Meglio evitare di sanzionare il dipendente comunale con l’impiego del sistema di videosorveglianza in mancanza di una adeguata regolarizzazione data governance dei device. Lo ha chiarito il Garante per la protezione dei dati personali, con il provvedimento 12 febbraio 2026, n. 70, intervenendo su un caso emblematico che riguarda l’utilizzo di filmati di videosorveglianza per contestazioni disciplinari all’interno di un ente locale.
La decisione offre l’occasione per ribadire un principio che, nonostante anni di provvedimenti dell’Autorità, continua a essere trascurato nella prassi amministrativa. La videosorveglianza nei luoghi di lavoro non è un tema esclusivamente tecnologico o organizzativo, ma un problema di governance giuridica del trattamento dei dati personali. Videosorveglianza e lavoro pubblico: il nodo delle garanzie lavoristiche Il caso trae origine dal reclamo di un dipendente comunale al quale erano stati contestati alcuni comportamenti sulla base di fotogrammi estratti dalle telecamere installate presso un magazzino comunale. L’amministrazione aveva installato quattro telecamere, due esterne e due interne al magazzino, dichiarando di averlo fatto per finalità di tutela del patrimonio dell’ente a seguito di episodi di furto. Tuttavia il sistema era stato attivato senza accordo sindacale e senza autorizzazione dell’Ispettorato del lavoro, ritenendo che il magazzino non costituisse un vero e proprio luogo di lavoro . Il Garante respinge nettamente questa impostazione. Anche quando la presenza dei lavoratori è solo occasionale o indiretta, l’installazione di sistemi audiovisivi idonei a riprendere l’attività del personale ricade pienamente nell’ambito applicativo dell’articolo 4 dello Statuto dei lavoratori. Ne deriva che il trattamento è lecito solo se rispettate le garanzie procedurali previste dalla normativa lavoristica : accordo con le rappresentanze sindacali oppure autorizzazione dell’Ispettorato nazionale del lavoro; informativa completa ai dipendenti; rispetto delle finalità tassativamente previste dalla legge (organizzative, sicurezza del lavoro o tutela del patrimonio). L’assenza di tali presupposti rende il trattamento privo di base giuridica e quindi illecito . Il punto più delicato: l’utilizzo disciplinare delle immagini Il profilo più rilevante del provvedimento riguarda l’impiego delle immagini nel procedimento disciplinare. Il Comune aveva infatti estratto i fotogrammi delle telecamere per documentare la contestazione mossa al dipendente. Secondo il Garante questo passaggio è giuridicamente insostenibile. I dati raccolti tramite un sistema di videosorveglianza installato in violazione delle garanzie previste dall’articolo 4 dello Statuto dei lavoratori non possono essere utilizzati neppure successivamente per finalità disciplinari . La ragione è sistemica Il legislatore consente l’utilizzo delle informazioni raccolte tramite tali strumenti per tutti i fini connessi al rapporto di lavoro solo se l’acquisizione originaria dei dati è avvenuta lecitamente . In mancanza di questo presupposto, qualsiasi ulteriore trattamento, compresa l’estrazione e l’uso delle immagini, resta viziato da illegittimità, salvo un impiego giudiziario di carattere penale. In altri termini, la violazione della data governance iniziale “contamina” il ciclo di vita del dato. Trasparenza e DPIA. Gli altri deficit della governance Il provvedimento evidenzia ulteriori criticità tipiche nella gestione dei sistemi di videosorveglianza negli enti pubblici. In primo luogo, l’amministrazione non aveva fornito ai dipendenti una informativa specifica sulla videosorveglianza, ritenendo che i lavoratori non fossero destinatari diretti del trattamento. Anche questa tesi viene respinta. La mera possibilità di ripresa rende i dipendenti interessati al trattamento e impone il rispetto degli obblighi di trasparenza . In secondo luogo, la valutazione d’impatto (DPIA) era stata predisposta solo successivamente e senza data certa, oltre a non aver coinvolto il DPO. Per il Garante, quando un sistema video consente il monitoraggio dei lavoratori, soggetti qualificati come “interessati vulnerabili”, la DPIA deve essere svolta prima dell’attivazione del trattamento e con il coinvolgimento del responsabile della protezione dei dati. La sanzione e il messaggio per le amministrazioni locali All’esito dell’istruttoria l’Autorità ha dichiarato l’illiceità del trattamento e irrogato al Comune una sanzione amministrativa di 6.000 euro, tenendo conto delle dimensioni ridotte dell’ente e della collaborazione prestata nel corso del procedimento. La portata del provvedimento va tuttavia oltre il dato sanzionatorio. Il messaggio che emerge con chiarezza è che la videosorveglianza nel contesto lavorativo non può essere gestita come una semplice infrastruttura di sicurezza. Si tratta piuttosto di un sistema di trattamento dati che richiede una vera architettura di data governance preventiva, nella quale devono convivere diritto del lavoro, protezione dei dati personali e organizzazione amministrativa .