Installare telecamere in azienda sembra semplice: si compra un kit, si monta e si è a posto. In realtà, la videosorveglianza nei luoghi di lavoro è uno degli ambiti più regolamentati del diritto italiano e europeo. Tra GDPR, Statuto dei Lavoratori e provvedimenti del Garante Privacy, le regole da rispettare sono numerose e le sanzioni per chi le ignora possono essere devastanti: fino a 20 milioni di euro o il 4% del fatturato globale. In questa guida analizziamo ogni aspetto della normativa, con una checklist operativa da 10 punti per garantire la compliance del vostro impianto.
Il Quadro Normativo: Le 3 Fonti di Legge
La videosorveglianza aziendale è disciplinata da tre normative principali che si sovrappongono e integrano. Violare anche una sola di queste può comportare sanzioni cumulative:
GDPR (Regolamento UE 2016/679)
Art. 6 (base giuridica), Art. 9 (dati particolari), Art. 35 (DPIA)
Il Regolamento europeo sulla protezione dei dati personali classifica le immagini delle telecamere come dati personali. Il trattamento deve avere una base giuridica legittima (tipicamente il “legittimo interesse” del titolare, art. 6.1.f), rispettare i principi di minimizzazione e limitazione della conservazione, e prevedere misure di sicurezza adeguate.
Sanzione massima: Fino a 20M € o 4% fatturato globale
Statuto dei Lavoratori (L. 300/1970)
Art. 4 (impianti audiovisivi), modificato dal D.Lgs. 151/2015
Vieta l’uso di impianti audiovisivi per il controllo a distanza dell’attività lavorativa. Consente l’installazione solo per esigenze organizzative, produttive, di sicurezza del lavoro e tutela del patrimonio aziendale. Richiede l’accordo sindacale preventivo o l’autorizzazione dell’INL.
Sanzione massima: Ammenda 154-1.549 € o arresto 15gg-1 anno
Provvedimenti del Garante Privacy
Provvedimento 8 aprile 2010 + linee guida EDPB 3/2019
Il Garante italiano ha emanato provvedimenti specifici che dettagliano: i tempi massimi di conservazione (24-48 ore), le modalità di informativa (cartelli + informativa estesa), le aree vietate (bagni, spogliatoi), i requisiti tecnici dei sistemi di registrazione.
Sanzione massima: Sanzioni amministrative + ordini di cessazione
Art. 4 Statuto dei Lavoratori: L'Obbligo Imprescindibile
L'art. 4 dello Statuto dei Lavoratori, riformato dal Jobs Act nel 2015, è il cardine della normativa italiana sulla videosorveglianza nei luoghi di lavoro. La norma prevede due regimi distinti:
Con accordo sindacale/INL
- • Telecamere che riprendono aree di lavoro (indirettamente)
- • Sistemi GPS su veicoli aziendali
- • Software di monitoraggio delle postazioni
- • Badge con tracciamento accessi dettagliato
- • Sistemi di rilevazione presenze biometrici
Senza accordo (strumenti di lavoro)
- • PC e smartphone forniti dall’azienda (solo se necessari per rendere la prestazione)
- • Email aziendale (con policy d’uso)
- • Strumenti di accesso ai locali (badge base)
- • NOTA: la telecamera NON è mai uno strumento di lavoro
Conseguenze penali
L'installazione di telecamere senza accordo sindacale o autorizzazione INL configura un reato penale ai sensi dell'art. 171 del D.Lgs. 196/2003. Non è una semplice sanzione amministrativa: il datore di lavoro rischia l'arresto. Anche telecamere “finte” o non funzionanti possono essere contestate se installate senza procedura.
La procedura per ottenere l'autorizzazione INL richiede una domanda specifica con: planimetria dei locali, posizione e angolo di ripresa delle telecamere, finalità dettagliate, tempi di conservazione previsti, misure di sicurezza adottate. I tempi di risposta sono tipicamente di 30-60 giorni.
La DPIA: Valutazione d'Impatto Obbligatoria
Il Garante Privacy italiano ha incluso la videosorveglianza sistematica nell'elenco dei trattamenti per cui la DPIA (Data Protection Impact Assessment) è obbligatoria. Non fare la DPIA è già una violazione, indipendentemente da come funziona il sistema.
Una DPIA per videosorveglianza deve contenere almeno queste sezioni:
Descrizione del trattamento
Numero e posizione delle telecamere, aree riprese, tipologia (fisse/PTZ, con/senza audio), risoluzione, presenza di funzionalità di riconoscimento facciale (vietato nella maggior parte dei casi)
Valutazione di necessità e proporzionalità
Perché la videosorveglianza è necessaria? Ci sono alternative meno invasive (allarmi, serrature, vigilanza fisica)? Il numero di telecamere è proporzionato al rischio?
Analisi dei rischi per gli interessati
Rischi di sorveglianza eccessiva, profilazione, discriminazione, accesso non autorizzato, violazione dati. Valutazione di probabilità e gravità per ogni rischio
Misure di mitigazione
Cifratura delle registrazioni, accessi con credenziali individuali, sovrascrittura automatica, formazione del personale, audit periodici del sistema
Consultazione del DPO
Se l’azienda ha un DPO (obbligatorio o volontario), la DPIA deve includere il suo parere formale. Il DPO può raccomandare modifiche al progetto
Per un approfondimento sulla gestione complessiva della privacy in azienda, consulta la nostra checklist GDPR e sicurezza informatica.
Tempi di Conservazione: La Regola delle 24-48 Ore
Uno degli aspetti più controllati dal Garante è il tempo di conservazione delle immagini. La regola base è chiara:
| Scenario | Durata massima | Condizioni |
|---|---|---|
| Regola generale | 24 ore | Standard per tutte le aziende. Sovrascrittura automatica obbligatoria. |
| Festività/chiusure aziendali | 48 ore | Giustificabile se l’azienda è chiusa e non può visionare le immagini. |
| Rischio elevato documentato | Fino a 7 giorni | Banche, gioiellerie, farmacie, infrastrutture critiche. Richiede motivazione nella DPIA. |
| Esigenze investigative specifiche | Oltre 7 giorni | Solo su richiesta dell’autorità giudiziaria. L’azienda non può decidere autonomamente. |
| Verifica preliminare Garante | Personalizzata | Per tempi superiori a 7 giorni non legati a indagini, serve la consultazione preventiva del Garante. |
Cloud e tempi di conservazione
Molti sistemi di videosorveglianza in cloud offrono per default conservazione di 30 giorni. Questo è non conforme nella stragrande maggioranza dei casi. È responsabilità del titolare del trattamento configurare i tempi corretti, indipendentemente da cosa offre il fornitore. Un'azienda che usa il cloud con retention a 30 giorni senza giustificazione specifica rischia una sanzione immediata.
Cloud vs NVR Locale: Vantaggi e Rischi Privacy
La scelta tra archiviazione locale (NVR/NAS) e cloud ha implicazioni significative in termini di compliance GDPR:
NVR/NAS Locale
Vantaggi
- Dati sotto il diretto controllo del titolare
- Nessun trasferimento extra-UE
- Nessun responsabile esterno del trattamento
- Configurazione tempi di conservazione diretta
- Nessun canone mensile per lo storage
Criticità
- Vulnerabile a furti fisici e guasti hardware
- Richiede manutenzione e backup
- Accesso remoto più complesso (VPN necessaria)
- Scalabilità limitata
Cloud
Vantaggi
- Resistente a furti e incendi locali
- Accesso remoto nativo
- Scalabilità illimitata
- Manutenzione delegata al provider
- Funzionalità avanzate (analytics, AI)
Criticità
- Richiede nomina a responsabile del trattamento (art. 28)
- Verificare localizzazione server (UE obbligatoria)
- Retention di default spesso non conforme
- Rischio di accessi non autorizzati dal provider
- Dipendenza dal fornitore (vendor lock-in)
Se si sceglie il cloud, è fondamentale stipulare un contratto di responsabile del trattamento (art. 28 GDPR) con il provider, verificare che i server siano in UE, e configurare la retention corretta. BullTech configura e gestisce entrambe le soluzioni nel rispetto di tutti i requisiti normativi. Per approfondire, consulta il nostro servizio di videosorveglianza aziendale.
Sanzioni del Garante: Casi Reali
Il Garante Privacy interviene regolarmente sulla videosorveglianza. Ecco alcuni casi reali che illustrano i rischi concreti:
Supermercato — Telecamere negli spogliatoi
50.000 €Telecamere installate nel locale spogliatoio dei dipendenti senza alcun accordo sindacale. Il Garante ha ordinato la rimozione immediata e comminato la sanzione massima per violazione della dignità dei lavoratori.
PMI manifatturiera — Mancanza di informativa
20.000 €Telecamere attive da 3 anni senza alcun cartello informativo né informativa estesa. I dipendenti non erano stati informati del trattamento. La sanzione è stata aggravata dalla durata della violazione.
Ristorante — Conservazione eccessiva
10.000 €Immagini conservate per 30 giorni senza alcuna giustificazione. Il Garante ha ordinato la riduzione a 24 ore e la cancellazione di tutte le registrazioni eccedenti.
Studio professionale — Installazione senza INL
Procedimento penaleTelecamere installate senza accordo sindacale né autorizzazione INL. Segnalazione all’autorità giudiziaria per violazione dell’art. 4 Statuto dei Lavoratori. Procedimento penale a carico del legale rappresentante.
Azienda logistica — Audio nelle telecamere
30.000 €Telecamere con funzionalità audio attiva nei magazzini. La registrazione audio nei luoghi di lavoro è quasi sempre vietata perché sproporzionata rispetto alla finalità di sicurezza.
Come Installare Telecamere a Norma: 7 Step
Ecco il percorso completo per installare un impianto di videosorveglianza conforme a tutte le normative vigenti:
Definire le finalità del trattamento
Documentare per iscritto le finalità specifiche: sicurezza del patrimonio aziendale, prevenzione atti illeciti, tutela della sicurezza dei lavoratori. Le finalità NON possono includere il controllo della produttività o dell’orario di lavoro. Ogni telecamera deve avere una finalità documentata.
Timeline: 1 settimana
Accordo sindacale o autorizzazione INL
Avviare la negoziazione con le RSA/RSU presentando il progetto completo: planimetria, numero telecamere, aree riprese, tempi di conservazione. In assenza di sindacato, presentare istanza all’INL territorialmente competente con tutta la documentazione tecnica.
Timeline: 2-8 settimane
Eseguire la DPIA
Redigere la Valutazione d’Impatto con tutte le sezioni previste. Coinvolgere il DPO (se presente). Documentare perché la videosorveglianza è necessaria e non esistono alternative meno invasive. Valutare i rischi e le misure di mitigazione.
Timeline: 2-3 settimane
Installazione tecnica con privacy by design
Installare le telecamere rispettando: angoli di ripresa che escludano aree vietate, risoluzione adeguata ma non eccessiva, cifratura delle registrazioni, accessi protetti con credenziali individuali. Configurare la sovrascrittura automatica entro 24-48 ore.
Timeline: 1-2 settimane
Cartelli e informativa
Installare cartelli conformi al modello EDPB/Garante in ogni punto di accesso alle aree videosorvegliate. Redigere l’informativa estesa (artt. 13-14 GDPR) e renderla disponibile presso la reception, sul sito aziendale e su richiesta.
Timeline: 1 settimana
Nomine e procedure
Nominare formalmente gli incaricati del trattamento che accederanno alle immagini. Redigere le istruzioni operative scritte. Definire la procedura per le richieste di accesso (art. 15 GDPR) e per le richieste delle forze dell’ordine.
Timeline: 1 settimana
Registro dei Trattamenti e documentazione finale
Aggiornare il Registro dei Trattamenti (art. 30) con tutti i dettagli del nuovo trattamento. Archiviare: accordo sindacale/autorizzazione INL, DPIA, informative, nomine, documentazione tecnica dell’impianto. Programmare audit periodici (semestrali).
Timeline: 1 settimana
Checklist Compliance: 10 Punti da Verificare
Se la tua azienda ha già un impianto di videosorveglianza, usa questa checklist per verificare la conformità. Se anche un solo punto non è soddisfatto, è necessario intervenire immediatamente:
Accordo sindacale o autorizzazione INL
Documento firmato dalle RSA/RSU o provvedimento autorizzativo dell’INL. Conservare l’originale e renderlo disponibile per eventuali ispezioni.
DPIA (Valutazione d’Impatto) completata
Documento completo con analisi di necessità, proporzionalità, rischi e misure di mitigazione. Datata e firmata dal titolare del trattamento.
Informativa breve (cartelli) installata
Cartelli conformi al modello EDPB visibili prima dell’ingresso nelle aree videosorvegliate. Devono indicare: titolare, finalità, riferimento all’informativa completa.
Informativa estesa (artt. 13-14 GDPR) disponibile
Documento completo con tutte le informazioni richieste dal GDPR: titolare, DPO, finalità, base giuridica, tempi conservazione, diritti interessati, modalità accesso.
Tempi di conservazione configurati e documentati
Sistema configurato per sovrascrittura automatica entro 24-48 ore. Se conservazione superiore, documentazione della motivazione specifica e legittima.
Accessi limitati con credenziali individuali
Accesso alle immagini solo a personale autorizzato e nominato. Credenziali individuali (no password condivise). Log di accesso conservati per 6 mesi.
Aree vietate escluse dalle riprese
Nessuna telecamera in: bagni, spogliatoi, aree di pausa/ristoro, locali sindacali, aree riservate ai rappresentanti. Verificare che l’angolo di ripresa non includa queste aree.
Registro dei Trattamenti aggiornato
Il trattamento di videosorveglianza è inserito nel Registro (art. 30 GDPR) con tutti i campi obbligatori: finalità, base giuridica, destinatari, tempi, misure di sicurezza.
Nomina formale degli incaricati
Tutti i soggetti che accedono alle immagini sono formalmente nominati come incaricati del trattamento con istruzioni scritte specifiche.
Procedura di risposta alle richieste di accesso
Procedura documentata per gestire: richieste di accesso degli interessati (art. 15 GDPR), richieste delle forze dell’ordine, richieste dell’autorità giudiziaria. Tempi di risposta: 30 giorni.
Per una gestione completa della compliance privacy aziendale, compresi gli aspetti legati alla prevenzione della perdita dei dati, il nostro team di consulenza GDPR e compliance IT è a disposizione per un audit dell'impianto esistente.
Come BullTech Garantisce la Compliance
BullTech Informatica offre un servizio di videosorveglianza aziendale che integra l'aspetto tecnico con quello normativo. Il nostro approccio “compliance by design” include:
Audit Impianto Esistente
Verifichiamo la conformità del tuo impianto attuale con la checklist 10 punti. Identifichiamo le non conformità e forniamo un piano di adeguamento con priorità e costi.
Progettazione Conforme
Progettiamo l’impianto con privacy by design: posizionamento telecamere, angoli di ripresa, mascheramento aree vietate, configurazione retention automatica.
Installazione e Configurazione
Installiamo telecamere IP professionali, NVR/NAS o soluzioni cloud conformi, con cifratura, accessi individuali e log di audit. Tutto documentato per la DPIA.
Documentazione Normativa
Predisponiamo la DPIA, l’informativa, i cartelli, le nomine degli incaricati e supportiamo l’azienda nella procedura di accordo sindacale o istanza INL.
Domande Frequenti sulla Videosorveglianza GDPR
Serve l’accordo sindacale per installare le telecamere in azienda?
Sì, è obbligatorio per legge (art. 4 Statuto dei Lavoratori, modificato dal D.Lgs. 151/2015). Prima dell’installazione di qualsiasi impianto audiovisivo che possa comportare il controllo a distanza dei lavoratori, il datore di lavoro deve stipulare un accordo con le RSA/RSU. In mancanza di rappresentanze sindacali, deve ottenere l’autorizzazione dall’INL (Ispettorato Nazionale del Lavoro). L’installazione senza accordo o autorizzazione configura un reato penale con sanzioni fino a 1.549 euro o reclusione da 15 giorni a 1 anno.
Per quanto tempo si possono conservare le immagini?
Il Garante Privacy ha indicato che il tempo massimo di conservazione è di 24 ore, estendibile a 48 ore in casi motivati (es. festività che impediscono la visione tempestiva). Tempi superiori (fino a 7 giorni) sono ammessi solo in circostanze eccezionali documentate: aziende a rischio specifico (gioiellerie, banche, infrastrutture critiche), necessità di ricostruire eventi su più giorni, esigenze investigative specifiche. Conservazioni oltre 7 giorni richiedono sempre una verifica preliminare del Garante.
Le telecamere possono riprendere i dipendenti al lavoro?
Le telecamere possono riprendere aree dove i dipendenti lavorano, ma NON possono essere installate con la finalità di controllare la loro attività lavorativa. La distinzione è sottile ma fondamentale: una telecamera all’ingresso per sicurezza è lecita anche se riprende dipendenti; una telecamera puntata sulla postazione per verificare la produttività è illegale. È sempre vietata la videosorveglianza in bagni, spogliatoi, aree di pausa e locali sindacali.
È obbligatoria la DPIA per la videosorveglianza?
Sì. Il Garante Privacy italiano ha incluso la videosorveglianza sistematica nell’elenco dei trattamenti per cui la DPIA è obbligatoria (Provvedimento n. 467/2018). La DPIA deve valutare: la necessità e proporzionalità del trattamento, i rischi per i diritti e le libertà degli interessati, le misure tecniche e organizzative per mitigare i rischi. Deve essere condotta prima dell’installazione e aggiornata in caso di modifiche sostanziali all’impianto.
Quanto costano le sanzioni per videosorveglianza non conforme?
Le sanzioni sono su più livelli. Il GDPR prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale. Lo Statuto dei Lavoratori prevede sanzioni penali (ammenda da 154 a 1.549 euro o arresto da 15 giorni a 1 anno). Il Garante Privacy ha comminato sanzioni concrete significative: 50.000 euro a un supermercato per telecamere negli spogliatoi, 20.000 euro a un’azienda per mancanza di informativa, 10.000 euro per conservazione eccessiva delle immagini. Le sanzioni sono cumulabili tra loro.