Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Diritto civile
Privacy e Cybersecurity

Videosorveglianza e GDPR: il Garante privacy e gli obblighi di conformità

Chi di videosorveglianza ferisce, di videosorveglianza perisce: sembra questo ciò che ci insegna il provvedimento n. 772/2024 del Garante Privacy

Chi di videosorveglianza ferisce, di videosorveglianza perisce: sembra questo ciò che ci insegna il provvedimento n. 772 del 12 dicembre 2024 del Garante per la Protezione dei Dati Personali, l’ennesimo che non solo offre un esempio concreto di violazioni e conseguenti sanzioni relative all’uso non conforme di un sistema di videosorveglianza, ma che ci ricorda, ancora, come va gestito questo invasivo trattamento dei dati personali.
Se è vero, come è vero, che installare telecamere di sorveglianza è una pratica sempre più diffusa ed accettata in molte realtà aziendali e private, anzi addirittura considerata fondamentale per la sicurezza personale e dei propri beni, non va dimenticato che la sua implementazione deve avvenire nel rispetto della normativa sulla protezione dei dati personali.
L’analisi di questo caso deciso dal Garante consente di comprendere quali siano le criticità più frequenti e quali misure adottare per garantire la conformità al Regolamento UE 2016/679 (GDPR). Per approfondimenti sul tema, abbiamo organizzato il corso di formazione “Videosorveglianza intelligente: obblighi e adempimenti per pubblici e privati”

Indice

1. Il provvedimento n. 772/2024 e le violazioni riscontrate


1.1. L’installazione del sistema di videosorveglianza
Il provvedimento in esame segue le attività ispettive svolte presso l’hotel Petrarca di Montegrotto Terme (PD), il quale, a seguito di diversi furti subiti nel tempo, aveva installato un sistema di videosorveglianza all’interno dei propri locali,
Tuttavia, durante l’accertamento ispettivo, emergevano gravi carenze documentali e operative:

  • Nessuno degli operatori presenti era in grado di fornire dettagli precisi su numero di telecamere, posizionamento, angolo di visuale, registrazione delle immagini e tempi di conservazione.
  • La gestione del sistema era affidata a una ditta esterna (M.P. Security s.n.c.), l’unica autorizzata ad accedere alle immagini registrate.
  • L’informativa fornita agli interessati risultava incompleta e non conforme ai requisiti del GDPR.
  • Il trattamento non era stato registrato nel registro dei trattamenti né era stata effettuata una valutazione d’impatto sulla protezione dei dati (DPIA).

1.2. Le violazioni contestate
Dall’istruttoria del Garante emergevano quindi diverse violazioni del GDPR:

  • Mancata informativa adeguata (artt. 12 e 13 GDPR): l’hotel non aveva fornito agli interessati un’informativa chiara, completa e conforme ai principi di trasparenza e correttezza.
  • Assenza di DPIA (art. 35 GDPR): considerata la potenziale invasività del trattamento, l’assenza di una valutazione d’impatto sulla protezione dei dati ha rappresentato una violazione grave.
  • Mancata registrazione nel Registro dei trattamenti (art. 30 GDPR): il trattamento non era stato documentato, impedendo una corretta gestione e monitoraggio della conformità normativa.

1.3. La decisione del Garante e le sanzioni applicate
Il Garante ha ordinato all’hotel Petrarca di adottare misure correttive, tra cui:

  • Adeguare l’informativa fornita agli interessati, rendendola conforme agli articoli 12 e 13 GDPR.
  • Effettuare una DPIA, valutando il rischio per i diritti e le libertà delle persone coinvolte.
  • Inserire il trattamento dei dati nel Registro dei trattamenti, garantendo la tracciabilità e la conformità alle norme del GDPR.

Inoltre, è stata imposta una sanzione amministrativa pecuniaria, il cui importo non è stato reso noto nel provvedimento ma che, in base all’art. 83 GDPR, potrebbe potenzialmente arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale dell’impresa.

Potrebbero interessarti anche:

2. Videosorveglianza e compliance: come evitare sanzioni


Il caso dell’Hotel Petrarca dimostra come la gestione non conforme di un sistema di videosorveglianza possa portare a sanzioni rilevanti. Per garantire la compliance, è fondamentale adottare una serie di misure tecniche e organizzative adeguate.

2.1. Base giuridica del trattamento
Il trattamento delle immagini raccolte tramite videosorveglianza deve basarsi su una base giuridica valida tra quelle previste dall’art. 6 GDPR:

  • Interesse legittimo del titolare del trattamento (es. protezione dei beni e delle persone);
  • Obbligo legale (es. normative sulla sicurezza sul lavoro);
  • Consenso esplicito (es. videosorveglianza in luoghi privati con accesso regolamentato).

2.2. Obblighi informativi
Il titolare del trattamento deve fornire un’informativa chiara e completa, contenente:

  • Identità e dati di contatto del titolare del trattamento;
  • Finalità e base giuridica del trattamento;
  • Eventuali destinatari delle immagini (es. forze dell’ordine);
  • Periodo di conservazione dei dati;
  • Diritti dell’interessato (accesso, rettifica, opposizione, cancellazione, limitazione del trattamento).

cartelli di videosorveglianza devono essere visibili e contenere un rimando all’informativa estesa.

2.3. Valutazione d’impatto sulla protezione dei dati (DPIA)
Secondo le Linee Guida 3/2019 dell’EDPB, la DPIA è obbligatoria quando la videosorveglianza:

  • Comporta un monitoraggio sistematico su larga scala;
  • È utilizzata in spazi accessibili al pubblico;
  • Può comportare rischi elevati per i diritti e le libertà degli interessati.

2.4. Conservazione e accesso ai dati
Le immagini devono essere conservate per un periodo limitato, generalmente non superiore a 24-72 ore, salvo casi eccezionali. L’accesso deve essere riservato a personale autorizzato e deve essere tracciato.

2.5. Registro dei trattamenti
Tutti i trattamenti di videosorveglianza devono essere inseriti nel Registro dei trattamenti, indicando:

  • Finalità;
  • Base giuridica;
  • Destinatari dei dati;
  • Tempi di conservazione;
  • Misure di sicurezza adottate.

2.6. Misure di sicurezza e protezione dei dati
I sistemi di videosorveglianza devono garantire la sicurezza e l’integrità delle immagini raccolte, attraverso:

  • Crittografia delle immagini;
  • Controlli di accesso basati su ruoli e autorizzazioni;
  • Audit log per monitorare gli accessi e le operazioni eseguite.

3. Conclusioni


L’installazione e la gestione di un impianto di videosorveglianza richiede un approccio strutturato e conforme alle normative vigenti. Le sanzioni comminate dal Garante nel caso in commento evidenziano come la mancata osservanza degli obblighi normativi possa avere conseguenze economiche e reputazionali rilevanti.
Oltre alla compliance normativa, è essenziale adottare una strategia di governance chiara, che preveda:

  • Un’adeguata formazione del personale che gestisce i sistemi di videosorveglianza;
  • Audit periodici e controlli interni per verificare il rispetto della normativa;
  • L’adozione di tecnologie innovative che minimizzino il rischio di violazioni.

Solo un approccio proattivo e integrato consente di utilizzare la videosorveglianza in modo efficace, senza incorrere in violazioni e sanzioni, proteggendo al tempo stesso la privacy degli interessati.

Formazione in materia


In materia consigliamo il corso registrato “Videosorveglianza intelligente: obblighi e adempimenti per pubblici e privati”
Il corso affronta in modo approfondito gli obblighi, gli adempimenti necessari e le misure tecniche e organizzative da implementare per i soggetti pubblici e privati che adottano sistemi di videosorveglianza tradizionali e intelligenti.
>>>Per info ed iscrizioni<<<

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Focus
Approfondimenti
Privacy e Cybersecurity
In GU l’adeguamento al regolamento DORA per istituti finanziari e assicurativi

Sulla Gazzetta Ufficiale n. 58 dell’11 marzo 2025 è stato pubblicato il decreto legislativo per l’ad…

Luisa Di Giacomo 12/03/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Dati personali dei minori e social media: indagine del Garante UK

Il Garante della Privacy UK ha avviato un’indagine su TikTok, Reddit e Imgur per le loro pratiche di…

Luisa Di Giacomo 11/03/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
L’utilizzabilità in giudizio delle registrazioni di conversazioni lavorative

L’ordinanza ha riacceso il dibattito giuridico sull’utilizzabilità delle registrazioni di conversazi…

Luisa Di Giacomo 10/03/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Spazio europeo dei dati sanitari (EHDS): gli adempimenti per aziende e privati

Lo Spazio europeo dei dati sanitari (EHDS) mira a migliorare l’accesso ai dati sanitari tra gli Stat…

Redazione 07/03/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;