[doc. web n. 10226639]

Provvedimento del 29 gennaio 2026

Registro dei provvedimenti
n. 43 del 29 gennaio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il Sig. , lavoratore in servizio presso il Museo Archeologico Nazionale di Campobasso (di seguito, il “Museo”), ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali.

In particolare, l’interessato ha rappresentato di essere stato destinatario di un provvedimento disciplinare, notificatogli dalla Direzione Regionale Musei Nazionale Molise, in relazione a condotte accertate mediante visione di filmati di videosorveglianza, ottenuti da telecamere che sarebbero state installate in violazione della disciplina di settore in materia di controlli indiretti dell’attività lavorativa (v. art. 4 della l. n. 300/1970) e di quella in materia di protezione dei dati (v. art. 114 del Codice), senza, peraltro, aver assicurato la necessaria trasparenza del trattamento nei confronti delle varie categorie di interessati.

2. L’attività istruttoria.

Nel corso dell’attività istruttoria, l’Autorità ha rivolto al Ministero della Cultura - Parco Archeologico di Sepino - Direzione Regionale Musei Nazionali Molise (di seguito, il “Titolare”) una richiesta d’informazioni ai sensi dell’art. 157 del Codice (v. nota del XX, prot. n. XX), a cui è stato fornito riscontro con nota del XX (prot. XX), il cui contenuto viene ripreso, per le parti d’interesse, nella parte motiva del presente provvedimento. Con nota del XX (prot. n. XX), il Titolare ha poi provveduto produrre in atti copia dell’accordo stipulato in data XX con le organizzazioni sindacali, ai sensi dell’art. 4, comma 1, della l. n. 300/1970, in relazione al sistema di videosorveglianza in questione, dunque solo successivamente all’avvio dell’attività istruttoria.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Titolare, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver lo stesso posto in essere un trattamento di dati personali mediante telecamere di videosorveglianza attivate in luoghi di lavoro in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice; per aver utilizzato filmati di videosorveglianza a fini disciplinari in assenza dei necessari presupposti di liceità, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, 13 e 88 del Regolamento, nonché 114 del Codice; per non aver garantito la necessaria trasparenza del trattamento nei confronti dei visitatori e delle altre categorie di interessati ripresi, violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento; per non aver garantito la necessaria trasparenza del trattamento nei confronti nei confronti dei lavoratori, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento; per aver omesso di svolgere una valutazione di impatto sulla protezione dei dati prima di dare avvio al trattamento, in violazione dell’art. 35 del Regolamento. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il Titolare ha presentato la propria memoria, prospettando gli argomenti difensivi ripresi in prosieguo nella parte motiva del presente provvedimento.

3. Esito dell’attività istruttoria.

3.1 La liceità del trattamento.

Con riguardo ai presupposti di liceità del trattamento, il Titolare ha dichiarato nel corso dell’istruttoria che:

- “l’attuale impianto di videosorveglianza è entrato in funzione con il Decreto di approvazione del regolamento sulla videosorveglianza del Parco archeologico di Sepino – Museo Sannitico – Direzione regionale musei Molise del 26.01.2024, che è andato a sostituire il precedente Decreto DRM n. 77 del 14.11.2023”;

- “in precedenza il sistema era obsoleto e parzialmente non funzionante […]”;

- “[…] le finalità del trattamento dei dati sono le seguenti: svolgimento delle funzioni di competenza del Parco in materia di tutela, valorizzazione, gestione e sicurezza del patrimonio culturale, in particolare prevenzione e tutela da azioni criminose e danneggiamenti nei Musei Statali previste dall’articolo 1, comma 1 del D.L. n. 433 del 14 novembre 1992 […]; garantire l’incolumità del personale interno da eventuali intrusioni di malintenzionati; supportare e coadiuvare le attività, nonché le mansioni proprie, in particolare del personale. La base giuridica del trattamento è individuabile nell’articolo 6, paragrafo 1, lettera e) del Regolamento […]”;

- “l’angolo di visuale della telecamera posizionata all’ingresso del Museo stesso e ritraente la pubblica via era impostata in modalità grandangolo […] trattasi di vicolo pedonale sito nel centro storico del Comune di Campobasso con scalinata, della sezione di circa 3,90 metri nel tratto interessato. La detta via viene dunque [ora] ritratta per la limitata visuale dovuta alla suddetta sezione stradale ristretta e quindi per esigenze di sicurezza e deterrenza da possibili intrusioni/effrazioni dalla porta secondaria di ingresso del Museo prospiciente la detta via, […essendosi] provveduto ad oscurare le parti del fabbricato privato posto di fronte all’ingresso del Museo, nonché a ridurre l’ampiezza dell’angolo di visuale”;

- “per quanto concerne l’accordo decentrato con la rappresentanza sindacale unitaria, […] ad oggi l’accordo non è ancora stato raggiunto”.

Risulta, pertanto, accertato che il Titolare ha posto in essere un trattamento di dati personali, mediante un sistema di videosorveglianza attivato nel Museo a partire dal gennaio 2024 (ma già parzialmente funzionante anche prima), per finalità di tutela del patrimonio culturale, come previsto dall’art. 2, comma 1, del d.l. 14 novembre 1992, n. 433, nonché per garantire l’incolumità del personale e per la generica finalità di “supportare e coadiuvare le attività, nonché le mansioni proprie, in particolare del personale”.

Al riguardo, deve farsi presente che il trattamento di dati personali relativi a lavoratori, mediante telecamere di videosorveglianza idonee a riprendere anche il personale che transita o sosta nei luoghi di lavoro, può essere effettuato dal datore di lavoro se esso è necessario per la gestione del rapporto di lavoro, nel rispetto del quadro giuridico applicabile, definito dalla normativa nazionale ed eurounitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), e 88 del Regolamento). In tale quadro, il datore di lavoro deve rispettare le norme nazionali di maggior tutela che regolano i trattamenti di dati personali nel contesto lavorativo (88, par. 2, del Regolamento, a cui fa rinvio l’art. 6, par. 2, del Regolamento).

Come costantemente ribadito nei provvedimenti del Garante, i trattamenti conseguenti all’impiego degli strumenti tecnologici nei luoghi ove si svolge anche l’attività lavorativa, trovano la propria base giuridica nella disciplina di settore di cui all’art. 4 della l. n. 300/1970. Tale disposizione perimetra in modo uniforme a livello nazionale l’ambito del trattamento consentito in ogni contesto lavorativo (pubblico e privato) e costituisce nell’ordinamento interno una disposizione più specifica e di maggiore garanzia di cui all’art. 88 del Regolamento, la cui osservanza - per effetto del rinvio contenuto nel Codice alle preesistenti disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (v. art. 114 “Garanzie in materia di controllo a distanza”) - è condizione di liceità del trattamento (v. art. 5, par.1, lett. a) e 6, par. 1, lett. c) del Regolamento; cfr., a livello europeo, le indicazioni contenute nelle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati il 29 gennaio 2020, par. 11, nonché le precedenti indicazioni del Gruppo di Lavoro Articolo 29 nel “Parere 2/2017 sul trattamento dei dati sul posto di lavoro”, WP 249; cfr. par. 4.1 del “Provvedimento in materia di videosorveglianza” dell’8 aprile 2010, doc. web n. 1712680, e, da ultimo, la FAQ n. 9 del Garante in materia di videosorveglianza, del dicembre 2020, doc. web 9496574, e le numerose decisioni del Garante riferite a casi concreti, tra cui, con specifico riguardo al ricorso alla videosorveglianza sui luoghi di lavoro, provv.ti 23 ottobre 2025, n. 628, doc. web n. 10196164; 10 luglio 2025, n. 410, doc. web n. 10162731; 10 aprile 2025, n. 201, doc. web n. 10139433; 11 aprile 2024, n. 234, doc. web n. 10013356; 16 novembre 2023, n. 578, doc. web n. 9963486; 16 settembre 2021, n. 331, doc. web n. 9719768; 11 marzo 2021, n. 90, doc. web n. 9582791; 5 marzo 2020, n. 53, doc. web n. 9433080; 19 settembre 2019, n. 167, doc. web n. 9147290).

Anche la giurisprudenza della Corte europea dei diritti dell’uomo, nel caso Antovic e Mirković v. Montenegro (Application n. 70838/13 del 28.11.2017), ha stabilito che il rispetto della “vita privata” deve essere esteso anche ai luoghi di lavoro pubblici (nel caso di specie, le aule universitarie), evidenziando che la videosorveglianza sul posto di lavoro pubblico può essere giustificata solo nel rispetto delle garanzie previste dalla legge nazionale applicabile, in mancanza delle quali costituisce un'interferenza illecita nella vita privata del dipendente, ai sensi dell'art. 8, par. 2, della CEDU.

Ciò comporta, pertanto, che il datore di lavoro deve rispettare le procedure di garanzia previste dall’art. 4, comma 1, della l. n. 300/1970 (accordo sindacale o, in alternativa, autorizzazione pubblica) allorquando ricorra a sistemi di videosorveglianza per il perseguimento delle finalità tassativamente ivi indicate.

Nel caso di specie, il titolare non ha espletato le procedure di garanzia previste dall’art. 4 della l. n. 300/1970 prima di attivare il sistema di videosorveglianza in questione, essendosi provveduto a stipulare un accordo con le rappresentanze sindacali, ai sensi di tale disposizione, soltanto successivamente all’avvio dell’istruttoria, in data 25 giugno 2025.

Non rileva, a tal riguardo, che, come anche sostenuto in sede di memoria difensiva, “l’attivazione e l’utilizzo del sistema di videosorveglianza, ai sensi dell’art. 1, comma 1, del d.l. 14 novembre 1992, n. 433, che impone nei musei statali l’adozione di strumenti audiovisivi di sicurezza”. Sebbene, infatti, tale disposizione preveda che “per la prevenzione e la tutela da azioni criminose e danneggiamenti, in tutti i musei e le biblioteche statali, nonché negli archivi di Stato in cui siano installati impianti audiovisivi di sicurezza è autorizzato, anche in assenza degli addetti ai servizi di vigilanza dei locali aperti al pubblico, il controllo continuativo ed ininterrotto dei beni culturali esposti o comunque raccolti e depositati”, deve considerarsi che, come evidenziato dall’Ispettorato Nazionale del Lavoro, “l’art. 4 dello Statuto e la procedura di garanzia ivi prevista, […] trova necessaria applicazione in presenza di lavoratori anche nel caso di specifiche disposizioni normative che favoriscano o impongano l’utilizzo di sistemi di videosorveglianza” (v. la circolare “Indicazioni operative in ordine al rilascio di provvedimenti autorizzativi ai sensi dell’art. 4 della legge n. 300/1970” del 14 aprile 2023, prot. n. 0002572, ove, peraltro, si richiamano, in senso conforme, anche i provv.ti del Garante 18 aprile 2013, n. 200, doc. web n. 2483269, relativo all’attivazione di un impianto di controllo audiovisivo in un Archivio di Stato, proprio ai sensi del richiamato d.l. 14 novembre 1992, n. 433, e 18 settembre 2014, n. 410, doc. web n. 3522533, relativo a sistemi di videosorveglianza installati presso sale da gioco sulla base di obblighi previsti da licenze di polizia).

Né può accogliersi l’argomento difensivo, esposto in sede di memoria, in base al quale “la finalità perseguita [dal] Titolare del […] è stata esclusivamente quella di proteggere il patrimonio museale e garantire l’incolumità del personale, senza alcuna intenzione di utilizzare il sistema di videosorveglianza per la finalità di controllo a distanza dei lavoratori o di monitoraggio individuale”. Le pur legittime esigenze di tutela del patrimonio e dell’incolumità delle persone, invocate anche del Titolare nel corso dell’istruttoria, non possono, infatti, di per sé sole, in base al quadro normativo sopra delineato, legittimare il trattamento dei dati personali mediante strumenti dai quali può derivare anche la possibilità di controllo a distanza dei lavoratori, come il sistema di videosorveglianza in questione, in assenza delle predette garanzie previste dalla legge.

Ciò chiarito, deve, poi, rilevarsi che l’angolo di visuale di una delle telecamere di videosorveglianza era stato, peraltro, impostato “in modalità grandangolo”, riprendendo una larga parte della pubblica via e un fabbricato privato posto di fronte all’ingresso del Museo, in assenza di una base giuridica che potesse giustificare il trattamento dei dati personali dei soggetti interessati. Soltanto con la nota del XX il Titolare ha, infatti, dichiarato di aver provveduto ad adottare accorgimenti tecnici per ridurre l’angolo di visuale di detta camera e a oscurare le immagini relative alle predette aree, così come poi confermato in sede di memoria difensiva (“sono stati oscurati gli angoli di ripresa eccedenti con riferimento [a una] telecamera […] posizionata all’esterno, in conformità al principio di minimizzazione dei dati”).

Alla luce delle considerazioni che precedono, deve concludersi che, fino al 25 giugno 2025 (v. la memoria difensiva, ove si conferma che “in data 25 giugno 2025, è stato tempestivamente sottoscritto l’accordo con la RSU, ai sensi dell’art. 4 della legge n. 300/1970”), il trattamento è stato posto in essere in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice (in relazione all’art. 4, comma 1, della l. n. 300/1970).

3.2. La trasparenza nei confronti degli interessati.

Allorquando siano impiegati dispositivi video, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale […] o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, cit., in particolare par. 3.1; da ultimo, v. la FAQ n. 4 del Garante in materia di videosorveglianza, cit.).

Le informazioni di primo livello (cartello di avvertimento) “dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, cit., par. 114). Inoltre, la segnaletica deve contenere anche quelle informazioni che potrebbero risultare inaspettate per l’interessato. Potrebbe trattarsi, ad esempio, della trasmissione di dati a terzi, in particolare se ubicati al di fuori dell’UE, e del periodo di conservazione dei dati. Se tali informazioni non sono indicate, l’interessato dovrebbe poter confidare nel fatto che vi sia solo una sorveglianza in tempo reale, senza alcuna registrazione di dati o trasmissione a soggetti terzi (ibidem, cit., par. 115). La segnaletica di avvertimento di primo livello deve contenere un chiaro riferimento al secondo livello di informazioni, ad esempio indicando un sito web sul quale è possibile consultare il testo dell’informativa estesa.

Per quanto attiene alla trasparenza del trattamento, in Titolare, nel corso dell’istruttoria, ha dichiarato, in particolare, che:

- “l’informativa sul trattamento dei dati personali […], allegata al Regolamento adottato con Decreto n. 2 del 26.01.2024, è stata fornita mediante pubblicazione del medesimo nella pagina web dedicata del sito istituzionale https://www.parcosepino.it/trasparenza/regolamenti, nella sezione trasparenza del Ministero della cultura, all’indirizzo: https://trasparenza.cultura.gov.it/moduli/downloadFile.php?file=oggetto_allegati/242516490354423370O__Oall_1.pdf, nonché sul Portale Amministrazione Trasparente”;

- “si produce copia degli attuali cartelli informativi […]. Si precisa che la precedente cartellonistica era stata apposta dal novembre 2023 ed è stata di recente sostituita”;

- “si allega [copia dell’informativa sul trattamento dei dati di secondo livello], precisando che l’informativa sul trattamento dei dati personali di secondo livello è raggiungibile tramite il QR-Code apposto sulla cartellonistica”.

Nel presentare la propria memoria difensiva, il Titolare ha poi dichiarato che:

- “a maggio 2025, sono stati aggiornati i cartelli informativi […]; prima del mese di maggio 2025 era comunque presente la segnaletica informativa, sebbene riferita al precedente regolamento [interno]”;

- “[…] è stato approvato [un] nuovo regolamento e pubblicata, con esso, sui siti istituzionali, l’informativa dedicata aggiornata (art. 13 [del Regolamento]) […], rendendola più facilmente accessibile”;

Il titolare ha, dunque, prodotto in atti gli “attuali cartelli informativi”, senza, tuttavia, fornire copia - nemmeno successivamente alla contestazione della violazione - dei cartelli, contenenti l’informativa di primo livello, che sarebbero stati installati nel periodo antecedente.

Quanto all’attuale cartello contenente l’informativa di primo livello, depositato in atti, deve, anzitutto, osservarsi che lo stesso è stato apposto nel Museo, in prossimità delle aree soggette a videosorveglianza, soltanto dopo l’avvio dell’istruttoria relativa al reclamo (cfr. la nota del reclamante del XX, in atti, ove si afferma che “in data lunedì 12 maggio 2025, presso il Museo […], sono stati installati cartelli informativi relativi al sistema di videosorveglianza, posizionati sia all’esterno che all’interno della struttura. Nella stessa data, è stato inoltre oscurato parzialmente l’obiettivo di una telecamera esterna presente sui monitor in sala controllo […], precedentemente orientata anche verso un’abitazione privata”).

Non risulta, pertanto, comprovato che, nel periodo antecedente al 12 maggio 2025, fosse stata fornita agli interessati un’idonea informativa di primo livello relativa ai trattamenti di dati personali posti in essere nell’area museale mediante il sistema di videosorveglianza in questione.

Deve, peraltro, farsi presente - per completezza - che l’attuale cartello informativo, fa erroneamente riferimento, probabilmente per un mero refuso, al “responsabile trattamento dati” in luogo del “responsabile della protezione dei dati” (riquadro n. 1).

Quanto all’informativa completa di secondo livello, nella versione prodotta in atti, è stato dichiarato che la stessa era “allegata al Regolamento adottato con Decreto n. 2 del 26.01.2024” e che “è stata fornita mediante pubblicazione del medesimo nella pagina web dedicata del sito istituzionale https://www.parcosepino.it/trasparenza/regolamenti, nella sezione trasparenza del Ministero della cultura, all’indirizzo: https://trasparenza.cultura.gov.it/moduli/downloadFile.php?file=oggetto_allegati/242516490354423370O__Oall_1.pdf, nonché sul Portale Amministrazione Trasparente””. Nonostante la specifica richiesta formulata dall’Ufficio nel corso dell’istruttoria, non è stato, tuttavia, chiarito in quale data tale informativa, che non riporta alcun riferimento temporale, sarebbe stata pubblicata sui predetti siti web.

In ogni caso, quanto al periodo antecedente al 12 maggio 2025, rispetto al quale non risulta comprovato l’assolvimento dell’obbligo di rendere agli interessati l’informativa di primo livello, risulta comunque compromessa in radice l’efficacia del meccanismo di trasparenza basato su informative stratificate, di primo e di secondo livello, di cui alle richiamate Linee guida del Comitato europeo per la protezione dei dati.

Nel corso dell’istruttoria, il Ministero ha poi predisposto un’informativa di secondo livello, in relazione alla quale, in sede di memoria difensiva, il Titolare ha dichiarato di aver pubblicato la stessa “sui siti istituzionali […] anche recependo i rilievi del [Garante]” formulati nel corso dell’istruttoria.

Alla luce delle considerazioni che precedono, deve concludersi che il trattamento è stato posto in essere in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento.

Infine, deve rilevarsi che non è stato comprovato l’assolvimento dell’obbligo di fornire ai lavoratori in servizio presso la sede museale, in cui è attivo il sistema di videosorveglianza in questione, una specifica informativa sul trattamento dei dati personali, risultando, così, complessivamente violati gli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento.

3.3 L’ulteriore impiego delle immagini di videosorveglianza a fini disciplinari

Come emerge dal reclamo, le immagini ottenute dal sistema di videosorveglianza in questione sono state utilizzate per muovere contestazioni disciplinari nei confronti del reclamante (v. provvedimento disciplinare del 19 dicembre 2024, in atti, ove si legge che, sulla base di una segnalazione pervenuta a mezzo email si è “ritenuto opportuno […] acquisire e conservare i filmati del sistema di videosorveglianza del Museo […] in particolare della telecamere posizionata all’ingresso del Museo e ritraente la pubblica via”, in quanto “dall’esame delle dette immagini e dal riscontro con […le] timbrature registrate […]” è emersa una condotta ritenuta rilevante a fini disciplinari).

A tal proposito, deve osservarsi che il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, incluso il principio di “limitazione della finalità”, in base al quale i dati personali devono essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (art. 5, par. 1, lett. b), del Regolamento; v. anche art. 6, par. 4, del Regolamento, in merito alle ipotesi in cui l’ulteriore finalità di trattamento può ritenersi compatibile con la finalità originaria).

A partire dal 2015, il quadro normativo vigente consente che i dati raccolti ai sensi dell’art. 4, commi 1 e 2, della l. n. 300/1970, possano essere utilizzati dal datore di lavoro per ulteriori trattamenti necessari alla gestione del rapporto di lavoro solo qualora tali dati siano stati lecitamente raccolti nel perseguimento delle finalità previste da detti commi, nonché nel rispetto delle condizioni e dei limiti stabiliti da tale disposizione e della disciplina di protezione dati, fornendo ai dipendenti ogni informazione sugli ulteriori trattamenti. In altre parole, il datore di lavoro può utilizzare i dati personali dei lavoratori per ulteriori finalità riconducibili all’ambito della gestione del rapporto (cfr. l’esemplificazione contenuta nell’art. 88 del Regolamento) nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata, avuto riguardo alla finalità principale, originariamente perseguita, e nel rispetto dei principi generali di protezione dei dati.

Ciò anche alla luce del disposto di cui all’art. 2-decies del Codice, che prevede, in via di principio, l’inutilizzabilità dei dati personali raccolti e trattati in violazione della disciplina in materia di protezione dei dati (cfr., tra i tanti, provv.ti 11 aprile 2024, n. 234, doc. web n. 10013356, in materia di videosorveglianza; 13 maggio 2021, n. 190, doc. web n. 9669974, in materia di raccolta dei dati di navigazione online del dipendente; 28 ottobre 2021, n. 384, doc. web n. 9722661, in materia di raccolta dei dati degli operatori di call center).

Il titolare del trattamento può, infatti, utilizzare i soli dati personali lecitamente raccolti, in presenza di un’idonea base giuridica, avendo previamente “soddisfatto tutti i requisiti per la liceità del trattamento originario” (cons. n. 50 del Regolamento) e, dunque, nei limiti in cui l’originaria raccolta sia stata effettuata in un quadro complessivo di liceità, anche tenuto conto “del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento”, “delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati” nonché “dell'esistenza di garanzie adeguate” (art. 6, par. 4, del Regolamento).

Considerato che la telecamera in questione riprendeva un’area d’ingresso e di uscita dal luogo di lavoro e stante l’assenza dell’attivazione delle garanzie previste dall’art. 4, comma 1, della l. n. 300/1970 (accordo sindacale o autorizzazione pubblica), l’impiego delle immagini di videosorveglianza a fini disciplinari si pone in violazione anche degli artt. 88 del Regolamento, nonché 114 del Codice. Ciò, inoltre, come detto, non avendo nemmeno il Titolare fornito ai lavoratori una specifica informativa sul trattamento dei dati personali mediante dispositivi video, anche a tutti i fini connessi al rapporto di lavoro (v. art. 4, comma 3, della l. n. 300/1970).

In sede di memoria difensiva, il Titolare ha, a tal riguardo, dichiarato che:

- “la contestata violazione, in relazione all’utilizzo delle immagini del sistema di videosorveglianza, ha carattere eccezionale e circoscritto [, in quanto] il dedotto illecito utilizzo dell’impianto di videosorveglianza è avvenuto in riferimento a un episodio specifico, senza alcuna finalità di controllo sistematico o continuativo del personale, né con modalità tali da configurare forme di monitoraggio abituale”;

- “la sanzione adottata è stata il rimprovero verbale, la misura più lieve tra quelle previste dal sistema disciplinare interno, che non ha prodotto alcun pregiudizio concreto per il reclamante, né sotto il profilo economico né matricolare”;

- “[…] l’accesso alle immagini presenti nel sistema di videosorveglianza è stato effettuato soltanto a seguito di segnalazioni gravi, ripetute e circostanziate, in un contesto lavorativo fortemente conflittuale, tale da incidere sui rapporti fra i dipendenti in servizio presso il Museo Sannitico e sulla sicurezza stessa dei lavoratori”.

Trova, pertanto, conferma la circostanza che il Titolare abbia ulteriormente trattato i dati personali acquisiti in violazione della disciplina di settore in materia di controllo a distanza anche per fini disciplinari, essendo irrilevante, ai fini del concretizzarsi della violazione, che si sia trattato di un episodio isolato e che la sanzione disciplinare conseguentemente adottata sia stata di lieve entità.

Alla luce delle considerazioni che precedono, si deve concludere che l’utilizzo ulteriore dei predetti dati per fini disciplinari sia avvenuto in maniera non conforme al principio di liceità, correttezza e trasparenza, nonché in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a) e 6 e 88 del Regolamento, nonché 114 del Codice.

3.4 La valutazione di impatto sulla protezione dei dati.

Allorquando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche e, in ogni caso, al ricorrere delle ipotesi tassativamente previste (incluso il caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”), il titolare del trattamento, prima di porre in essere lo stesso, deve svolgere una valutazione di impatto sulla protezione dei dati, al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento).

Tenuto conto delle indicazioni fornite anche a livello europeo sul punto, si ritiene che, nel caso specie, il Titolare avrebbe dovuto svolgere una valutazione di impatto sulla protezione dei dati prima di avviare il trattamento, atteso che lo stesso, oltre a risolversi in una “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”, comporta rischi specifici per i diritti e le libertà degli interessati. Ciò in considerazione tanto della particolare “vulnerabilità” degli stessi (cfr. cons. 75 e art. 88 del Regolamento e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti”) quanto del fatto che sono stati impiegati sistemi che comportano il “monitoraggio sistematico” in ambito lavorativo, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (cfr. criterio n. 3 indicato nelle predette Linee guida, ma si vedano anche i criteri 4 e 7; v. artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1, che espressamente menziona i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”). La mancata esecuzione di una valutazione di impatto sulla protezione dei dati in relazione a sistemi di videosorveglianza impiegati nel contesto lavorativo è stata, per tali motivi, oggetto di recenti provvedimenti anche correttivi e sanzionatori del Garante (v. in particolare, provv.ti 10 luglio 2025, n. 410, cit.; 10 aprile 2025, n. 201, cit.; 13 marzo 2025, n.135, doc. web n. 10128005; 16 novembre 2023, n. 578, doc. web n. 9963486; 1° dicembre 2022, n. 409, doc. web n. 9833530). Stante l’attivazione del sistema di videosorveglianza in un’area museale, la valutazione di impatto sulla protezione dei dati personali era, in ogni caso, dovuta anche sulla base di quanto previsto dall’art. 35, par. 3, lett. c), del Regolamento, essendo stata posta in essere una “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Considerato che, nel caso di specie, il titolare del trattamento non ha, invece, ritenuto necessario svolgere una valutazione di impatto sulla protezione dei dati prima di dare avvio al trattamento - tanto che, come dichiarato in sede di memoria difensiva, la stessa “è [ancora] in corso di predisposizione” - la condotta del Titolare si pone in violazione dell’art. 35 del Regolamento.

Deve, peraltro, osservarsi, quanto ai tempi di conservazione dei filmati di videosorveglianza (nel caso di specie, sette giorni, come si legge nella memoria difensiva), che le citate “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video”, adottate dal Comitato europeo per la protezione dei dati, par. 121, evidenziano che “nella maggior parte dei casi (ad esempio se la videosorveglianza serve allo scopo di rilevare atti vandalici) – cancellati dopo alcuni giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione”). Lo svolgimento di una valutazione di impatto sulla protezione dei dati, prima di dare avvio al trattamento, avrebbe consentito al titolare di effettuare le opportune valutazioni anche con riguardo a tale profilo, come elemento che concorre a definire la complessiva “necessità e proporzionalità dei trattamenti in relazione alle finalità” (art. 35, par. 7, lett. b), del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Titolare, per aver trattato dati personali dei lavoratori del Museo, incluso il reclamante, e delle altre categorie di interessati, mediante il sistema di videosorveglianza in questione, in violazione degli artt. 5, par. 1, lett. a), 6, 12, par. 1, 13, 35 e 88, par. 1, del Regolamento, nonché 114 del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, par. 1, lett. a), 6, 12, par. 1, 13, e 88, par. 1, del Regolamento, nonché 114 del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che il Titolare ha dichiarato in sede di memoria difensiva di aver provveduto a stipulare un accordo sindacale in relazione al sistema di videosorveglianza in questione e di aver adottato misure per rendere l’informativa agli interessati e svolgere la valutazione di impatto sulla protezione dei dati - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

il trattamento ha avuto luogo per un esteso arco temporale (già prima del 2024, ancorché parzialmente), avendo, pertanto, lo stesso riguardato un elevato numero di interessati, ed è stato posto in essere in modo non conforme alla disciplina di settore in materia di impiego di strumenti tecnologici sul luogo di lavoro e alle puntuali indicazioni fornite nel tempo dal Garante sia con provvedimenti a carattere generale sia con decisioni su casi specifici (art. 83, par. 2, lett. a), del Regolamento);

sebbene il trattamento non abbia riguardato dati particolari appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, hanno formato oggetto di trattamento dati personali relativi a soggetti vulnerabili, tra cui lavoratori, avendo il Titolare utilizzato le immagini di videosorveglianza, nel caso che ha riguardato il reclamante, anche fini disciplinari (cfr. art. 83, par. 2, lett. a) e g), del Regolamento);

la violazione ha carattere colposo (art. 83, par. 2, lett. b), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, tenuto conto che il Titolare è un soggetto pubblico di rilevanza nazionale, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

non risultano precedenti violazioni pertinenti commesse dal Titolare (cfr. art. 83, par. 2, lett. e), del Regolamento);

il Titolare ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento);

la violazione ha interessato una singola struttura museale nell’ambito della più complessa organizzazione del titolare sul territorio nazionale (cfr. art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 12.000 (dodicimila) per la violazione degli artt. 5, par. 1, lett. a), 6, 12, par. 1, 13, 35 e 88, par. 1, del Regolamento, nonché 114 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che il trattamento posto in essere ha avuto ad oggetto dati personali relativi anche a interessati vulnerabili nel contesto lavorativo.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Ministero della Cultura - Direzione Regionale Musei Nazionale Molise (Museo Archeologico Nazionale di Campobasso) per la violazione degli artt. 5, par. 1, lett. a), 6, 12, par. 1, 13, 35 e 88, par. 1, del Regolamento, nonché 114 del Codice, nei termini di cui in motivazione;

ORDINA

al Ministero della Cultura, in persona del legale rappresentante pro-tempore, con sede legale in Via del Collegio Romano 27 - 00186 Roma (RM), C.F. 97904380587, di pagare la somma di euro 12.000 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ministero, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 12.000 (dodicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 gennaio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori