[doc. web n. 10225110]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 86 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del 4 aprile 2019, n. 98, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. La segnalazione ricevuta e l’avvio del procedimento sanzionatorio

1.1. Con comunicazione pervenuta il 3 giugno 2025, la Questura di Varese - Divisione Polizia amministrativa, sociale e dell’immigrazione ha segnalato un trattamento di dati personali effettuato, in assenza di informativa resa agli interessati (in particolare, nella forma semplificata dei cartelli informativi), tramite l’utilizzo di un impianto di videosorveglianza installato presso l’esercizio pubblico denominato “Musa’s”, sito in Varese, viale Borri 112, di cui la ditta individuale XX (P.I. XX) risulta essere titolare.

Con successiva comunicazione del 27 agosto 2025 è stata altresì inoltrata al Garante copia del relativo verbale d’ispezione nel quale si riferisce che, in occasione del controllo effettuato il 22 maggio 2025 presso il menzionato esercizio commerciale, è stata accertata la presenza di tre telecamere installate all’interno dei locali in assenza di idonei cartelli informativi.

1.2. In considerazione degli elementi così acquisiti, con nota del 7 ottobre 2025 (prot. n. 132474), l’Ufficio provvedeva a notificare al titolare del trattamento l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice, che qui si intende richiamato, in relazione alla violazione degli artt. 5, par. 1, lett. a), 6 e 13 del Regolamento.

Nonostante l’invitato a produrre scritti difensivi in relazione al procedimento sanzionatorio a suo carico, il titolare del trattamento non ha fatto pervenire alcun riscontro all’Autorità. 

2. Il quadro giuridico del trattamento effettuato

Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, lo stesso deve essere effettuato nel rispetto della disciplina di protezione dei dati personali e, per quanto qui di diretto rilievo, dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, in particolare del principio di trasparenza, il quale si declina nel dovere di informazione gravante sul titolare del trattamento in base all’art. 13 del Regolamento.

A tale scopo, quindi, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”; di qui la necessità che il titolare del trattamento predisponga idonei cartelli informativi affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”. In tal senso da tempo il Garante ha fornito proprie indicazioni (cfr. punto 3.1. del provv. 8 aprile 2010, doc. web n. 1712680; v. anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità; per una fattispecie individuale di natura analoga v. provv. 6 luglio 2023, n. 293, doc. web n. 9920881) e, analogamente, il Comitato europeo per la protezione dei dati, con le Linee Guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, ha specificato che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento cfr. (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)” (cfr. punto 7). Nelle stesse linee guida si prevede inoltre che “tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”.

Tali informazioni dovrebbero inoltre essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi), per consentirgli “di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

3. L’esito dell’istruttoria

Il trattamento dei dati personali effettuato nel caso di specie dal titolare del trattamento attraverso il sistema di videosorveglianza non si è informato al quadro regolatorio sopra richiamato. Infatti, sulla base del menzionato verbale di accertamento e della relativa documentazione fotografica, è emerso che l’impianto di videosorveglianza in parola, attivo e funzionante, era sprovvisto di idonei cartelli informativi.

Tale condotta si pone in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento, nonché del principio generale di trasparenza del trattamento di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

4. Illiceità del trattamento

4.1. Alla luce di tali considerazioni, si confermano le valutazioni preliminari dell’Ufficio in ordine ai profili relativi all’omessa informativa in relazione al trattamento di dati personali occasionato dalle riprese. Ne deriva che la condotta come descritta si è posta in contrasto con il principio di trasparenza, di cui all’art. 5, par. 1, lett. a) del Regolamento nonché al successivo art. 13.

4.2. Tanto premesso, occorre, tuttavia tenere in considerazione taluni elementi emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta tenuta dal titolare del trattamento (v. cons. 148 del Regolamento) in capo al quale non risultano precedenti violazioni pertinenti, rispetto al contesto oggetto di reclamo, commesse dall’impresa (art. 83, par. 2, lett. e), del Regolamento).

4.3. Alla luce di quanto rappresentato e dei termini complessivi della vicenda in esame, si ritiene pertanto di adottare un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria in ordine alla violazione delle disposizioni sopra richiamate al punto 4.1. 

4.4. Rilevato tuttavia che non vi sono elementi volti ad assicurare che la condotta abbia esaurito i suoi effetti, anche in considerazione del fatto che il titolare del trattamento non ha fornito sufficienti elementi idonei a comprovare l’avvenuta conformazione del trattamento al quadro regolatorio sopra esposto in seno al procedimento sanzionatorio conseguente alla contestazione degli addebiti notificata dall’Ufficio ai sensi dell’art. 166 del Codice, ricorrono i presupposti per l’adozione di misure correttive di cui all’art. 58, par. 2, lett. d) del Regolamento affinché le telecamere siano segnalate da idonei cartelli informativi.

5. Ordinanza di ingiunzione

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal titolare del trattamento, per mezzo del descritto impianto di videosorveglianza, in assenza dell’informativa di cui all’art. 13 del Regolamento.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze sotto riportate:

a. con riguardo alla natura, gravità e durata della violazione, è stata presa in considerazione la natura colposa della condotta del titolare del trattamento in relazione all’inadempimento dell’obbligo di rendere l’informativa agli interessati – nel tempo oggetto di innumerevoli provvedimenti del Garante (sia di natura individuale, sia contenenti indicazioni di natura generale: cfr., in particolare, i citati provv.ti del 29 aprile 2004 e dell’8 aprile 2010) e di un consolidato orientamento giurisprudenziale (cfr. Cass. civ., Sez. II, 2 settembre 2015, n. 17440; Cass. civ., Sez. II, 5 luglio 2016, n. 13633) −, nonché la circostanza che la condotta illecita abbia potuto interessare un’ampia platea di interessati in ragione della natura di esercizio pubblico dei luoghi oggetto di videosorveglianza;

b. quale fattore attenuante, l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali.

In ragione dei suddetti elementi, valutati nel loro complesso, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000,00 (mille) per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare del trattamento individuato in premessa (al punto 1) con violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento;

ORDINA

al titolare del trattamento di pagare la somma di euro 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione; 

INGIUNGE

al medesimo titolare del trattamento:

di pagare la somma di euro 1.000,00 (mille), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si rappresenta in proposito che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come di seguito indicato;

ai sensi degli artt. 58, par. 2, lett. d), del Regolamento, di conformare il trattamento dei dati personali al Regolamento entro trenta giorni dalla notifica del presente provvedimento, provvedendo a rendere l’informativa agli interessati per il tramite di idonea cartellonistica. 

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante, omessi i dati personali del legale rappresentate dell’impresa individuale titolare del trattamento, tenuto conto della natura delle violazioni, oggetto di reiterati provvedimenti da parte del Garante, nonché in ragione del numero di soggetti coinvolti dal trattamento;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori