[doc. web n. 10226658]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 84 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del 4 aprile 2019, n. 98, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione ricevuta e l’avvio del procedimento sanzionatorio

1.1. Con comunicazione del 22 settembre 2025 la Legione Carabinieri Campania – Comando Stazione Procida - ha trasmesso a questa Autorità il verbale del controllo effettuato il giorno 9 settembre u.s. presso l’esercizio commerciale “Ristorante pizzeria CN 45” (P.IVA XX) con sede legale in Procida, via Ottimo, 11 e sede operativa in Via Roma, 88, legalmente rappresentato dal sig. XX (di seguito, titolare del trattamento).

Dal menzionato verbale è risultata accertata la presenza, presso l’esercizio commerciale, di un impianto di videosorveglianza funzionante e composto da cinque telecamere, sia interne che esterne, le cui immagini potevano essere visionate anche da remoto dal titolare del trattamento tramite applicazione per cellulare. In particolare, le tre telecamere interne sono risultate collocate in modo da riprendere l’area mescita, il corridoio che collega la cucina alla toilette e il bancone; le due telecamere esterne, ubicate a destra e a sinistra dell’ingresso del locale, sono risultate rivolte verso l’area pubblica in concessione all’esercizio commerciale.

1.2. Al verbale di controllo è stata allegata l’autorizzazione all’installazione dell’impianto di videosorveglianza n. 592/2024 rilasciata dall’Ispettorato di Area Metropolitana di Napoli ai sensi dell’art. 4, comma 1, l. n. 300/1970. La predetta autorizzazione, rilasciata per finalità di tutela del patrimonio aziendale, è risultata subordinata all’osservanza di talune limitazioni e modalità di trattamento; in particolare, le immagini:

non possono essere visualizzate da remoto, come invece dichiarato a verbale dal titolare dell’esercizio commerciale;

non possono essere conservate per un termine superiore a 24 ore, salvo episodi di furto o danni perpetrati all’esercizio commerciale, mentre il titolare di quest’ultimo ha dichiarato di conservarle per “circa sette giorni” (cfr. verbale, p. 2); più precisamente, dai controlli effettuati è risultato che “le immagini risultano visualizzabili, in tempo reale, dal titolare dell’esercizio pubblico, mediante applicativo esterno scaricato sul proprio telefono cellulare […] ed hanno una registrazione pari a circa 10 giorni” (cfr. verbale p. 7).

Inoltre, dalla documentazione fotografica allegata al verbale di accertamento, risultano due cartelli, apposti all’esterno del locale e raffiguranti l’icona di una videocamera, ma privi dell’indicazione del titolare del trattamento e delle finalità perseguite attraverso l’uso dell’impianto.  

1.3. Alla luce degli atti trasmessi dalla Polizia locale, l’Ufficio, con nota dell’8 ottobre 2025, provvedeva a notificare al titolare del trattamento l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice, che qui si intende integralmente richiamato, in forza del quale veniva notificata la violazione delle seguenti disposizioni in relazione ai trattamenti di dati personali effettuati mediante il menzionato impianto di videosorveglianza:

l’art. 5, par. 1, lett. a) e c) e all’art. 6 del Regolamento, in relazione all’assenza di un’idonea base giuridica a legittimare il trattamento posto in essere, in considerazione del fatto che lo stesso è risultato essere effettuato in modo difforme rispetto a quanto autorizzato dall’Ispettorato del lavoro, in violazione degli articoli 114 del Codice e 4 l. n. 300/1970;

l’art. 5, par. 1, lett. a) e all’art. 13 del Regolamento, con particolare riferimento al principio di trasparenza del trattamento, con specifico riguardo all’inidoneità dell’informativa in relazione ai trattamenti effettuati mediante il descritto sistema di videosorveglianza;

l’art. 5, par. 1, lett. e) del Regolamento, in relazione alla conservazione dei dati raccolti tramite l’impianto di videosorveglianza per un termine superiore alle 24 ore, esso pure oggetto di autorizzazione da parte dell’Ispettorato.

1.4. In relazione al procedimento sanzionatorio notificato a suo carico il titolare del trattamento ha fatto pervenire al Garante scritti difensivi in data 5 novembre 2025 contestando il contenuto del verbale redatto dai Carabinieri, e dallo stesso sottoscritto in occasione delle verifiche, nonché affermando che il sistema di videosorveglianza era rivolto verso la via pubblica antistante il locale, essendo esposta al rischio di mareggiate.

2. Il quadro giuridico del trattamento effettuato

2.1. Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento (in tal senso v. già la nota del Garante del 17 dicembre 1997, in gpdp.it, doc. web n. 39849; Cass. 2 settembre 2015, n. 17440; Corte di giustizia, 11 dicembre 2014, causa C-212/13, Ryneš, punto 25), lo stesso deve essere effettuato nel rispetto della disciplina di protezione dei dati personali e, per quanto qui di diretto rilievo, dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, in particolare del principio di trasparenza, il quale si declina nel dovere di informazione gravante sul titolare del trattamento in base all’art. 13 del Regolamento.

2.2. A tale scopo, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”; di qui la necessità che il titolare del trattamento predisponga idonei cartelli informativi affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza” e, ancorché in forma semplificata, essere posti in grado di conoscerne i caratteri essenziali nonché l’identità del soggetto cui i trattamenti fanno capo (già solo per essere mesi in condizione di esercitare agevolmente i diritti di cui agli artt. 12 ss. del Regolamento).

In tal senso da tempo il Garante ha fornito proprie indicazioni (cfr. punto 3.1. del provv. 8 aprile 2010, doc. web n. 1712680; v. anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità; per una fattispecie individuale di natura analoga v. provv. 6 luglio 2023, n. 293, doc. web n. 9920881). Analogamente, il Comitato europeo per la protezione dei dati, con le Linee Guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, ha specificato che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)” (cfr. punto 7); nelle stesse linee guida si prevede inoltre che “tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, par. 7, del Regolamento). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”.

Tali informazioni dovrebbero inoltre essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi), per consentirgli “di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

2.3. Inoltre, anche alla luce delle indicazioni contenute nel provvedimento dell’8 aprile del 2010, nel caso di ripresa di aree esterne ad edifici ed immobili il trattamento deve avvenire “con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando la ripresa di luoghi circostanti e di particolari non rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)” (si veda, in particolare, il punto 6.2.2.1 del provvedimento).

Analogamente le sopra menzionate Linee Guida n. 3/2019 prevedono che, “in generale, la necessità di utilizzare la videosorveglianza per proteggere la proprietà di un titolare si arresta ai confini della proprietà stessa. Tuttavia, vi sono casi in cui la sorveglianza della proprietà non è sufficiente per una protezione efficace. In alcuni singoli casi potrebbe essere necessario estendere la videosorveglianza alle immediate vicinanze dell’area di proprietà. In tale contesto, il titolare del trattamento dovrebbe prendere in considerazione l’impiego di mezzi fisici e tecnici, ad esempio bloccando o oscurando le zone non pertinenti”.

2.4. Il suddetto trattamento deve avvenire nel rispetto dei principi contenuti nell’art. 5, par. 1, lett. a), del Regolamento, in particolare del principio di liceità, il quale si declina, in presenza di riprese che possono interessare i lavoratori, nel dovere di osservare quanto prescritto dall’art. 4, legge n. 300/1970, richiamato dall’art. 114 del Codice.

In particolare, i trattamenti di dati personali effettuati tramite impianti di videosorveglianza nell’ambito della gestione del rapporto di lavoro, in quanto a tal fine necessari (artt. 6, par. 1, lett. c) e 9, par. 2, lett. b) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed in particolare del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento).

Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Al riguardo, come è noto, il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che tra le condizioni di liceità del trattamento ha stabilito l’osservanza di quanto prescritto dall’art. 4, l. n. 300/1970. La violazione dell’art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

In base al richiamato art. 4, l. n. 300/1970 gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro.

L’attivazione e la conclusione di tale procedura di garanzia − come più volte sottolineato dalla giurisprudenza di legittimità, posta a “tutela interessi di carattere collettivo e superindividuale”, di tal che, in sua assenza la condotta del datore di lavoro lede anche gli interessi collettivi a presidio dei quali è posta (v., tra le altre, Cass. pen, sez. III, 17 dicembre 2019, n. 50919) − è quindi condizione indefettibile per l’installazione di sistemi di videosorveglianza e condizione di liceità del trattamento di dati personali che ne deriva. 

3. L’esito dell’istruttoria

3.1. Il trattamento dei dati personali effettuato nel caso di specie dal titolare del trattamento attraverso il sistema di videosorveglianza non si è informato al quadro regolatorio sopra richiamato.
Infatti, sulla base della documentazione in atti sopra richiamata è emerso che l’impianto di videosorveglianza in parola, attivo e funzionante, pur segnalato da cartelli informativi, ne è risultato carente il contenuto (con particolare riguardo all’indicazione del titolare del trattamento e alle finalità dello stesso).

Tale condotta si è quindi posta in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni previste dalla normativa, anzitutto la denominazione del titolare del trattamento, nonché del principio generale di trasparenza del trattamento di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

3.2. È stato altresì rilevato che le telecamere erano idonee a riprendere aree pubbliche in assenza di elementi idonei a comprovarne la necessità, e pertanto il trattamento risulta effettuato in violazione degli articoli 5, par. 1, lett. a) e 6 del Regolamento in quanto privo di base giuridica.

3.3. Risulta inoltre accertato che il titolare del trattamento ha installato e utilizzato sistemi di videosorveglianza presso l’esercizio commerciale in difformità dalle condizioni stabilite dall’Ispettorato del lavoro ex art. 4, l. n. 300/1970, sia con riguardo alla possibilità di accedere da remoto, tramite app installata sul proprio cellulare, sia in relazione al tempo di conservazione delle immagini, rilevatosi essere pari a dieci giorni anziché alle 24 ore autorizzate dall’Ispettorato del lavoro. Intervallo temporale peraltro superiore a quello indicato nelle linee guida sopra ricordate.

La condotta tenuta dal titolare del trattamento ha quindi integrato la violazione del principio di liceità (art. 5, par. 1, lett. a), del Regolamento in relazione agli articoli 114 del Codice e 4, l. n. 300/1970) e dell’art. 88 del RGPD quanto alla disciplina applicabile in materia.

4. Illiceità del trattamento

4.1. Alla luce di tali considerazioni, il Garante rileva l’illiceità del trattamento effettuato dal titolare del trattamento in quanto posto in essere in violazione degli articoli 5, par. 1, lett. a), c) ed e), 6 e 13 del Regolamento nonché degli articoli 114 del Codice, 4, l. n. 300/1970 e 88 del Regolamento quanto alla disciplina applicabile in materia di controlli a distanza.

Le violazioni accertate nei termini di cui in motivazione non possono essere considerate “minori”, tenuto conto della loro natura, della gravità e della durata delle violazioni, che hanno coinvolto altresì lavoratori i quali non potevano legittimamente attendersi modalità di effettuazione dei controlli a distanza difformi da quelli autorizzati dall’Ispettorato, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione, per il tramite di accertamenti svolti dai Carabinieri (v. cons. 148 del Regolamento).

Pertanto, accertata l’illiceità della condotta come sopra descritta, deve adottarsi un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria.

4.2. Dalla menzionata comunicazione del titolare del trattamento del 5 novembre 2025, ed in particolare dall’unita relazione asseverata, si evince che l’applicazione per smartphone precedentemente in uso non risulta più installata e che il sistema di registrazione delle immagini è stato impostato in modo tale da conservare le stesse non oltre le 24 ore. È stata infine installata la nuova cartellonistica completa delle indicazioni relative al titolare del trattamento e alla finalità perseguita. Dichiarazioni della cui genuinità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice.

5. Ordinanza di ingiunzione

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal titolare del trattamento per il tramite del descritto impianto di videosorveglianza risultato sprovvisto dell’informativa di cui all’art. 13 del Regolamento e dell’autorizzazione dell’Ispettorato del Lavoro.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze sotto riportate:

a. con riguardo alla natura, gravità e durata della violazione, è stata presa in considerazione la condotta del titolare del trattamento, la responsabilità connessa all’inadempimento dell’obbligo di rendere l’informativa agli interessati – peraltro nel tempo oggetto di innumerevoli provvedimenti del Garante (sia di natura individuale, sia contenenti indicazioni di natura generale: cfr., in particolare, i citati provvedimenti del 29 aprile 2004 e dell’8 aprile 2010) e di un consolidato orientamento giurisprudenziale (cfr. Cass. civ., Sez. II, 2 settembre 2015, n. 17440; Cass. civ., Sez. II, 5 luglio 2016, n. 13633) −, nonché la circostanza che la condotta illecita abbia potuto interessare un’ampia platea di interessati in ragione della natura di esercizio pubblico dei luoghi oggetto di videosorveglianza;

b. quale fattore attenuante, l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali;

c. quale fattore attenuante, la circostanza che il titolare del trattamento abbia provveduto, in tempi successivi all’accertamento, a conformare i trattamenti effettuali al quadro normativo vigente (cfr. punto 4.2).

In ragione dei suddetti elementi valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila) per la violazione delle disposizioni richiamate nel presente provvedimento.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare del trattamento individuato in premessa con violazione degli artt. 5, par. 1, lett. a), c) ed e), 6, 13 e 88 del Regolamento, unitamente agli artt. 114 del Codice e 4, l. n. 300/1970;

ORDINA

al titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; 

INGIUNGE

in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, omesso il nominativo del contravventore, la pubblicazione del presente provvedimento sul sito internet del Garante, tenuto conto della natura delle violazioni, peraltro oggetto di reiterati provvedimenti da parte del Garante, nonché in ragione del numero di soggetti coinvolti dal trattamento;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori