Siamo tutti d'accordo, la videosorveglianza è uno strumento per la sicurezza, una misura difensiva legittima per proteggere beni e persone.
E se ti dicessi che non è solo questo?
Ogni immagine registrata dalle telecamere è un dato personale. E, come tale, deve essere trattata nel rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR).
Il recente provvedimento del Garante per la Protezione dei Dati Personali, datato 13 maggio 2025, contro una società alberghiera italiana ci ricorda una lezione molto importante: anche un sistema di videosorveglianza può violare la privacy, se non configurato correttamente.
E no, non si tratta di un tecnicismo riservato a giuristi o esperti legali. Riguarda qualunque attività economica, grande o piccola, che utilizza sistemi di videosorveglianza: hotel, ristoranti, negozi, studi professionali, ma anche condomìni e contesti domestici.
Cosa leggerai in questo articolo?
- Cosa è successo nel caso specifico dell’hotel sanzionato
- Quali norme del GDPR sono state violate
- Perché la segnaletica è importante quanto le telecamere
- Cosa significa “proporzionalità” nella videosorveglianza
- Perché una DPIA è spesso obbligatoria
- Le 4 lezioni pratiche che ogni titolare di trattamento dovrebbe imparare
Il caso dell’hotel, che cosa è accaduto davvero
Partiamo dai fatti. Un cittadino ha presentato un reclamo al Garante, lamentando la presenza di telecamere installate da un hotel che inquadravano anche l’ingresso della sua abitazione. Un’intrusione nella vita privata che, secondo il ricorrente, andava ben oltre la finalità dichiarata di protezione dei beni aziendali.
Il controllo condotto sul posto dal Nucleo Speciale Tutela Privacy della Guardia di Finanza ha confermato i sospetti: una delle due telecamere installate dall’hotel, quella posta sul muro dell’edificio, inquadrava parzialmente aree non pertinenti, in particolare la porta d’ingresso dei vicini. Le immagini registrate consentivano anche un'identificazione delle persone, complice una possibile funzione di zoom.
Non solo, i cartelli informativi sull’impianto di videosorveglianza, almeno in una prima fase, erano incompleti o del tutto carenti, privi di indicazioni chiare sul titolare del trattamento, sulle finalità e sui diritti degli interessati.
Perché l’intervento del Garante è stato necessario
Il Garante ha riscontrato diverse criticità che hanno portato a ritenere illecito il trattamento dei dati personali effettuato attraverso il sistema di videosorveglianza:
- Mancanza di liceità e trasparenza (art. 5, par. 1, lett. a GDPR): la sorveglianza invadeva aree non di pertinenza diretta del titolare e non informava adeguatamente gli interessati.
- Assenza di base giuridica adeguata (art. 6 GDPR): l’attività di ripresa non era supportata da una valutazione fondata e proporzionata rispetto agli obiettivi dichiarati.
- Carente informazione ai soggetti ripresi: la cartellonistica, benché in parte aggiornata al momento del controllo, non rispettava appieno gli obblighi informativi previsti.
Il trattamento è risultato quindi sproporzionato rispetto alla finalità dichiarata di tutela del patrimonio aziendale. Il principio chiave di minimizzazione del trattamento è stato violato: le riprese non si limitavano alle aree strettamente necessarie.
Quando la videosorveglianza diventa una violazione del GDPR
Installare una videocamera può sembrare un’azione banale. Ma se quella videocamera riprende aree pubbliche o proprietà di terzi, allora non si tratta più solo di “sicurezza”, ma di trattamento di dati personali non autorizzato.
Vediamo le principali criticità rilevate nel caso:
1. Inquadrature oltre i confini
Le telecamere devono inquadrare solo le aree di esclusiva pertinenza del titolare del trattamento. È lecito sorvegliare il proprio parcheggio o l’ingresso del proprio locale, ma non l’abitazione del vicino o la strada pubblica. È una questione di proporzionalità e di rispetto della sfera privata altrui.
2. Informativa carente
Il cartello che segnala la presenza di videosorveglianza non è una formalità da baraccone. Deve contenere tutte le informazioni essenziali per l’utente, in modo chiaro e leggibile:
- Chi è il titolare del trattamento
- Qual è la finalità della videosorveglianza
- Quali sono i diritti degli interessati
- Quali sono i tempi di conservazione delle immagini
- A chi rivolgersi per esercitare i propri diritti
Nel caso analizzato, questa informativa era inizialmente assente o incompleta, elemento che ha aggravato la posizione dell’hotel.
3. Mancata valutazione d’impatto (DPIA)
In situazioni potenzialmente invasive o sistematiche, il GDPR impone l’obbligo di effettuare una DPIA (Data Protection Impact Assessment). L’obiettivo? Valutare i rischi per i diritti e le libertà delle persone e adottare misure correttive prima di procedere con l’installazione del sistema.
L’assenza di tale valutazione ha reso l’intero impianto ancora più fragile dal punto di vista normativo.
DPIA: perché è essenziale per la videosorveglianza
Ti stai chiedendo se anche il tuo impianto richieda una DPIA? Ecco alcune domande chiave da porti:
- Il sistema può monitorare sistematicamente aree dove transitano molte persone?
- Le immagini consentono di identificare individui?
- C’è il rischio di riprendere soggetti terzi non consenzienti?
- Le riprese riguardano anche minori o aree residenziali?
Se hai risposto “sì” anche a una sola di queste domande, allora è altamente consigliabile (e talvolta obbligatorio) redigere una valutazione d’impatto. Non è un semplice documento, ma un processo utile per evitare problemi legali e proteggere davvero i diritti delle persone.
Cosa possiamo imparare da questo caso
Il provvedimento del Garante è un campanello d’allarme per tutte le realtà che utilizzano sistemi di videosorveglianza, anche a livello locale o commerciale. Da questo episodio possiamo trarre 4 insegnamenti fondamentali:
1. La sorveglianza va progettata con intelligenza
Non basta installare una telecamera e “puntarla verso l’ingresso”. Bisogna progettare il sistema in modo da non invadere aree che non ci competono. Se servono regolazioni angolari, mascheramenti digitali o delimitazioni fisiche, devono essere implementati fin dall’inizio.
2. L’informazione è potere (per l’utente)
Il cartello informativo deve essere chiaro, ben visibile e completo. Non si tratta solo di “mettere un’icona con la telecamera”. Serve trasparenza, responsabilità e accessibilità dell’informazione.
3. Non sottovalutare la DPIA
Una buona valutazione d’impatto può prevenire violazioni e sanzioni. È un investimento in conformità e reputazione. In più, offre uno strumento utile per rispondere a eventuali richieste del Garante.
4. La privacy è anche un valore competitivo
Essere conformi al GDPR non è solo un dovere legale, ma un modo per costruire fiducia con clienti, ospiti e utenti. In un mondo in cui i dati personali sono sempre più sensibili, garantire la tutela della privacy può diventare un vantaggio distintivo.
Il GDPR non è un ostacolo, è una guida
Questo caso ci insegna che la videosorveglianza è uno strumento potente, ma va usato con responsabilità. Il rispetto del GDPR non è un fastidio burocratico, ma una direzione da seguire per tutelare le persone e ridurre i rischi.
In definitiva, installare un impianto conforme significa proteggere non solo il tuo patrimonio fisico, ma anche quello più importante: la reputazione e la fiducia del pubblico.
Hai dubbi sulla legittimità del tuo sistema di videosorveglianza o sulla corretta impostazione della documentazione? I nostri esperti possono aiutarti a:
- Redigere una DPIA completa
- Rivedere i cartelli informativi
- Adattare l’inquadratura delle telecamere
- Gestire correttamente la conservazione dei dati