Vuoi installare le telecamere in azienda? Sembra facile: compri un kit, lo monti e via. Il problema è che la videosorveglianza nei luoghi di lavoro è una delle aree più minate del diritto italiano e europeo. Tra GDPR, Statuto dei Lavoratori e provvedimenti del Garante Privacy, le regole da rispettare sono tante, e le sanzioni per chi le ignora fanno male sul serio: fino a 20 milioni di euro o il 4% del fatturato globale. In questa guida ti spieghiamo tutto quello che devi sapere, con una checklist da 10 punti per verificare se il tuo impianto è in regola.
Il Quadro Normativo: Le 3 Fonti di Legge
La videosorveglianza aziendale è disciplinata da tre normative principali che si sovrappongono e integrano. Violare anche una sola di queste può comportare sanzioni cumulative:
GDPR (Regolamento UE 2016/679)
Art. 6 (base giuridica), Art. 9 (dati particolari), Art. 35 (DPIA)
Il Regolamento europeo sulla protezione dei dati personali classifica le immagini delle telecamere come dati personali. Il trattamento deve avere una base giuridica legittima (tipicamente il “legittimo interesse” del titolare, art. 6.1.f), rispettare i principi di minimizzazione e limitazione della conservazione, e prevedere misure di sicurezza adeguate.
Sanzione massima: Fino a 20M € o 4% fatturato globale
Statuto dei Lavoratori (L. 300/1970)
Art. 4 (impianti audiovisivi), modificato dal D.Lgs. 151/2015
Vieta l’uso di impianti audiovisivi per il controllo a distanza dell’attività lavorativa. Consente l’installazione solo per esigenze organizzative, produttive, di sicurezza del lavoro e tutela del patrimonio aziendale. Richiede l’accordo sindacale preventivo o l’autorizzazione dell’INL.
Sanzione massima: Ammenda 154-1.549 € o arresto 15gg-1 anno
Provvedimenti del Garante Privacy
Provvedimento 8 aprile 2010 + linee guida EDPB 3/2019
Il Garante italiano ha emanato provvedimenti specifici che dettagliano: i tempi massimi di conservazione (24-48 ore), le modalità di informativa (cartelli + informativa estesa), le aree vietate (bagni, spogliatoi), i requisiti tecnici dei sistemi di registrazione.
Sanzione massima: Sanzioni amministrative + ordini di cessazione
Art. 4 Statuto dei Lavoratori: L'Obbligo Imprescindibile
L'art. 4 dello Statuto dei Lavoratori, riformato dal Jobs Act nel 2015, è il cardine della normativa italiana sulla videosorveglianza nei luoghi di lavoro. La norma prevede due regimi distinti:
Con accordo sindacale/INL
- • Telecamere che riprendono aree di lavoro (indirettamente)
- • Sistemi GPS su veicoli aziendali
- • Software di monitoraggio delle postazioni
- • Badge con tracciamento accessi dettagliato
- • Sistemi di rilevazione presenze biometrici
Senza accordo (strumenti di lavoro)
- • PC e smartphone forniti dall’azienda (solo se necessari per rendere la prestazione)
- • Email aziendale (con policy d’uso)
- • Strumenti di accesso ai locali (badge base)
- • NOTA: la telecamera NON è mai uno strumento di lavoro
Conseguenze penali
L'installazione di telecamere senza accordo sindacale o autorizzazione INL configura un reato penale ai sensi dell'art. 171 del D.Lgs. 196/2003. Non è una semplice sanzione amministrativa: il datore di lavoro rischia l'arresto. Anche telecamere “finte” o non funzionanti possono essere contestate se installate senza procedura.
La procedura per ottenere l'autorizzazione INL richiede una domanda specifica con: planimetria dei locali, posizione e angolo di ripresa delle telecamere, finalità dettagliate, tempi di conservazione previsti, misure di sicurezza adottate. I tempi di risposta sono tipicamente di 30-60 giorni.
La DPIA: Valutazione d'Impatto Obbligatoria
Il Garante Privacy italiano ha incluso la videosorveglianza sistematica nell'elenco dei trattamenti per cui la DPIA (Data Protection Impact Assessment) è obbligatoria. Non fare la DPIA è già una violazione, indipendentemente da come funziona il sistema.
Una DPIA per videosorveglianza deve contenere almeno queste sezioni:
Descrizione del trattamento
Numero e posizione delle telecamere, aree riprese, tipologia (fisse/PTZ, con/senza audio), risoluzione, presenza di funzionalità di riconoscimento facciale (vietato nella maggior parte dei casi)
Valutazione di necessità e proporzionalità
Perché la videosorveglianza è necessaria? Ci sono alternative meno invasive (allarmi, serrature, vigilanza fisica)? Il numero di telecamere è proporzionato al rischio?
Analisi dei rischi per gli interessati
Rischi di sorveglianza eccessiva, profilazione, discriminazione, accesso non autorizzato, violazione dati. Valutazione di probabilità e gravità per ogni rischio
Misure di mitigazione
Cifratura delle registrazioni, accessi con credenziali individuali, sovrascrittura automatica, formazione del personale, audit periodici del sistema
Consultazione del DPO
Se l’azienda ha un DPO (obbligatorio o volontario), la DPIA deve includere il suo parere formale. Il DPO può raccomandare modifiche al progetto
Per un approfondimento sulla gestione complessiva della privacy in azienda, consulta la nostra checklist GDPR e sicurezza informatica.
Tempi di Conservazione: La Regola delle 24-48 Ore
Uno degli aspetti più controllati dal Garante è il tempo di conservazione delle immagini. La regola base è chiara:
| Scenario | Durata massima | Condizioni |
|---|---|---|
| Regola generale | 24 ore | Standard per tutte le aziende. Sovrascrittura automatica obbligatoria. |
| Festività/chiusure aziendali | 48 ore | Giustificabile se l’azienda è chiusa e non può visionare le immagini. |
| Rischio elevato documentato | Fino a 7 giorni | Banche, gioiellerie, farmacie, infrastrutture critiche. Richiede motivazione nella DPIA. |
| Esigenze investigative specifiche | Oltre 7 giorni | Solo su richiesta dell’autorità giudiziaria. L’azienda non può decidere autonomamente. |
| Verifica preliminare Garante | Personalizzata | Per tempi superiori a 7 giorni non legati a indagini, serve la consultazione preventiva del Garante. |
Cloud e tempi di conservazione
Molti sistemi di videosorveglianza in cloud offrono per default conservazione di 30 giorni. Questo è non conforme nella stragrande maggioranza dei casi. È responsabilità del titolare del trattamento configurare i tempi corretti, indipendentemente da cosa offre il fornitore. Un'azienda che usa il cloud con retention a 30 giorni senza giustificazione specifica rischia una sanzione immediata.
Cloud vs NVR Locale: Vantaggi e Rischi Privacy
La scelta tra archiviazione locale (NVR/NAS) e cloud ha implicazioni significative in termini di compliance GDPR:
NVR/NAS Locale
Vantaggi
- Dati sotto il diretto controllo del titolare
- Nessun trasferimento extra-UE
- Nessun responsabile esterno del trattamento
- Configurazione tempi di conservazione diretta
- Nessun canone mensile per lo storage
Criticità
- Vulnerabile a furti fisici e guasti hardware
- Richiede manutenzione e backup
- Accesso remoto più complesso (VPN necessaria)
- Scalabilità limitata
Cloud
Vantaggi
- Resistente a furti e incendi locali
- Accesso remoto nativo
- Scalabilità illimitata
- Manutenzione delegata al provider
- Funzionalità avanzate (analytics, AI)
Criticità
- Richiede nomina a responsabile del trattamento (art. 28)
- Verificare localizzazione server (UE obbligatoria)
- Retention di default spesso non conforme
- Rischio di accessi non autorizzati dal provider
- Dipendenza dal fornitore (vendor lock-in)
Se si sceglie il cloud, è fondamentale stipulare un contratto di responsabile del trattamento (art. 28 GDPR) con il provider, verificare che i server siano in UE, e configurare la retention corretta. BullTech configura e gestisce entrambe le soluzioni nel rispetto di tutti i requisiti normativi. Per approfondire, consulta il nostro servizio di videosorveglianza aziendale.
Sanzioni del Garante: Casi Reali
Il Garante Privacy interviene regolarmente sulla videosorveglianza. Ecco alcuni casi reali che illustrano i rischi concreti:
Supermercato — Telecamere negli spogliatoi
50.000 €Telecamere installate nel locale spogliatoio dei dipendenti senza alcun accordo sindacale. Il Garante ha ordinato la rimozione immediata e comminato la sanzione massima per violazione della dignità dei lavoratori.
PMI manifatturiera — Mancanza di informativa
20.000 €Telecamere attive da 3 anni senza alcun cartello informativo né informativa estesa. I dipendenti non erano stati informati del trattamento. La sanzione è stata aggravata dalla durata della violazione.
Ristorante — Conservazione eccessiva
10.000 €Immagini conservate per 30 giorni senza alcuna giustificazione. Il Garante ha ordinato la riduzione a 24 ore e la cancellazione di tutte le registrazioni eccedenti.
Studio professionale — Installazione senza INL
Procedimento penaleTelecamere installate senza accordo sindacale né autorizzazione INL. Segnalazione all’autorità giudiziaria per violazione dell’art. 4 Statuto dei Lavoratori. Procedimento penale a carico del legale rappresentante.
Azienda logistica — Audio nelle telecamere
30.000 €Telecamere con funzionalità audio attiva nei magazzini. La registrazione audio nei luoghi di lavoro è quasi sempre vietata perché sproporzionata rispetto alla finalità di sicurezza.
Come Installare Telecamere a Norma: 7 Step
Ecco il percorso completo per installare un impianto di videosorveglianza conforme a tutte le normative vigenti:
Definire le finalità del trattamento
Documentare per iscritto le finalità specifiche: sicurezza del patrimonio aziendale, prevenzione atti illeciti, tutela della sicurezza dei lavoratori. Le finalità NON possono includere il controllo della produttività o dell’orario di lavoro. Ogni telecamera deve avere una finalità documentata.
Timeline: 1 settimana
Accordo sindacale o autorizzazione INL
Avviare la negoziazione con le RSA/RSU presentando il progetto completo: planimetria, numero telecamere, aree riprese, tempi di conservazione. In assenza di sindacato, presentare istanza all’INL territorialmente competente con tutta la documentazione tecnica.
Timeline: 2-8 settimane
Eseguire la DPIA
Redigere la Valutazione d’Impatto con tutte le sezioni previste. Coinvolgere il DPO (se presente). Documentare perché la videosorveglianza è necessaria e non esistono alternative meno invasive. Valutare i rischi e le misure di mitigazione.
Timeline: 2-3 settimane
Installazione tecnica con privacy by design
Installare le telecamere rispettando: angoli di ripresa che escludano aree vietate, risoluzione adeguata ma non eccessiva, cifratura delle registrazioni, accessi protetti con credenziali individuali. Configurare la sovrascrittura automatica entro 24-48 ore.
Timeline: 1-2 settimane
Cartelli e informativa
Installare cartelli conformi al modello EDPB/Garante in ogni punto di accesso alle aree videosorvegliate. Redigere l’informativa estesa (artt. 13-14 GDPR) e renderla disponibile presso la reception, sul sito aziendale e su richiesta.
Timeline: 1 settimana
Nomine e procedure
Nominare formalmente gli incaricati del trattamento che accederanno alle immagini. Redigere le istruzioni operative scritte. Definire la procedura per le richieste di accesso (art. 15 GDPR) e per le richieste delle forze dell’ordine.
Timeline: 1 settimana
Registro dei Trattamenti e documentazione finale
Aggiornare il Registro dei Trattamenti (art. 30) con tutti i dettagli del nuovo trattamento. Archiviare: accordo sindacale/autorizzazione INL, DPIA, informative, nomine, documentazione tecnica dell’impianto. Programmare audit periodici (semestrali).
Timeline: 1 settimana
Checklist Compliance: 10 Punti da Verificare
Se la tua azienda ha già un impianto di videosorveglianza, usa questa checklist per verificare la conformità. Se anche un solo punto non è soddisfatto, è necessario intervenire immediatamente:
Accordo sindacale o autorizzazione INL
Documento firmato dalle RSA/RSU o provvedimento autorizzativo dell’INL. Conservare l’originale e renderlo disponibile per eventuali ispezioni.
DPIA (Valutazione d’Impatto) completata
Documento completo con analisi di necessità, proporzionalità, rischi e misure di mitigazione. Datata e firmata dal titolare del trattamento.
Informativa breve (cartelli) installata
Cartelli conformi al modello EDPB visibili prima dell’ingresso nelle aree videosorvegliate. Devono indicare: titolare, finalità, riferimento all’informativa completa.
Informativa estesa (artt. 13-14 GDPR) disponibile
Documento completo con tutte le informazioni richieste dal GDPR: titolare, DPO, finalità, base giuridica, tempi conservazione, diritti interessati, modalità accesso.
Tempi di conservazione configurati e documentati
Sistema configurato per sovrascrittura automatica entro 24-48 ore. Se conservazione superiore, documentazione della motivazione specifica e legittima.
Accessi limitati con credenziali individuali
Accesso alle immagini solo a personale autorizzato e nominato. Credenziali individuali (no password condivise). Log di accesso conservati per 6 mesi.
Aree vietate escluse dalle riprese
Nessuna telecamera in: bagni, spogliatoi, aree di pausa/ristoro, locali sindacali, aree riservate ai rappresentanti. Verificare che l’angolo di ripresa non includa queste aree.
Registro dei Trattamenti aggiornato
Il trattamento di videosorveglianza è inserito nel Registro (art. 30 GDPR) con tutti i campi obbligatori: finalità, base giuridica, destinatari, tempi, misure di sicurezza.
Nomina formale degli incaricati
Tutti i soggetti che accedono alle immagini sono formalmente nominati come incaricati del trattamento con istruzioni scritte specifiche.
Procedura di risposta alle richieste di accesso
Procedura documentata per gestire: richieste di accesso degli interessati (art. 15 GDPR), richieste delle forze dell’ordine, richieste dell’autorità giudiziaria. Tempi di risposta: 30 giorni.
Per una gestione completa della compliance privacy aziendale, compresi gli aspetti legati alla prevenzione della perdita dei dati, il nostro team di consulenza GDPR e compliance IT è a disposizione per un audit dell'impianto esistente.
Come BullTech Garantisce la Compliance
BullTech Informatica offre un servizio di videosorveglianza aziendale che copre sia la parte tecnica che quella normativa. In pratica: pensiamo noi a tutto, dalla progettazione alla documentazione. Ecco cosa facciamo:
Audit Impianto Esistente
Verifichiamo la conformità del tuo impianto attuale con la checklist 10 punti. Identifichiamo le non conformità e forniamo un piano di adeguamento con priorità e costi.
Progettazione Conforme
Progettiamo l’impianto con privacy by design: posizionamento telecamere, angoli di ripresa, mascheramento aree vietate, configurazione retention automatica.
Installazione e Configurazione
Installiamo telecamere IP professionali, NVR/NAS o soluzioni cloud conformi, con cifratura, accessi individuali e log di audit. Tutto documentato per la DPIA.
Documentazione Normativa
Predisponiamo la DPIA, l’informativa, i cartelli, le nomine degli incaricati e supportiamo l’azienda nella procedura di accordo sindacale o istanza INL.
Domande Frequenti sulla Videosorveglianza GDPR
Serve l’accordo sindacale per installare le telecamere in azienda?
Si', e' obbligatorio per legge (art. 4 Statuto dei Lavoratori, modificato dal D.Lgs. 151/2015). Prima di installare qualsiasi telecamera che possa riprendere i lavoratori, devi avere un accordo con le RSA/RSU. Se in azienda non c'e' un sindacato, devi ottenere l'autorizzazione dall'INL (Ispettorato Nazionale del Lavoro). Se installi senza accordo o autorizzazione, non e' una semplice multa: e' un reato penale con sanzioni fino a 1.549 euro o arresto da 15 giorni a 1 anno.
Per quanto tempo si possono conservare le immagini?
La regola base del Garante: massimo 24 ore, estendibili a 48 ore se c'e' un motivo valido (tipo festivita' in cui l'azienda e' chiusa e nessuno puo' controllare le immagini). Si puo' arrivare a 7 giorni solo in casi eccezionali e documentati: gioiellerie, banche, infrastrutture critiche, o esigenze investigative specifiche. Oltre i 7 giorni serve sempre una consultazione preventiva con il Garante. La cosa importante: devi configurare la sovrascrittura automatica, non basta 'ricordarsi di cancellare'.
Le telecamere possono riprendere i dipendenti al lavoro?
Possono riprendere aree dove i dipendenti lavorano, ma NON possono essere installate per controllare come lavorano. La differenza sembra sottile ma e' fondamentale: una telecamera all'ingresso per sicurezza e' lecita anche se riprende dipendenti; una telecamera puntata sulla scrivania per verificare la produttivita' e' illegale. E' sempre vietato mettere telecamere in bagni, spogliatoi, aree di pausa e locali sindacali. Zero eccezioni.
È obbligatoria la DPIA per la videosorveglianza?
Si', e' obbligatoria. Il Garante l'ha inserita espressamente nella lista dei trattamenti che la richiedono (Provvedimento n. 467/2018). La DPIA (Data Protection Impact Assessment, cioe' la valutazione d'impatto sulla privacy) deve analizzare: perche' la videosorveglianza e' necessaria, i rischi per i diritti delle persone riprese, e le misure tecniche per mitigare quei rischi. Va fatta prima di installare le telecamere e aggiornata se modifichi l'impianto in modo sostanziale.
Quanto costano le sanzioni per videosorveglianza non conforme?
Le sanzioni arrivano su piu' fronti e si sommano tra loro. Il GDPR: fino a 20 milioni di euro o il 4% del fatturato globale. Lo Statuto dei Lavoratori: sanzioni penali (ammenda da 154 a 1.549 euro o arresto da 15 giorni a 1 anno). Il Garante ha gia' colpito con multe vere: 50.000 euro a un supermercato per telecamere negli spogliatoi, 20.000 euro a un'azienda che non aveva messo i cartelli informativi, 10.000 euro per conservazione eccessiva delle immagini. E queste sanzioni si sommano.