[doc. web n. 10216253]

Provvedimento del 16 gennaio 2026

Registro dei provvedimenti
n. 8 del 16 gennaio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del 4 aprile 2019, n. 98, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. La segnalazione ricevuta e l’avvio del procedimento sanzionatorio

1.1. Con comunicazione del 16 gennaio 2025, il Comando del Corpo di Polizia Locale di Monterotondo ha trasmesso a questa Autorità gli esiti del controllo effettuato da detto Comando congiuntamente a personale di altri organi di controllo il 16 dicembre 2024 presso l’attività commerciale denominata BAR GIOIA di XX, con sede in Monterotondo (RM), via Bruno Buozzi 24/A, (Partita IVA XX, di seguito “titolare del trattamento”).

1.2. In particolare, dagli atti inviati dal predetto Comando risultava accertata la non conforme installazione di un impianto di videosorveglianza composto da due telecamere regolarmente funzionanti, collocate “ai lati opposti della vetrina di accesso ai locali” e non segnalate da appositi cartelli informativi, idonee a riprendere l’“area pedonale pubblica esterna” prospiciente detti locali, ed in particolare quella occupata da “tavolini, sedie e ombrelloni” oggetto di autorizzazione. Tali immagini non sono risultate soggette a registrazione, potendo solo essere visualizzate mediante app sul cellulare della titolare dell’esercizio commerciale.

1.3. Alla luce degli atti pervenuti, con nota del 2 aprile 2025 (prot. n. 0044550/25), l’Ufficio provvedeva a notificare al titolare del trattamento l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice, che qui si intende richiamare, in relazione alla violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento con riguardo all’obbligo di rendere l’informativa. 
Nel medesimo atto – ancorché non abbia formato oggetto di accertamento nella relazione di servizio e, quindi, di formale contestazione da parte dell’Ufficio − risulta altresì presente un richiamo all’osservanza della disciplina in materia di controllo a distanza, nel caso di idoneità dell’impianto di videosorveglianza a riprendere anche i lavoratori.

1.4. Con nota del 10 aprile 2025, il titolare del trattamento faceva pervenire al Garante sintetiche osservazioni in relazione al procedimento sanzionatorio a suo carico, giustificando l’avvenuta installazione degli indicati dispositivi di videosorveglianza, in ragione di – non documentati − eventi dannosi subiti “all’esterno (lancio di sassi e oggetti vari) che danneggiavano la vetrina e le tende”, e quindi – si riferisce – “come deterrente” e per “evitare ulteriori danneggiamenti”. Tale installazione era stata peraltro effettuata da parte di un operatore professionale, di tal che la titolare dell’esercizio commerciale aveva confidato nell’osservanza di eventuali obblighi di legge (“ero convinta, in buona fede, che non avessi nessun altro obbligo”). 

2. Il quadro giuridico del trattamento effettuato

2.1. Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, lo stesso deve essere effettuato nel rispetto della disciplina di protezione dei dati personali e, per quanto qui di diretto rilievo, dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, in particolare dei principi fondamentali in materia di protezione dei dati di liceità, correttezza e trasparenza del trattamento, quest’ultimo ulteriormente declinato negli obblighi informativi gravanti sul titolare del trattamento in base all’art. 13 del Regolamento.

2.2. A tale scopo, quindi, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”; di qui la necessità che il titolare del trattamento predisponga idonei cartelli informativi affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”.

In tal senso da tempo il Garante ha fornito proprie indicazioni (cfr. punto 3.1. del provv. 8 aprile 2010, doc. web n. 1712680; v. anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità; per una fattispecie individuale di natura analoga v. provv. 6 luglio 2023, n. 293, doc. web n. 9920881).

Analogamente il Comitato europeo per la protezione dei dati, con le Linee Guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, ha specificato che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)” (cfr. punto 7). Nelle stesse linee guida si prevede inoltre che “tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni” (cfr. punto 7.1).

Tali informazioni dovrebbero inoltre essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi), per consentirgli “di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario” (cfr. punto 7.1.1).

2.3. Infine, in base alle indicazioni contenute nel provvedimento generale in materia di videosorveglianza dell’8 aprile del 2010, nel caso di ripresa di aree esterne ad edifici ed immobili, il trattamento deve avvenire “con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando la ripresa di luoghi circostanti e di particolari non rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)” (si veda, in particolare, il punto 6.2.2.1 del provvedimento).

Analogamente le già citate Linee Guida n. 3/2019 prevedono che, “in generale, la necessità di utilizzare la videosorveglianza per proteggere i locali del Titolare finisce ai confini della proprietà, tuttavia, per una protezione efficace, in alcuni casi potrebbe essere necessario estendere la videosorveglianza nelle immediate vicinanze dei locali. In questo contesto, il Titolare dovrebbe prendere in considerazione mezzi fisici e tecnici, come ad esempio bloccare o pixelare aree non rilevanti” (3.1.2 par. 27). 

3. L’esito dell’istruttoria

3.1. Il trattamento dei dati personali effettuato nel caso di specie dal titolare del trattamento attraverso il sistema di videosorveglianza non si è informato, con riguardo al profilo dell’informativa da rendere agli interessati, al quadro regolatorio sopra illustrato.

Infatti, alla luce degli elementi emersi all’esito dell’istruttoria, deve rilevarsi la violazione del principio di trasparenza di cui all’art. 5, par. 1, lett. a) e dell’art. 13 del Regolamento, non essendo risultata presente alcuna idonea informativa tale da rendere gli interessati “consapevoli del fatto che è in funzione un sistema di videosorveglianza” (così il richiamato provvedimento generale del Garante del 2010 e, non diversamente, le Linee Guida n. 3/2019, punto 7), ivi compresi quanti vengano ad occupare le aree esterne del bar, come si è detto, regolarmente occupate dai tavolini per il servizio esterno.

3.2. A quest’ultimo proposito, sulla base dell’accertamento compiuto e delle successive valutazioni di questo Dipartimento, l’Ufficio non ha ritenuto eccedente l’angolo di ripresa delle suddette telecamere che, sulla base delle immagini in atti, ancorché inquadrino aree esterne all’esercizio commerciale, attengono comunque in modo assolutamente prevalente agli spazi nei quali è regolarmente esercitata l’attività commerciale.

4. Illiceità del trattamento

4.1. Si confermano, pertanto, le valutazioni preliminari dell’Ufficio in ordine ai profili relativi all’omessa informativa in relazione al trattamento di dati personali occasionato dalle riprese. Ne deriva che la condotta come descritta si è posta in contrasto con il principio di trasparenza, di cui all’art. 5, par. 1, lett. a) del Regolamento nonché al successivo art. 13.

4.2. Tanto premesso, occorre, tuttavia tenere in considerazione taluni elementi emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta tenuta dal titolare del trattamento (v. cons. 148 del Regolamento) in capo al quale non risultano precedenti violazioni pertinenti, rispetto al contesto oggetto di reclamo, commesse dall’impresa (art. 83, par. 2, lett. e), del Regolamento).

4.3. Alla luce di quanto rappresentato e dei termini complessivi della vicenda in esame, si ritiene pertanto di adottare un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria in ordine alla violazione delle disposizioni sopra richiamate al punto 4.1. 

4.4. Rilevato tuttavia che non vi sono elementi volti ad assicurare che la condotta abbia esaurito i suoi effetti, anche in considerazione del fatto che il titolare del trattamento non ha fornito sufficienti elementi idonei a comprovare l’avvenuta conformazione del trattamento al quadro regolatorio sopra esposto in seno al procedimento sanzionatorio conseguente alla contestazione degli addebiti notificata dall’Ufficio ai sensi dell’art. 166 del Codice, ricorrono i presupposti per l’adozione di misure correttive di cui all’art. 58, par. 2, lett. d) del Regolamento affinché le telecamere siano segnalate da idonei cartelli informativi.

4.5. Non consta, invece, dal verbale trasmesso al Garante alcun profilo connesso al potenziale controllo a distanza dei lavoratori: su tale aspetto, ancorché evocato nella comunicazione dell’Ufficio ai sensi dell’art. 166 del Codice, non si ritiene pertanto, allo stato degli atti, di provvedere.

5. Ordinanza di ingiunzione

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal titolare del trattamento, per mezzo del descritto impianto di videosorveglianza, in assenza dell’informativa di cui agli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze sotto riportate:

a. quale fattore attenuante, l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali;

b. la natura colposa della violazione.

In ragione dei suddetti elementi, valutati nel loro complesso, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 600,00 (seicento) per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

• dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare del trattamento individuato in premessa (al punto 1) con violazione degli artt. 5, par. 1, lett. a), e 13 del Regolamento; 

ORDINA

al titolare del trattamento di pagare la somma di euro 600,00 (seicento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; 

INGIUNGE

al medesimo titolare del trattamento:

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 600,00 (seicento), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si rappresenta in proposito che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come di seguito indicato;

ai sensi degli artt. 58, par. 2, lett. d), del Regolamento di conformare il trattamento dei dati personali al Regolamento entro trenta giorni dalla notifica del presente provvedimento, provvedendo a rendere l’informativa agli interessati per il tramite di idonea cartellonistica. Dell’adempimento di tale prescrizione il titolare del trattamento dovrà dare comunicazione all’Autorità, ai sensi dell’art. 157 del Codice, entro 30 giorni dalla ricezione del presente provvedimento, con avvertimento che, in caso di omessa comunicazione, si renderà applicabile la sanzione amministrativa pecuniaria prevista ai sensi degli articoli 166, comma 2, del Codice e 83, par. 5, del Regolamento.

DISPONE

ai sensi degli artt. 154-bis, comma 3 e 166, comma 7 del Codice nonché degli artt. 16, comma 1 e 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento, omessi i dati personali della legale rappresentate dell’impresa individuale titolare del trattamento, sul sito internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 gennaio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori