g-docweb-display Portlet

Provvedimento del 28 maggio 2026 [10265423]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10265423]

Provvedimento del 28 maggio 2026

Registro dei provvedimenti
n.  395 del 28 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del 4 aprile 2019, n. 98, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La segnalazione ricevuta e l’avvio del procedimento sanzionatorio

1.1. Con comunicazione del 24 ottobre 2025 (pervenuta il successivo 28 ottobre), la Questura di Roma – commissariato di P.S. Trastevere ha trasmesso a questa Autorità il verbale di operazioni compiute redatto in relazione al sopralluogo del 24 ottobre 2025 presso il ristorante all’insegna “Carlo Menta”, di cui è titolare Ristorante Carlo Menta s.r.l. (P.IVA XX), sito in Roma, via della Lungaretta 101. 

Nel predetto verbale è stata accertata l’effettuazione di trattamenti di dati personali per il tramite di un impianto di videosorveglianza in ragione della riscontrata assenza di informativa agli interessati nella forma di cartellonistica volta a rendere edotti gli interessati della presenza di detto impianto.

In particolare, nella menzionata nota di trasmissione della Questura del 24 ottobre 2025 si evidenzia “la mancanza all’interno e all’esterno dei locali di idonei cartelli informativi” e, del pari, nel documento “Check list videosorveglianza” allegato al verbale di attività redatto lo stesso 24 ottobre 2025 ad espressa domanda relativa alla presenza di cartelli informativi viene dato riscontro “negativo”, con la precisazione che il sistema di videosorveglianza era funzionante con registrazione delle immagini  da parte delle telecamere “interne ed esterne con copertura di tutta l’attività fruibile dai clienti e dei percorsi di transito dei dipendenti”.

In base all’ulteriore documentazione trasmessa all’Ufficio, segnatamente l’autorizzazione all’installazione del sistema di videosorveglianza da parte del competente Servizio Ispezione del lavoro di Roma (del 2 aprile 2013), risulta che il sistema di videosorveglianza è composto da 7 telecamere, presenti sia nelle sale e negli ambienti interni del ristorante come pure all’esterno dello stesso.

1.2. In considerazione degli elementi così acquisiti, con nota del 16 febbraio 2026 (prot. n. 23517), l’Ufficio provvedeva a notificare al titolare del trattamento l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice, che qui si intende richiamato, in relazione alla violazione del principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 13 del Regolamento. 

1.3. Successivamente, con nota del 2 marzo 2026, il titolare del trattamento ha inviato al Garante scritti difensivi in relazione al procedimento sanzionatorio a suo carico, dichiarando che:

- “al momento del controllo da parte degli operanti del Commissariato Trastevere, all’ingresso del locale era, ed è ancor oggi presente un cartello adesivo posto sul vetro destro della porta d’ingresso del locale indicante chiaramente la presenza di un’area videosorvegliata”;  

- “che in quel frangente di tempo detto avviso era stato parzialmente coperto dalla credenza mobile posta all’esterno del locale ed utilizzata per riporre la biancheria pulita”;

- che tale mobilio “era stato mosso poco prima per delle operazioni di pulizia e non riposizionato al suo posto”;

- che tale incompletezza formale non ha inciso concreta conoscibilità del trattamento da parte degli interessati, in quanto tale avviso, seppur parzialmente coperto, è ad altezza viso di coloro che entrano nel locale”;

- di aver, dopo l’accesso degli operanti, “ulteriormente rafforzato l’informativa sulla presenza dell’impianto di videosorveglianza, tanto all’esterno, su via della Lungaretta che su piazza Arquati, tanto all’interno”.   

2. Il quadro giuridico del trattamento effettuato

Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, lo stesso deve essere effettuato nel rispetto della disciplina di protezione dei dati personali e, per quanto qui di diretto rilievo, dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, in particolare del principio di trasparenza, il quale si declina nel dovere di informazione gravante sul titolare del trattamento in base all’art. 13 del Regolamento. 

A tale scopo, quindi, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”; di qui la necessità che il titolare del trattamento predisponga idonei cartelli informativi affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”. 

In tal senso da tempo il Garante ha fornito proprie indicazioni (cfr. punto 3.1. del provv. 8 aprile 2010, doc. web n. 1712680; v. anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità; per una fattispecie individuale di natura analoga v. provv. 6 luglio 2023, n. 293, doc. web n. 9920881) e, analogamente, il Comitato europeo per la protezione dei dati, con le Linee Guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, ha specificato che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento cfr. (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)” (cfr. punto 7). Nelle stesse linee guida si prevede inoltre che “tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”. 

Tali informazioni dovrebbero inoltre essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi), per consentirgli “di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

3. L’esito dell’istruttoria

3.1. Il trattamento dei dati personali effettuato nel caso di specie dal titolare del trattamento attraverso il sistema di videosorveglianza non si è informato al quadro regolatorio sopra richiamato. Infatti, sulla base della comunicazione della Questura di Roma nonché del menzionato verbale di accertamento è emerso che l’impianto di videosorveglianza in parola, attivo e funzionante (la cui planimetria con collocazione degli apparati di ripresa è allegata all’autorizzazione rilasciata dal competente Ispettorato del lavoro), era sprovvisto di cartelli informativi.

Tale condotta si pone in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento, nonché del principio generale di trasparenza del trattamento di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

3.2. Tale circostanza non risulta infirmata dalle allegazioni del titolare del trattamento riportate al punto 1.3. Anzitutto in ragione della univoca e divergente dichiarazione resa dal personale della Questura che ha provveduto all’esecuzione degli accertamenti in loco e, non diversamente, delle conformi e circostanziate dichiarazioni rese a verbale dal rappresentante della società in sede di verifiche ispettive (sopra riportate al punto 1.1.), occasione nel corso della quale ben il rappresentante del titolare del trattamento avrebbe potuto (e dovuto) richiamare l’attenzione sulla vetrofania cui si fa riferimento (nonostante l’asserita contingente non visibilità della stessa).

Peraltro, indipendentemente dalla possibilità che la vetrofania cui il titolare del trattamento fa riferimento nella propria comunicazione del 2 marzo 2026 sia stata apposta in tempi successivi rispetto all’esecuzione delle verifiche in loco, come pure espressamente dichiarato rispetto ad altre vetrofanie di cui si è offerta documentazione fotografica in allegato alla menzionata comunicazione del 2 marzo, deve rilevarsi che ciascuna di esse è inidonea a soddisfare non solo i requisiti previsti dall’art. 13 del Regolamento, ma anche i requisiti minimi richiesti per le informative, pur semplificate, indicati nelle linee guida menzionate al punto 2. Le vetrofanie in parola, infatti, presentano solo il pittogramma della telecamera unitamente all’avvertimento che l’area posta in prossimità del cartello è videosorvegliata, senza tuttavia alcuna indicazione ulteriore, anzitutto in relazione alle informazioni di primo livello dalle quali si dovrebbero univocamente evincere “i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato” (cfr. Linee Guida n. 3/2019, punto 114 e punto 115 con riguardo al modello di cartellonistica, reso altresì disponibile in https://www.garanteprivacy.it/temi/videosorveglianza; analogamente, v. già il facsimile allegato al provv. 8 aprile 2010, doc. web n. 1712680).

Né tale vetrofania (ove pure presente, circostanza come detto confutata dalle risultanze degli accertamenti) sarebbe stata comunque sufficiente a rendere avvertiti gli interessati delle aree oggetto di videosorveglianza, sia con riguardo agli spazi interni nei quali il sistema opera e ancor più con riguardo agli spazi esterni, non potendo la stessa risultare chiaramente visibile a quanti si trovano a transitare o sostare nelle aree videosorvegliate.

4. Illiceità del trattamento

4.1. Alla luce di tali considerazioni, si confermano le valutazioni preliminari dell’Ufficio in ordine ai profili relativi all’omessa informativa in relazione al trattamento di dati personali occasionato dalle riprese. Ne deriva che la condotta come descritta si è posta in contrasto con il principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 13 del Regolamento. 
 
4.2. Tanto premesso, occorre, tuttavia tenere in considerazione taluni elementi emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta tenuta dal titolare del trattamento (v. cons. 148 del Regolamento) in capo al quale non risultano precedenti violazioni pertinenti, rispetto al contesto oggetto di reclamo, commesse dall’impresa (art. 83, par. 2, lett. e), del Regolamento).

4.3. Alla luce di quanto rappresentato e dei termini complessivi della vicenda in esame, si ritiene pertanto di adottare un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria in ordine alla violazione delle disposizioni sopra richiamate al punto 4.1. 

5. Ordinanza di ingiunzione

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal titolare del trattamento, per mezzo del descritto impianto di videosorveglianza, in assenza dell’informativa di cui all’art. 13 del Regolamento. 

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze sotto riportate:

a. con riguardo alla natura, gravità e durata della violazione, è stata presa in considerazione la natura colposa della condotta del titolare del trattamento in relazione all’inadempimento dell’obbligo di rendere l’informativa agli interessati – nel tempo oggetto di innumerevoli provvedimenti del Garante (sia di natura individuale, sia contenenti indicazioni di natura generale: cfr., in particolare, i citati provv.ti del 29 aprile 2004 e dell’8 aprile 2010) e di un consolidato orientamento giurisprudenziale (cfr. Cass. civ., Sez. II, 2 settembre 2015, n. 17440; Cass. civ., Sez. II, 5 luglio 2016, n. 13633) −, nonché la circostanza che la condotta illecita abbia potuto interessare un’ampia platea di interessati in ragione della natura di esercizio pubblico dei luoghi oggetto di videosorveglianza;

b. quale fattori attenuanti, sia l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali, sia l’attività di cooperazione dello stesso che ha dichiarato, fornendone documentazione fotografica, di aver installato nuovi cartelli informativi all’esterno e all’interno dei locali videosorvegliati (ancorché gli stessi non presentino ancora gli elementi minimi sopra indicati al punto 3.2).

In ragione dei suddetti elementi, valutati nel loro complesso, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.400,00 (millequattrocento) per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare del trattamento individuato in premessa (al punto 1) con violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento;

ORDINA

al titolare del trattamento di pagare la somma di euro 1.400,00 (millequattrocento) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione; 

INGIUNGE

al medesimo titolare del trattamento:

- ai sensi dell’art. 58, par. 2, lett. i) del Regolamento di pagare la somma di euro 1.400,00 (millequattrocento), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si rappresenta in proposito che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come di seguito indicato;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare la cartellonistica semplificata relativa all’informativa agli interessati dei trattamenti effettuati mediante il sistema di videosorveglianza integrando il contenuto informativo minimo della stessa con riguardo quantomeno all’indicazione del titolare del trattamento e delle finalità perseguite, tenendo conto delle indicazioni contenute nelle linee guida indicate al punto  2 e collocando opportunamente detta cartellonistica in prossimità delle aree interne ed esterne oggetto di sorveglianza in modo da risultare chiaramente percepibili dagli interessati;

DISPONE

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante, tenuto conto della natura delle violazioni, oggetto di reiterati provvedimenti da parte del Garante, nonché in ragione del numero di soggetti coinvolti dal trattamento; 

- ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori