[doc. web n. 10211799]

Provvedimento del 18 dicembre 2025

Registro dei provvedimenti
n. 757 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del 4 aprile 2019, n. 98, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La segnalazione ricevuta e l’avvio del procedimento sanzionatorio

1.1. Con nota del 27 aprile 2023 la Polizia municipale del Comune di Portoferraio segnalava all’Autorità che nel corso di un sopralluogo eseguito in data 4 aprile 2023 a seguito di una segnalazione nei confronti di Elba Catering Distribuzioni s.r.l.s. (di seguito “titolare del trattamento”), veniva accertata l’installazione di un sistema di videosorveglianza le cui telecamere erano orientate in modo da inquadrare principalmente la pubblica via. In occasione di successive verifiche presso la società installatrice dell’impianto (XX) tale circostanza risultava confermata.

1.2. Al fine di integrare gli elementi informativi così acquisiti, l’Ufficio provvedeva a richiedere informazioni ulteriori in ordine ai trattamenti effettuati mediante il menzionato sistema di videosorveglianza e contestualmente delegava il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza ad acquisire in loco le suddette informazioni (oggetto di trasmissione con nota del 29 dicembre 2023, con riguardo agli accertamenti eseguiti in data 14 e 15 novembre 2023 presso il titolare del trattamento e presso la società installatrice).

1.3. All’esito delle verifiche veniva accertata la composizione dell’impianto, risultato constare di n. 9 telecamere, regolarmente funzionanti, che inquadrano aree interne di pertinenza del titolare del trattamento e di n. 4 telecamere esterne, di cui 3 regolarmente funzionanti, che inquadrano anche aree non di pertinenza della Società, in particolare la pubblica via. A tal proposito, il rappresentante legale della Società affermava di aver inteso riprendere “anche quella porzione di strada, prospiciente la mia proprietà, perché negli anni ho subito spesso atti di vandalismo sui miei mezzi in sosta” e “furti di piccola quantità di merce”, e consegnava ai militari una lettera che sarebbe stata spedita al Comune di Portoferraio volta a chiedere l’istituzione di una zona di carico e scarico. Rispetto a tali circostanze, nonostante l’invito dell’Ufficio del 13 febbraio 2024, il titolare del trattamento non ha fatto però pervenire alcuna documentazione volta a comprovare sia la suddetta richiesta, sia l’eventuale risposta del Comune, né è stata fornita evidenza alcuna in merito ad atti di vandalismo o ad altre motivazioni che giustificassero l’estensione delle inquadrature.

Le telecamere sono risultate collegate a due sistemi distinti: sette telecamere a un Dvr (per le quali, in assenza di monitor, non è possibile visualizzare le immagini), mentre sei sono collegate a un Nvr, presente nell’ufficio segreteria, che rende possibile visualizzare le immagini tramite l’ausilio di personale tecnico.

La società installatrice dichiarava di aver configurato, all’atto dell’installazione, anche una App per consentire la visualizzazione le immagini sul telefono cellulare del rappresentante legale della società titolare del trattamento. Quest’ultimo ha dichiarato di aver commissionato a XX l’installazione del sistema e la visualizzazione delle immagini dallo stesso rilevate senza provvedere a formalizzare il rapporto mediante apposita designazione quale responsabile del trattamento.

Nel corso degli accertamenti veniva altresì rilevato che i 3 cartelli contenenti l’informativa breve, apposti per segnalare la presenza del trattamento effettuato, non erano ben visibili e non contenevano tutte le informazioni richieste, anzitutto quelle necessarie per consentire l’identificazione del titolare del trattamento.

Infine, dai predetti verbali emergeva che, ancorché fosse stata rilevata la presenza di lavoratori la cui attività era suscettibile di essere ripresa da tale impianto di videosorveglianza, non risultavano soddisfatte le garanzie previste dall’art. 4, legge 20 maggio 1970, n. 300 e, in particolare, il titolare del trattamento risultava sprovvisto dell’autorizzazione rilasciata dall’Ispettorato del Lavoro.

1.4. Alla luce degli atti inviati dal Nucleo, l’Ufficio, con nota del 3 agosto 2024, provvedeva a notificare al titolare del trattamento l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice, che qui si intende integralmente richiamato, in relazione alla violazione degli artt. 5, par. 1, lett. a) e c), 6, 13, 28 e in relazione alla violazione degli artt. 5, par. 1, lett. a) del Regolamento nonché all’art. 114 del Codice unitamente all’art. 4, l. n. 300/1970 quanto alla disciplina applicabile in materia di controlli a distanza.

Il titolare del trattamento non faceva pervenire al Garante scritti difensivi in relazione al procedimento sanzionatorio a suo carico.

1.5. Infine, con nota del 17 ottobre 2025, l’Ufficio chiedeva all’Ispettorato del lavoro di Livorno-Pisa di conoscere le eventuali determinazioni adottate ai sensi dell’art. 4 l.n. 300/1970 nei confronti della società. In data 22 ottobre 2025 l’Ispettorato comunicava di aver accertato la violazione di tale disposizione e di aver adottato il verbale di prescrizione, specificando altresì che la società, in corso di accertamento, aveva presentato la richiesta di autorizzazione venendo ammessa al pagamento della sanzione amministrativa.

2. Il quadro giuridico del trattamento effettuato

2.1. Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, lo stesso deve essere effettuato nel rispetto della disciplina di protezione dei dati personali e, per quanto qui di diretto rilievo, dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, in particolare del principio di trasparenza, il quale si declina nel dovere di informazione gravante sul titolare del trattamento in base all’art. 13 del Regolamento.

2.2. A tale scopo, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”; di qui la necessità che il titolare del trattamento predisponga idonei cartelli informativi affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”. In tal senso da tempo il Garante ha fornito proprie indicazioni (cfr. punto 3.1. del provv. 8 aprile 2010, doc. web n. 1712680; v. anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità; per una fattispecie individuale di natura analoga v. provv. 6 luglio 2023, n. 293, doc. web n. 9920881) e, analogamente, il Comitato europeo per la protezione dei dati, con le Linee Guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, ha specificato che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)” (cfr. punto 7). Nelle stesse linee guida si prevede inoltre che “tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”.

Tali informazioni dovrebbero inoltre essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi), per consentirgli “di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

2.3. Inoltre, in base alle disposizioni del provvedimento dell’8 aprile del 2010, nel caso di ripresa di aree esterne ad edifici ed immobili il trattamento deve avvenire “con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando la ripresa di luoghi circostanti e di particolari non rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)” (si veda, in particolare, il punto 6.2.2.1 del provvedimento). Analogamente le già citate Linee Guida n. 3/2019 prevedono che, “in generale, la necessità di utilizzare la videosorveglianza per proteggere la proprietà di un titolare si arresta ai confini della proprietà stessa. Tuttavia, vi sono casi in cui la sorveglianza della proprietà non è sufficiente per una protezione efficace. In alcuni singoli casi potrebbe essere necessario estendere la videosorveglianza alle immediate vicinanze dell’area di proprietà. In tale contesto, il titolare del trattamento dovrebbe prendere in considerazione l’impiego di mezzi fisici e tecnici, ad esempio bloccando o oscurando le zone non pertinenti”.

2.4. Il suddetto trattamento dei dati deve avvenire nel rispetto dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, in particolare del principio di liceità, il quale si declina, in presenza di riprese che possono interessare i lavoratori, nel dovere di osservare quanto prescritto dall’art. 4, legge n. 300/1970, richiamato dall’art. 114 del Codice.

In particolare, i trattamenti di dati personali effettuati tramite impianti di videosorveglianza nell’ambito della gestione del rapporto di lavoro, in quanto a tal fine necessari (artt. 6, par. 1, lett. c) e 9, par. 2, lett. b) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed in particolare del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento).

Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Al riguardo, come è noto, il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che tra le condizioni di liceità del trattamento ha stabilito l’osservanza di quanto prescritto dall’art. 4, l. n. 300/1970. La violazione dell’art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

In base al richiamato art. 4, l. n. 300/1970 gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro.

L’attivazione e la conclusione di tale procedura di garanzia − come più volte sottolineato dalla giurisprudenza di legittimità, posta a “tutela interessi di carattere collettivo e superindividuale”, di tal che, in sua assenza la condotta del datore di lavoro lede anche gli interessi collettivi a presidio dei quali è posta (v., tra le altre, Cass. pen, sez. III, 17 dicembre 2019, n. 50919) − è quindi condizione indefettibile per l’installazione di sistemi di videosorveglianza e condizione di liceità del trattamento di dati personali che ne deriva. Sino alla data del suo rilascio, di cui è stata data conferma con la menzionata comunicazione dell’Ispettorato del lavoro del 22 ottobre 2025, il trattamento di dati personali nei confronti dei lavoratori è stato pertanto illecito.

2.5. Infine, in ossequio a quanto previsto dalle disposizioni del Regolamento, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni (v. le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate dal Comitato per la protezione dei dati personali il 7 luglio 2021).

L’art. 28 del Regolamento disciplina la figura del responsabile del trattamento, cioè del soggetto deputato a effettuare un trattamento per conto del titolare.

Il Regolamento disciplina dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in particolare: la natura, durata e finalità del trattamento o dei trattamenti assegnati; le categorie di dati oggetto di trattamento; le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento.

3. L’esito dell’istruttoria

3.1. Il trattamento dei dati personali effettuato nel caso di specie dal titolare del trattamento attraverso il sistema di videosorveglianza non si è informato al quadro regolatorio sopra richiamato.

Infatti, sulla base della documentazione in atti sopra richiamata è emerso che l’impianto di videosorveglianza in parola, attivo e funzionante, era segnalato da cartelli informativi inidonei.

Tale condotta si è quindi posta in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni previste dalla normativa, anzitutto la denominazione del titolare del trattamento, nonché del principio generale di trasparenza del trattamento di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

3.2. È stato altresì rilevato che le telecamere erano idonee a riprendere aree pubbliche in assenza di elementi idonei a comprovarne la necessità, e pertanto il trattamento risulta effettuato in violazione degli articoli 5, par. 1, lett. a) e 6 del Regolamento in quanto privo di base giuridica e in violazione del principio di minimizzazione dei dati ex art. 5, par. 1, lett. c) del Regolamento. 

3.3. Risulta inoltre accertato che, fino agli interventi correttivi posti in essere con la richiesta di autorizzazione, il titolare del trattamento avesse installato e utilizzato sistemi di videosorveglianza presso il punto vendita in assenza di accordo con le rappresentanze sindacali o di autorizzazione rilasciata dall’Ispettorato del lavoro ex art. 4, l. n. 300/1970. La condotta tenuta dal titolare del trattamento ha quindi integrato la violazione del principio di liceità (art. 5, par. 1, lett. a), del Regolamento in relazione agli articoli 114 del Codice e 4, l. n. 300/1970) e dell’art. 88 del RGPD quanto alla disciplina applicabile in materia.

3.4. Infine, il titolare del trattamento non ha definito il rapporto con la società incaricata di progettare, installare e gestire l’impianto di videosorveglianza, con possibilità per fini di assistenza in garanzia sull’impianto di visualizzare, anche da remoto, le immagini riprese dalle telecamere, con ciò violando l’art. 28 del Regolamento.

4. Illiceità del trattamento

Alla luce di tali considerazioni, il Garante rileva l’illiceità del trattamento effettuato dal titolare del trattamento in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a) e c), 6, 13, 28 del Regolamento nonché degli artt. 114 del Codice, 4, l. n. 300/1970 e 88 del Regolamento quanto alla disciplina applicabile in materia di controlli a distanza.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione, che ha coinvolto altresì lavoratori, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione, per il tramite di accertamenti svolti dalla Polizia locale e, quindi, dalla Guardia di finanza (v. cons. 148 del Regolamento).

Pertanto, accertata l’illiceità della condotta come sopra descritta, deve adottarsi un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria.

5. Ordinanza di ingiunzione

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal titolare del trattamento per il tramite del descritto impianto di videosorveglianza risultato sprovvisto dell’informativa di cui all’art. 13 del Regolamento e dell’autorizzazione dell’Ispettorato del Lavoro.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze sotto riportate:

a. con riguardo alla natura, gravità e durata della violazione, è stata presa in considerazione la condotta del titolare del trattamento, la responsabilità connessa all’inadempimento dell’obbligo di rendere l’informativa agli interessati – peraltro nel tempo oggetto di innumerevoli provvedimenti del Garante (sia di natura individuale, sia contenenti indicazioni di natura generale: cfr., in particolare, i citati provvedimenti del 29 aprile 2004 e dell’8 aprile 2010) e di un consolidato orientamento giurisprudenziale (cfr. Cass. civ., Sez. II, 2 settembre 2015, n. 17440; Cass. civ., Sez. II, 5 luglio 2016, n. 13633) −, nonché la circostanza che la condotta illecita abbia potuto interessare un’ampia platea di interessati in ragione della natura di esercizio pubblico dei luoghi oggetto di videosorveglianza;

b. quale fattore attenuante, l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali;

c. quale fattore attenuante, la circostanza che il titolare del trattamento abbia provveduto, nel corso dell’accertamento, a richiedere l’autorizzazione al competente Ispettorato del Lavoro.

In ragione dei suddetti elementi valutati nel loro complesso, anche in relazione all’avvenuto pagamento della sanzione amministrativa irrogata dall’Ispettorato del lavoro di Livorno-Pisa, nonché in considerazione dei principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila) per la violazione delle disposizioni richiamate nel presente provvedimento.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare del trattamento individuato in premessa con violazione degli:

artt. 5, par. 1, lett. a) e 13 nonché art. 5, par. 1, lett. c) del Regolamento;

artt. 5, par. 1, lett. a) del Regolamento unitamente agli artt. 114 del Codice e 4, l. n. 300/1970;

art. 28 del Regolamento;

ORDINA

al titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; 

INGIUNGE

in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

ai sensi degli artt. 58, par. 2, lett. d), del Regolamento, di conformare il trattamento dei dati personali al Regolamento entro trenta giorni dalla notifica del presente provvedimento, provvedendo:

a rendere l’informativa agli interessati per il tramite di idonea cartellonistica;

ad orientare le telecamere che vanno a comporre il sistema di videosorveglianza in modo da non riprendere spazi pubblici;

a disciplinare i trattamenti di dati personali effettuati dal responsabile del trattamento secondo le modalità descritte dall’art. 28, par. 3 del Regolamento;

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante, tenuto conto della natura delle violazioni, peraltro oggetto di reiterati provvedimenti da parte del Garante, nonché in ragione del numero di soggetti coinvolti dal trattamento;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori