[doc. web n. 10183236]

Provvedimento dell'11 settembre 2025

Registro dei provvedimenti
n. 492 dell'11 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del 4 aprile 2019, n. 98, in gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Segnalazione ricevuta e avvio del procedimento sanzionatorio

1.1. Con nota dell’8 ottobre 2024, la Guardia di finanza – Nucleo speciale tutela privacy e frodi tecnologiche (di seguito, “Nucleo”) ha trasmesso a questa Autorità il verbale di operazioni compiute in data 19 agosto 2024 dal Gruppo della Guardia di finanza di Orbassano nel quale veniva accertata la presenza di impianti di videosorveglianza, attivi e regolarmente funzionanti, presso due luoghi di esercizio dell’attività da parte di MY s.r.l., avente sede legale in Novara (NO), Corso Milano 41/B (Partita IVA XX) (di seguito, “titolare del trattamento”), entrambi situati in Carmagnola (TO); il primo in via Sommariva 29-1/2 (all’interno della Galleria Commerciale Bennet) e, il secondo, in via Gobetti 7. In particolare, nel primo locale (in Via Sommariva 29-1/2) sono risultate installate tre telecamere e nel secondo (in via Gobetti 7) quattro.

Dal predetto verbale (corredato dai rilievi fotografici effettuati in loco) e sulla scorta della documentazione acclusa alla trascritta nota, risultava che il trattamento dei dati personali effettuato mediante i menzionati impianti non era segnalato da idonei cartelli informativi e, relativamente ad esso, non erano soddisfatte le garanzie previste dall’art. 4, l. n. 300/1970, essendo il titolare del trattamento sprovvisto della necessaria autorizzazione dell’Ispettorato del Lavoro.  

1.2. Alla luce degli atti inviati dal Nucleo, con nota del 23 dicembre 2024 (prot. n. 1099), l’Ufficio provvedeva a notificare al titolare del trattamento l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice, che qui si intende integralmente richiamato, in relazione alla violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento, nonché dell’art. 114 del Codice unitamente all’art. 4, l. n. 300/1970 quanto alla disciplina applicabile in materia di controlli a distanza. 

1.3. Il titolare del trattamento non faceva pervenire al Garante scritti difensivi in relazione al procedimento sanzionatorio a suo carico.  

2. Il quadro giuridico del trattamento effettuato

2.1. Posto che l’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, lo stesso deve essere effettuato nel rispetto della disciplina di protezione dei dati personali e, per quanto qui di diretto rilievo, dei principi contenuti nell’art. 5, par. 1, lett. a) del Regolamento, in particolare del principio di trasparenza, il quale si declina nel dovere di informazione gravante sul titolare del trattamento in base all’art. 13 del Regolamento.

2.2. A tale scopo, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”; di qui la necessità che il titolare del trattamento predisponga idonei cartelli informativi affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza” (v. provv. 8 aprile 2010, doc. web n. 1712680). In tal senso da tempo il Garante ha fornito proprie indicazioni (cfr., in particolare, punto 3.1. del richiamato provv. 8 aprile 2010; v. anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità; per una fattispecie individuale di natura analoga v. provv. 6 luglio 2023, n. 293, doc. web n. 9920881).

Analogamente, il Comitato europeo per la protezione dei dati, con le Linee Guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, ha specificato che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento stesso (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)”. Nelle stesse linee guida si prevede inoltre che “tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, par. 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”. Tali informazioni dovrebbero inoltre essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi), per consentirgli “di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

2.3. Inoltre, per quanto qui di diretto rilievo, il trattamento deve altresì svolgersi nel rispetto del principio di liceità contenuto nell’art. 5, par. 1, lett. a) del Regolamento, il quale si declina nel dovere di osservare quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300, richiamato dall’art. 114 del Codice.

In particolare, i trattamenti di dati personali effettuati tramite impianti di videosorveglianza nell’ambito della gestione del rapporto di lavoro, in quanto a tal fine necessari (artt. 6, par. 1, lett. c) e 9, par. 2, lett. b) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed in particolare del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento). 
Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Al riguardo, come è noto, il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che tra le condizioni di liceità del trattamento ha stabilito l’osservanza di quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300. La violazione dell’art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

2.4. In base al richiamato art. 4, l. n. 300/1970 gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali ovvero, nel caso in cui non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro.

L’attivazione e la conclusione di tale procedura di garanzia è dunque condizione indefettibile per l’installazione di sistemi di videosorveglianza e condizione di liceità del trattamento di dati personali che ne deriva. La violazione di tale disposizione è, peraltro, penalmente sanzionata (v. art. 171 del Codice).

La predetta procedura di garanzia, come più volte sottolineato dalla giurisprudenza di legittimità, “tutela interessi di carattere collettivo e superindividuale”, per cui, nel caso in cui il datore di lavoro non la attivi, la sua condotta lederà gli interessi collettivi a presidio dei quali è posta (v., tra le altre, Cass. pen, sez. III, 17 dicembre 2019, n. 50919). Solo attraverso tale procedura, quindi, per il tramite delle rappresentanze sindacali o dell’Ispettorato del lavoro, potrà essere correttamente valutata l’idoneità a ledere la dignità dei lavoratori di strumenti tecnologici dai quali possa derivare un controllo a distanza dei lavoratori e potrà essere verificata l’effettiva rispondenza di detti impianti alle esigenze tecnico-produttive o di sicurezza. Come è noto, l’inderogabilità della citata procedura risponde anche alla situazione di sproporzione esistente tra la posizione datoriale e quella dei lavoratori.

2.5. Di qui l’illiceità, in relazione agli artt. 5, par. 1, lett. a) e 114 del Codice, del trattamento dei dati personali effettuato mediante sistemi di videosorveglianza.

3. L’esito dell’istruttoria

3.1. Il trattamento dei dati personali effettuato nel caso di specie dal titolare del trattamento attraverso i menzionati sistemi di videosorveglianza non si è informato al quadro regolatorio sopra richiamato. Infatti, sulla base della documentazione in atti sopra richiamata è emerso che l’informativa relativa ai trattamenti non è stata fornita mediante idonei cartelli informativi, ancorché si potesse inferire la circostanza dell’attività di videosorveglianza in ragione della presenza di schermi visibili al pubblico (quando attivi) che consentiva l’immediata riproduzione delle immagini riprese.

Ciononostante, tale condotta si pone in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento – circostanza che non ricorre nel caso della mera riproduzione delle immagini su un monitor accessibile il quale non solo non assolve al contenuto informativo individuato nell’art. 13 del Regolamento (e finanche nell’informativa semplificata cui si riferiscono le linee guida sopra ricordate), ma pure potrebbe non risultare sempre attivo (per le ragioni più varie) − nonché del principio generale di trasparenza del trattamento di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

3.2. Come anticipato, ulteriore profilo di violazione emerso dalle verifiche effettuate consiste nella rilevata assenza di autorizzazione da parte del competente Ispettorato del lavoro, necessaria ai sensi dell’art. dell’art. 4, l. n. 300/1970 e dall’art. 114 del Codice con riguardo all’installazione dei menzionati sistemi di videosorveglianza risultati idonei a controllare a distanza l’attività dei lavoratori, di tal che deve ritenersi anche sotto tale profilo che il trattamento effettuato si colori di illiceità (anche ai sensi art. 5, par. 1, lett. a) del Regolamento).

4. Illiceità del trattamento

Alla luce di tali considerazioni, l’Autorità rileva l’illiceità del trattamento effettuato dal titolare del trattamento in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento relativamente all’inidoneità dell’informativa resa agli interessati nonché degli artt. 5, par. 1, lett. a) del Regolamento unitamente all’art. 114 del Codice e 4, l. n. 300/1970, in quanto sprovvisto della necessaria autorizzazione dell’Ispettorato del Lavoro.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della durata e della gravità e della violazione − che ha interessato anche i lavoratori −, del numero potenzialmente elevato dei soggetti interessati, considerata la dislocazione degli esercizi commerciali, nonché della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (v. cons. 148 del Regolamento).

Pertanto, accertata l’illiceità della condotta come sopra descritta, deve adottarsi un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria.

5. Ordinanza di ingiunzione

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dal titolare del trattamento per il tramite del descritto impianto di videosorveglianza risultato sprovvisto dell’informativa di cui all’art. 13 del Regolamento e dell’autorizzazione dell’Ispettorato del Lavoro.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), nel caso di specie sono state tenute in considerazione le circostanze sotto riportate:

a. quale fattore aggravante, la gravità della violazioni rilevate, concernenti principi generali di protezione dei dati personali – peraltro nel tempo oggetto di innumerevoli provvedimenti del Garante (sia di natura individuale, sia contenenti indicazioni di natura generale: cfr., in particolare, i citati provv.ti del 29 aprile 2004 e dell’8 aprile 2010) e di un consolidato orientamento giurisprudenziale (cfr. Cass. civ., Sez. II, 2 settembre 2015, n. 17440; Cass. civ., Sez. II, 5 luglio 2016, n. 13633) −, la circostanza che le violazioni siano della stessa natura e siano state poste in essere presso entrambi gli esercizi commerciali, nonché la circostanza che la condotta illecita abbia potuto interessare un’ampia platea di interessati in ragione della natura di esercizio pubblico dei luoghi oggetto di videosorveglianza e della loro collocazione;

b. quale fattore attenuante, l’assenza di precedenti specifici a carico del titolare del trattamento relativi a violazioni della disciplina in materia di protezione dei dati personali nonché la rilevata presenza di monitor all’interno degli esercizi commerciali, ancorché insufficiente a soddisfare i requisiti di legge, volti a segnalare la videosorveglianza in essere;

c. quale fattore aggravante, la mancata cooperazione con l’Autorità nel corso del procedimento, non avendo il titolare dato evidenza alcuna delle misure adottate al fine di porre rimedio alle violazioni oggetto di contestazione.

In ragione dei suddetti elementi, valutati nel loro complesso, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000,00 (seimila) per la violazione degli artt. 5, par. 1, lett. a), 13 del Regolamento e 114 del Codice unitamente all’art. 4, l. n. 300/1970.

Entro tale cornice, si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet dell’Autorità. Ciò in considerazione delle violazioni poste in essere, in entrambi gli esercizi commerciali, suscettibili di interessare un largo numero di persone.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del descritto trattamento effettuato dal titolare individuato in premessa (al punto 1) con violazione degli artt. 5, par. 1, lett. a), in relazione al principio di trasparenza, e 13 del Regolamento, nonché dell’art. 5, par. 1, lett. a) del Regolamento, con riguardo al principio di liceità del trattamento, e degli artt. 114 del Codice e 4 della l. n. 300/1970;

ORDINA

al titolare del trattamento di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione; 

INGIUNGE

al medesimo titolare del trattamento di pagare la somma di euro 6.000,00 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come di seguito indicato.

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante, tenuto conto della natura delle violazioni, oggetto di reiterati provvedimenti da parte del Garante, nonché in ragione del numero di soggetti coinvolti dal trattamento;

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento. 

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10, d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Fanizza