La diffusione degli impianti di videosorveglianza in negozi, stabilimenti e locali pubblici ha reso urgente il tema della conformità normativa. Non basta installare telecamere per sentirsi al riparo: il quadro normativo europeo e nazionale impone obblighi di trasparenza, minimizzazione e sicurezza che incidono sulla segnaletica, sulle basi giuridiche e sulle misure tecniche adottate. Recenti provvedimenti dell’Autorità evidenziano come errori elementari possano generare sanzioni e ordinanze di adeguamento.
Un caso emblematico è il Provvedimento n. 167 del 12 marzo 2026, che prende in esame una società di ristorazione ispezionata il 15 agosto 2026 e multata per una serie di carenze: informativa irregolare, impianto attivo senza preventiva autorizzazione INL e accesso alle immagini non protetto. Quella vicenda rimarca come la pluralità degli ambienti sorvegliati richieda una gestione puntuale e documentata della compliance.
Perché la segnaletica è un requisito sostanziale
Le Linee Guida EDPB n. 3/2019 hanno codificato l’approccio a più livelli per l’informativa nella videosorveglianza. Il primo livello, l’informativa di primo livello, è il cartello visibile prima di entrare nell’area sorvegliata: non è un mero formalismo, ma lo strumento che garantisce la trasparenza prevista dall’art. 5 GDPR e dall’art. 13 GDPR. In pratica, ogni persona deve poter sapere che sta per accedere a una zona monitorata e quali siano le finalità e i contatti del titolare prima di essere ripresa.
Requisiti pratici del cartello
Un cartello conforme deve essere posizionato in modo che l’interessato lo veda prima del raggio di ripresa, approssimativamente all’altezza degli occhi, e contenere un set minimo di informazioni: icona di videosorveglianza, identità del titolare, finalità del trattamento, diritti degli interessati e riferimento all’informativa completa (ad esempio tramite QR code). Occorre inoltre indicare il periodo di conservazione o la dicitura “solo visualizzazione live” se non c’è registrazione. La regola pratica è semplice: aree con accesso autonomo richiedono cartelli distinti.
Il profilo lavoristico: art. 4 L. 300/1970 e titoli abilitativi
Quando le telecamere riprendono luoghi in cui lavorano dipendenti, si attiva la disciplina dello Statuto dei Lavoratori. L’art. 4 L. 300/1970 prevede che l’installazione di impianti che possano consentire il controllo a distanza richieda o un accordo sindacale o l’autorizzazione INL. La norma si applica anche se il controllo è solo potenziale: la presenza di lavoratori nel campo di ripresa è sufficiente a chiamare in causa questi obblighi, indipendentemente dalla finalità dichiarata.
Conseguenze pratiche dell’inosservanza
L’attivazione di un impianto senza il previsto titolo abilitativo determina l’illiceità del trattamento ai sensi del GDPR e comporta l’inutilizzabilità delle immagini come prova disciplinare. Nel caso oggetto del provvedimento citato, l’impianto era operativo al momento dell’ispezione del 15 agosto 2026, mentre l’autorizzazione INL è stata rilasciata solo il 31 ottobre 2026: il periodo intermedio è stato qualificato come trattamento illecito, con le implicazioni sanzionatorie e probatorie descritte dalla normativa.
Sicurezza tecnica: accessi, log e responsabilità
Le misure tecniche previste dall’art. 32 GDPR non sono opzionali. Proteggere l’accesso alle immagini con credenziali personalizzate, mantenere log degli accessi, separare i ruoli e cifrare o proteggere fisicamente i supporti sono azioni di base per ridurre i rischi. Nel provvedimento esaminato l’accesso alle immagini non era protetto da autenticazione, una lacuna che il Garante ha censurato e per la quale ha imposto misure correttive entro 30 giorni.
In termini pratici, ogni sistema deve prevedere la gestione degli account autorizzati, la conservazione di registri delle consultazioni e la configurazione di una retention automatica che cancelli le immagini al termine del periodo dichiarato. Tali accorgimenti trasformano la videosorveglianza da rischio potenziale in strumento compatibile con i principi di minimizzazione e accountability.
In sintesi, tre insegnamenti emergono con chiarezza: a) la segnaletica informativa deve essere puntuale e collocata prima di ogni accesso autonomo; b) il titolo abilitativo ex art. 4 L. 300/1970 è condizione di liceità quando sono coinvolti i lavoratori; c) la safety tecnica dell’accesso alle immagini è un obbligo che richiede implementazione e documentazione. Per le PMI la compliance è fattibile con un piano strutturato: mappatura delle aree, cartellonistica aggiornata, verifica preventiva dei titoli abilitativi, configurazione dei sistemi e aggiornamento del Registro dei trattamenti. Il costo della conformità rimane spesso inferiore al prezzo di una sanzione o di un danno reputazionale.
