Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-04-158 min read

Videosorveglianza in azienda e GDPR: obblighi, cartelli e provvedimenti del Garante

Guida agli obblighi GDPR per la videosorveglianza aziendale: basi giuridiche, informativa a doppio livello, cartelli obbligatori, conservazione delle immagini e sanzioni del Garante Privacy 2025.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy

Videosorveglianza in azienda: cosa prevede il GDPR?

La videosorveglianza in azienda è un trattamento di dati personali soggetto al GDPR (Reg. UE 2016/679) e, per i luoghi di lavoro, anche all'Art. 4 della Legge 300/1970 (Statuto dei Lavoratori). Il titolare deve garantire una base giuridica valida, un'informativa a doppio livello con cartelli obbligatori, la conservazione limitata delle immagini e, in molti casi, l'autorizzazione dell'Ispettorato Nazionale del Lavoro. Le violazioni possono essere sanzionate dal Garante Privacy e, in ambito lavoristico, dall'INL.

L'installazione di telecamere in azienda è un tema che il Garante Privacy italiano monitora con costanza. Nel 2025 il Garante ha adottato diversi provvedimenti (tra cui il provv. n. 433 del 17 luglio 2025 e il provv. dell'11 settembre 2025, doc. 10183820) ribadendo che la mancanza di cartelli informativi visibili e l'assenza di base giuridica valida costituiscono violazioni gravi del GDPR.

Fonti normative: Art. 4 Legge 300/1970 (Statuto dei Lavoratori) · Reg. UE 2016/679 (GDPR), Artt. 5, 6, 13, 30, 35 – EUR-Lex · Tematica videosorveglianza – Garante Privacy · Provvedimento Garante 11 settembre 2025 (doc. 10183820)

Quale base giuridica si usa per la videosorveglianza aziendale?

La base giuridica più comune per la videosorveglianza in ambito privato-aziendale è il legittimo interesse del titolare (Art. 6.1.f GDPR), tipicamente connesso a finalità di:

  • Sicurezza dei beni e del patrimonio aziendale
  • Prevenzione di furti o atti vandalici
  • Tutela dell'incolumità di dipendenti e visitatori

Deve essere effettuato un test di bilanciamento tra l'interesse del titolare e i diritti fondamentali degli interessati, documentato nel Registro dei Trattamenti.

Nota redazionale. Il legittimo interesse non è invocabile automaticamente. Il Garante verifica caso per caso che la videosorveglianza sia necessaria e proporzionata rispetto alla finalità dichiarata. Un sistema di telecamere che riprende le postazioni di lavoro individuali è soggetto a scrutinio particolarmente severo.

Luoghi di lavoro: obbligo di accordo sindacale o autorizzazione INL

Per la videosorveglianza nei luoghi di lavoro si aggiunge il vincolo dell'Art. 4 della Legge 300/1970 (Statuto dei Lavoratori):

  • Gli impianti devono essere preventivamente concordati con le rappresentanze sindacali aziendali (RSA/RSU)
  • In assenza di accordo sindacale, è necessaria l'autorizzazione dell'Ispettorato Nazionale del Lavoro (INL)
  • Solo esigenze organizzative, produttive, di sicurezza del lavoro o tutela del patrimonio aziendale giustificano la videosorveglianza dei dipendenti

L'utilizzo delle immagini riprese per finalità diverse da quelle autorizzate (es. controllo disciplinare dell'operato dei dipendenti) richiede ulteriori garanzie e può costituire violazione sia del GDPR sia dello Statuto dei Lavoratori.

L'informativa a doppio livello: cartelli e informativa completa

Il Garante Privacy ha consolidato il modello di informativa a doppio livello per la videosorveglianza:

Primo livello: il cartello informativo

Il cartello deve essere visibile prima dell'accesso alla zona videosorvegliata, anche di notte, e contenere almeno:

  • Indicazione del fatto che la zona è videosorvegliata
  • Finalità del trattamento
  • Identità del titolare o riferimento all'informativa completa
  • Simbolo grafico riconoscibile (telecamera)

Con il provvedimento del 2025, il Garante ha specificato che le icone devono essere chiare e ben visibili, con testo leggibile anche in condizioni di scarsa illuminazione.

Secondo livello: informativa completa

L'informativa completa — accessibile tramite QR code sul cartello, affissione in luogo facilmente consultabile o pubblicazione sul sito web — deve contenere tutti gli elementi dell'Art. 13 GDPR:

Elemento obbligatorioContenuto minimo
Identità del titolareDenominazione, indirizzo, contatti
Finalità e base giuridicaSicurezza, prevenzione furti, ecc.
DestinatariFornitore del sistema, forze dell'ordine se richiesto
Periodo di conservazioneIndicazione specifica (es. 24-48 ore)
Diritti dell'interessatoAccesso, cancellazione, opposizione
DPO (se designato)Contatti del Responsabile della Protezione Dati

Per quanto tempo si possono conservare le immagini?

Il Garante Privacy ha espresso orientamenti chiari sulla conservazione delle immagini di videosorveglianza:

  • Regola generale: le immagini devono essere cancellate automaticamente entro 24-48 ore dalla registrazione
  • Eccezioni documentate: periodi più lunghi (fino a 7 giorni) sono ammissibili per esigenze specifiche (es. impianti in luoghi isolati, attività a rischio rapina), ma devono essere motivati e documentati nel Registro dei Trattamenti
  • Periodi superiori a 7 giorni richiedono una valutazione di necessità e proporzionalità particolarmente rigorosa, con eventuale verifica del Garante

Nota redazionale. I periodi indicati sono orientamenti del Garante Privacy espressi in provvedimenti e linee guida, non limiti assoluti codificati nel GDPR. Il principio cardine è la minimizzazione dei dati (Art. 5.1.e GDPR): le immagini devono essere conservate per il tempo strettamente necessario alla finalità dichiarata.

Quando è obbligatoria la DPIA per la videosorveglianza?

La DPIA è obbligatoria (Art. 35.3.c GDPR) per la sorveglianza sistematica su larga scala di zone accessibili al pubblico. In pratica, questo include:

  • Sistemi di videosorveglianza in centri commerciali, supermercati, aeroporti, stazioni
  • Videosorveglianza con riconoscimento facciale o analisi biometrica delle immagini
  • Sistemi connessi a reti di telecamere cittadine o interoperabili con banche dati pubbliche

Per le piccole aziende con telecamere limitate a specifiche aree (ingresso, magazzino) la DPIA non è di norma obbligatoria, ma rimane opportuna se il trattamento presenta caratteristiche di rischio elevato.

Videosorveglianza e riconoscimento facciale: divieto generale

Il riconoscimento facciale applicato alle immagini di videosorveglianza comporta il trattamento di dati biometrici, categoria particolare ai sensi dell'Art. 9 GDPR. Tale trattamento è vietato salvo che ricorra una delle eccezioni tassative dell'Art. 9.2. In Italia, il Garante Privacy ha adottato un approccio particolarmente restrittivo verso l'uso del riconoscimento facciale in ambiti pubblici e privati, richiedendo una base giuridica rafforzata e una DPIA approfondita.

Videosorveglianza condominiale: regole specifiche 2025

Per la videosorveglianza condominiale le Linee Guida 2025 del Garante (aggiornate in risposta all'evoluzione tecnologica) hanno ribadito che:

  • Il condominio agisce come titolare del trattamento
  • Le telecamere possono riprendere solo le parti comuni, non spazi privati o la pubblica via
  • L'informativa deve essere affissa in punti visibili prima dell'accesso alle aree sorvegliate
  • Il periodo di conservazione non deve superare le 24-48 ore salvo esigenze specifiche

FAQ – Videosorveglianza GDPR: domande frequenti

Un'azienda può installare telecamere senza avvisare i dipendenti? No. L'Art. 4 dello Statuto dei Lavoratori impone che i lavoratori siano informati prima dell'installazione delle telecamere. L'installazione senza accordo sindacale o autorizzazione INL è illegittima, indipendentemente dal rispetto del GDPR.

Le telecamere puntate sulla cassa di un negozio sono lecite? Sì, in linea generale, con finalità di prevenzione furti, base giuridica nel legittimo interesse, cartello informativo visibile all'ingresso e conservazione limitata delle immagini. Ogni caso deve essere valutato specificamente.

Cosa succede se le immagini vengono usate in un procedimento disciplinare? Le immagini di videosorveglianza possono essere utilizzate a fini disciplinari solo nei limiti previsti dall'Art. 4, par. 3, dello Statuto dei Lavoratori: il dipendente deve essere stato preventivamente informato delle modalità d'uso degli impianti e dei possibili controlli. L'uso delle immagini senza queste garanzie può rendere la prova inutilizzabile e configurare una violazione del GDPR.

Le telecamere in un ufficio privato richiedono cartelli? Sì. L'obbligo di informativa (incluso il cartello) si applica a tutti i luoghi dove vengono raccolte immagini, inclusi gli uffici privati, purché vi accedano soggetti diversi dal titolare stesso.

Quanto rischia un'azienda senza cartelli di videosorveglianza? La mancanza di cartelli informativi è stata sanzionata dal Garante con sanzioni anche significative. Le violazioni degli obblighi di informativa rientrano nell'Art. 83, par. 4, GDPR (fino a 10 milioni di euro o 2% del fatturato), mentre la mancanza di base giuridica può rientrare nell'Art. 83, par. 5 (fino a 20 milioni o 4% del fatturato).

Quando serve una consulenza personalizzata sulla videosorveglianza?

L'adeguamento GDPR di un sistema di videosorveglianza aziendale richiede un'analisi delle finalità, della base giuridica, dell'accordo sindacale o autorizzazione INL, della configurazione tecnica del sistema (conservazione, accessi) e della predisposizione dell'informativa corretta.

È particolarmente opportuno rivolgersi a un legale specializzato in presenza di: videosorveglianza in luoghi di lavoro, sistemi con analisi avanzata delle immagini, telecamere che riprendono aree pubbliche, o se si è ricevuta un'ispezione del Garante o dell'INL.

Disclaimer informativo. I contenuti di questa pagina hanno finalità informativa generale e non costituiscono consulenza legale. Le disposizioni del GDPR e dello Statuto dei Lavoratori richiedono un'analisi applicata al caso concreto. Per ogni valutazione specifica è necessario rivolgersi a un professionista abilitato.

Ultimo aggiornamento editoriale: aprile 2026. Fonti: Art. 4 L. 300/1970; Artt. 5, 6, 13, 30, 35 Reg. UE 2016/679; Provvedimento Garante 11 settembre 2025 (doc. 10183820); Tematica videosorveglianza – Garante Privacy.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze tecniche →
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato.

Articoli correlati

AziendeCookie Banner GDPR: Obblighi, Regole e Come Farlo Correttamente nel 202610 min readAziendeDPIA: cos'è la Valutazione d'Impatto sulla Protezione dei Dati (Art. 35 GDPR)8 min readAziendePrivacy by Design e Privacy by Default: cosa significa per le aziende (Art. 25 GDPR)8 min read
Torna agli articoli

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione e definiremo i passi operativi in totale riservatezza.