre l’azienda alle conseguenze sanzionatorie richiamate dall’art. 171 del Codice privacy.

Altro errore poi che spesso si commette è quello di confondere gli strumenti “esonerati” con una zona franca.

E’ il più volte richiamato art. 4 che opera una distinzione. Per gli strumenti utilizzati dal lavoratore per rendere la prestazione e per gli strumenti di registrazione degli accessi e delle presenze, non è richiesto l’accordo sindacale o il previo titolo autorizzatorio. Ma questa eccezione non cancella gli obblighi privacy. Anzi, li rende ancora più delicati, perché strumenti apparentemente ordinari possono trasformarsi in dispositivi di tracciamento capillare.

Il punto va letto con prudenza.

Che un dispositivo rientri nella categoria degli strumenti di lavoro non significa che il datore di lavoro possa usarlo senza limiti. Rimangono fermi obblighi informativi, principi di minimizzazione, limitazione della finalità, sicurezza del trattamento e correttezza dei controlli. Inoltre, i dati raccolti attraverso tali strumenti sono utilizzabili a fini connessi al rapporto di lavoro solo se il lavoratore ha ricevuto adeguata informazione sulle modalità d’uso degli strumenti e di effettuazione dei controlli, oltre al rispetto della disciplina privacy.

Nella prassi un altro errore comune è rappresentato dal riprendere troppo, troppo a lungo, troppo da vicino.

La sorveglianza eccedente è spesso il segnale più chiaro di non conformità. Le telecamere non devono estendersi oltre quanto strettamente necessario. L’EDPB osserva che, in linea generale, la necessità di proteggere i locali del titolare si arresta ai confini della proprietà, salvo casi particolari da giustificare puntualmente, e che, quando possibile, vanno considerate soluzioni tecniche come oscuramenti o mascheramenti delle aree non pertinenti (premere qui per approfondire).

In chiave aziendale, questo si traduce in una regola semplice: evitare inquadrature pervasive, soprattutto se insistono stabilmente su postazioni di lavoro, aree di pausa o spazi che incidono sulla dignità della persona. Lo stesso modello INL richiede che le telecamere non riprendano spogliatoi o servizi e, ove possibile, non riprendano le postazioni di lavoro in maniera continuativa.

Anche la conservazione delle immagini va misurata con criterio.

Il Garante ricorda che, di regola, 24 ore sono un termine sufficiente. Solo esigenze particolari possono giustificare tempi superiori. Un recente provvedimento del 12 febbraio 2026 (premere qui per leggere) ha nuovamente richiamato questo standard, censurando una conservazione di circa sette giorni ritenuta eccedente nel caso concreto.

Altro errore aqlquanto dffuso è rappresentato dal trascurare informativa, cartelli e policy interna.

La compliance non si esaurisce infatti nel titolo autorizzatorio. Un impianto formalmente autorizzato ma gestito senza trasparenza resta esposto. Gli interessati devono essere invece posti in condizione di comprendere quale area sia videosorvegliata, da chi, per quali finalità e dove reperire l’informativa completa. Il Garante mette a disposizione anche un modello semplificato di cartello, costruito sulla base delle Linee guida EDPB 3/2019 (premere qui per vederlo).

Sul versante lavoristico, poi, l’azienda deve compiere un passaggio ulteriore. Serve una policy chiara, effettiva e coerente, che disciplini uso degli impianti, soggetti autorizzati alla visione, tempi di conservazione, procedure di estrazione delle immagini, gestione delle richieste dell’autorità e limiti dei controlli interni. Anche nella documentazione tecnica dell’INL compare infatti l’impegno a informare tutti i lavoratori nelle forme previste dall’art. 4, comma 3, e a rispettare il GDPR.

Un altro errore tanto sottovalutato quanto diffuso è il pensare che la base giuridica basti da sola.

Nel trattamento video in ambito lavorativo, la base giuridica è solo il primo gradino. Il GDPR impone che ogni trattamento sia anche pertinente, non eccedente, trasparente e sicuro. Il Garante, nelle FAQ in tema di vidosorveglianza , richiama espressamente la necessità di rispettare le ulteriori garanzie previste dalla normativa di settore. E il Comitato europeo, nelle Linee guida sui dispositivi video, sottolinea che la liceità non neutralizza il vaglio di proporzionalità.

Per questa ragione, nelle configurazioni più invasive, può rendersi necessaria anche una valutazione d’impatto sulla protezione dei dati. Il Garante ricorda che la DPIA è richiesta, tra l’altro, nei casi di monitoraggio sistematico su larga scala e negli altri casi individuati dall’Autorità ai sensi dell’art. 35 GDPR.

Infine, altro errore di non poco conto è quello di sottovalutare il profilo sanzionatorio.

Chi gestisce la videosorveglianza come se fosse solo un tema di impianti, trascura il punto essenziale: è materia di organizzazione del potere datoriale e di tutela della dignità del lavoratore. Per questo il sistema sanzionatorio è composito. Da un lato operano i poteri correttivi e amministrativi dell’Autorità di controllo secondo GDPR e Codice privacy, dall’altro, la violazione delle disposizioni sui controlli a distanza richiamate dall’art. 171 del Codice privacy è punita con le sanzioni previste dall’art. 38 dello Statuto dei lavoratori.

La conseguenza pratica è netta. Un impianto non verificato ex ante può costare molto più della sua installazione, sia in termini economici, sia reputazionali, sia sindacali, e può portare facilmente a contenziosi individuali. E, in diversi casi, il problema emerge non quando il sistema viene acceso, ma quando il datore di lavoro tenta di utilizzare le immagini in sede disciplinare o ispettiva (come rilevato dal Garante Privacy nel provvedimento dello scorso 23 ottobre – premere qui per leggere)

Insomma, per il datore di lavoro, la videosorveglianza è uno strumento lecito solo quando resta necessario, proporzionato, autorizzato e governato da regole interne solide. Il vero approccio prudenziale non consiste nel chiedersi se “si possa mettere una telecamera”, quanto piuttosto consiste nel chiedersi, prima, perché serva, dove punti, quanto registri, chi veda le immagini, per quanto tempo le conservi e quale percorso autorizzatorio sia stato seguito.

Verificare impianti e policy oggi significa prevenire sanzioni domani. Ed è, soprattutto, il modo più serio per tenere insieme sicurezza aziendale, potestà organizzativa e tutela della persona che lavora.

Per approfondire:

- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019;

- M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018;

- R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019; 

- S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019; 

- A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017; 

- R. BESSI, Il trasferimento dei dati personali verso paesi terzi nel regolamento generale sulla protezione dei dati, in Rivista di diritto dei media, 3/2017, pp. 1-28.

- G. BUTTARELLI, Il trasferimento internazionale dei dati personali tra continuità e innovazione: il regolamento generale sulla protezione dei dati e il protocollo modificativo alla convenzione 108 del Consiglio d'Europa, in Diritto dell'informazione e dell'informatica, 1/2018, pp. 3-24.

- P. DE HERT, V. PAPAKONSTANTINOU, The new General Data Protection Regulation: Still a sound system for the protection of individuals?, in Computer Law & Security Review, 2016, vol. 32, n. 2, pp. 179-194.

- F. FABBRINI, Schrems II: A watershed moment for data privacy?, in European Law Review, 2020, vol. 45, n. 6, pp. 769-789.

- G. FINOCCHIARO, G. RESTA, Il trasferimento internazionale dei dati personali tra diritto europeo e diritto interno: profili sostanziali e processuali, in Giurisprudenza italiana, 2019, vol. 167, n. 11-12, pp. 2615-2624; 

- G. FINOCCHIARO, Identità personale su Internet: Il diritto alla contestualizzazione dell’informazione, in DInf, 28, 3, 2012, 383; 

- G. FINOCCHIARO, Il diritto all’oblio nel quadro dei diritti della personalità, in DInf, 29, 4-5, 2014, 596;

- A. RICCI, I diritti dell’interessato, in G. FINOCCHIARO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2016, 201;

- F. PIZZETTI, Le Autorità Garanti per la protezione dei dati personali e la sentenza della Corte di giustizia sul caso Google Spain: è tempo di far cadere il “Velo di Maya”, in RESTA-ZENO-ZENCOVICH, Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, 2015, 274; 

- F. PIZZETTI, Il prisma del diritto all’oblio, in F. PIZZETTI, Il caso del diritto all’oblio, Torino, 2013, 21-63; 

- T.E. FROSINI, Il diritto all’oblio e la libertà informatica, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 94; 

- A. MANTELERO, Il diritto all’oblio dalla carta stampata ad Internet, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio,  Torino, 2013, 145-172;

- SIANO, Il diritto all’oblio in Europa e il recente caso spagnolo, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 125; 

- D’ANTONIO, Oblio e cancellazione dei dati nel diritto europeo, in SICA-D’ANTONIO-RICCIO (a cura di), La nuovadisciplina europea della privacy, Milano, 2016, 207; 

- FERRI, Diritto all’informazione e diritto all’oblio, in RDC, 1990, I, 818; 

- OROFINO, Trattamento dei dati personali e libertà di espressione e di informazione, in CALIFANO-COLAPIETRO (a cura di), Innovazione tecnologica e valore della persona, Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017; 

- E. PELINO, I diritti dell’interessato, in BOLOGNINI-PELINO-BISTOLFI, Il Regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, 259, 263, 264; 

- RICCIO, Diritto all’oblio e responsabilità dei motori di ricerca, in DInf, 29, 4-5, 2014, 759; 

- COOLEY, Treatise on the Law of Torts del 1879, in GLANCY, The Invention of the Right to Privacy, Arizona Law Review, vol. 29, 1, 1979; 

- WARREN-BRANDEIS, The Right to Privacy, in Harvard Law Review, vol. 4, 1890, V, 193-220; 

- G. ALPA, A. IANNINI, P. ROCCO, Circolazione e protezione dei dati personali tra libertà e regole del mercato, Milano, 2019; 

- G.M. RICCIO, G. SCORZA, E. BELISARIO, GDPR e normativa privacy, Commentario, Padova, 2018; 

- L. BOLOGNINI, E. PELINO (diretto da), Codice della disciplina privacy, Milano, 2019; 

- A. AVITABILE, Il Data Protection Officier, in G. FINOCCHIARO (diretto da), Il nuovo regolamento europeo sulla privacy e protezione dei dati personali, Bologna, 2017; 

- E. PELINO, L. BOLOGNINI, C. BISTOLFI, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016.
The following two tabs change content below.
Il mio profilo FacebookIl mio profilo LinkedIn

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi
*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.
error: Misure tecnologiche di protezione attive ex art. 11 WIPO Copyright Treaty, §1201 del DMCA, art. 6, dir. 29/2001/CE, art. 102-quater, l. 22 aprile 1941, n. 633, art. 171-ter, l. 22 aprile 1941, n. 633.