L’informativa sulla videosorveglianza dei dipendenti ai sensi del GDPR è il documento con cui il datore di lavoro comunica in modo chiaro l’esistenza delle telecamere, le finalità (ad esempio sicurezza e tutela del patrimonio), la base giuridica, i tempi di conservazione delle immagini, chi può accedervi e i contatti del titolare ed eventuale DPO. Serve a garantire trasparenza, a permettere ai lavoratori di conoscere ed esercitare i propri diritti e a dimostrare la conformità a GDPR, Codice Privacy e all’art. 4 dello Statuto dei Lavoratori, che richiede accordo sindacale o autorizzazione dell’Ispettorato prima dell’attivazione. Chiarisce che le riprese sono proporzionate, non mirate al controllo a distanza della prestazione, escludono aree sensibili e prevedono tempi di conservazione contenuti (di norma 24–72 ore salvo esigenze di indagine), con idonea segnaletica. In sintesi, è lo strumento informativo che accompagna l’uso delle telecamere in azienda, riducendo rischi di violazioni e sanzioni.
Come scrivere Informativa videosorveglianza dipendenti GDPR
L’informativa deve identificare con precisione il titolare del trattamento, con i relativi recapiti e, se nominato, il DPO, indicando un canale semplice per contattarlo. Deve spiegare in modo chiaro perché vengono installate le telecamere, precisando finalità determinate, esplicite e legittime, tipicamente legate alla sicurezza delle persone, alla tutela del patrimonio aziendale, al controllo degli accessi e alla prevenzione di atti illeciti, escludendo la sorveglianza sistematica dell’attività lavorativa o la valutazione delle prestazioni. È necessario dichiarare la base giuridica del trattamento ai sensi dell’articolo 6 GDPR, che nella videosorveglianza dei dipendenti è normalmente l’interesse legittimo del datore di lavoro, accompagnato da una valutazione di bilanciamento, oppure l’adempimento di obblighi di legge specifici quando esistenti; va esplicitato che il consenso non è appropriato per via dello squilibrio nel rapporto datore-dipendente. L’informativa deve inoltre richiamare la disciplina lavoristica applicabile, chiarendo che l’impianto è stato installato nel rispetto dell’articolo 4 dello Statuto dei Lavoratori e delle indicazioni del Garante, con l’avvenuto accordo sindacale o l’autorizzazione dell’Ispettorato Nazionale del Lavoro quando richiesti, e deve indicare se e a quali condizioni le immagini potranno essere utilizzate anche per finalità disciplinari, circoscrivendo i presupposti e le garanzie.
Occorre descrivere quali dati sono trattati e come: immagini e, se previsto, audio, specificando di norma che la registrazione sonora non è attiva salvo stretta necessità e conformità di legge, nonché i metadati correlati come data, ora e area inquadrata. Vanno indicate le aree coperte, gli orari di funzionamento e le esclusioni di luoghi nei quali la ripresa è vietata o sproporzionata, come spogliatoi, servizi igienici, infermerie e zone di pausa, e va spiegato se è previsto solo il live view o anche la registrazione, se si usano mascheramenti o privacy zone e se vi sono zoom o analitiche. Se sono impiegate tecnologie ulteriori, come sistemi di videoanalisi o riconoscimento facciale, questo va dichiarato in modo espresso, con l’indicazione della base giuridica, delle logiche utilizzate e della necessità di specifiche misure aggiuntive, evitando trattamenti di dati biometrici in assenza di presupposti normativi solidi. Deve essere chiarito se vi siano processi decisionali automatizzati o profilazioni e, nella prassi, indicato che non ve ne sono.
L’informativa deve precisare i tempi di conservazione e i criteri utilizzati per determinarli, adottando periodi brevi e predeterminati, di regola nell’ordine di 24-72 ore e comunque non oltre pochi giorni, con eventuali estensioni eccezionali solo se motivate da festività, chiusure o esigenze investigative su specifici eventi e con adeguata registrazione delle ragioni. Va spiegato chi può accedere alle immagini, con limitazione a personale autorizzato istruito e vincolato alla riservatezza, e indicare i destinatari o le categorie di destinatari, come fornitori di sicurezza o IT nominati responsabili del trattamento e, se del caso, autorità giudiziaria o di polizia. Se i flussi o i sistemi di conservazione implicano trasferimenti verso Paesi extra UE/SEE, è obbligatorio informare sui trasferimenti, sulle garanzie utilizzate come decisioni di adeguatezza o clausole contrattuali standard e su come ottenerne copia.
Devono essere illustrate in modo comprensibile le misure di sicurezza applicate, almeno a livello di principi, come il controllo degli accessi, la cifratura o pseudonimizzazione dove possibile, la segregazione delle reti, i log di consultazione delle immagini e le procedure di gestione degli incidenti. È utile spiegare che è stata effettuata, quando richiesta, una valutazione d’impatto sulla protezione dei dati per il monitoraggio sistematico su larga scala e che sono state adottate misure per minimizzare l’invasività, come l’orientamento delle telecamere e la limitazione delle funzionalità non indispensabili.
L’informativa deve elencare in modo chiaro i diritti degli interessati previsti dagli articoli da 15 a 22 del GDPR, con le modalità per esercitarli: accesso alle immagini, rettifica nei limiti tecnici, cancellazione quando applicabile, limitazione, opposizione al trattamento basato su legittimo interesse e portabilità se pertinente, oltre al diritto di proporre reclamo al Garante per la protezione dei dati personali con i relativi recapiti. Va chiarito se la comunicazione dei dati tramite videosorveglianza è necessaria per accedere e permanere in determinate aree aziendali e quali siano le conseguenze dell’eventuale rifiuto, come l’impossibilità di ingresso in zone protette. È bene indicare la data dell’ultima versione dell’informativa e dove reperire la versione aggiornata, adottando un approccio per livelli che preveda un cartello ben visibile nelle aree riprese con pittogramma, finalità principali, identità del titolare e rimando tramite link o QR code all’informativa estesa messa a disposizione ai dipendenti, ad esempio sull’intranet aziendale o nel fascicolo del personale.
Esempio Informativa videosorveglianza dipendenti GDPR
Titolare del trattamento
– Denominazione: _______________
– Sede legale: _______________
– Partita IVA/Codice fiscale: _______________
– Recapiti: _______________ (telefono) — _______________ (email) — _______________ (PEC)
– Eventuali contitolari del trattamento: _______________ (se applicabile, indicare ruoli e accordo di contitolarità)
Responsabile della protezione dei dati (DPO)
– Nominativo: _______________
– Recapiti: _______________ (email) — _______________ (PEC) — _______________ (telefono)
Finalità del trattamento
– Sicurezza delle persone e dei beni, tutela del patrimonio aziendale e prevenzione/individuazione di atti illeciti
– Controllo e gestione degli accessi, safety e gestione delle emergenze
– Ricostruzione di eventi, incidenti o infortuni e gestione di contenziosi
– Adempimento di obblighi di legge e regolamentari in materia di sicurezza dei luoghi di lavoro
– Ulteriori finalità: _______________ (se presenti)
Base giuridica del trattamento
– Legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR) alla tutela della sicurezza e del patrimonio; valutazione comparativa disponibile su richiesta: _______________
– Adempimento di obblighi di legge (art. 6, par. 1, lett. c GDPR): _______________ (es. normativa sicurezza sul lavoro)
– Esecuzione di compiti di interesse pubblico (art. 6, par. 1, lett. e GDPR): _______________ (se applicabile)
– Il consenso non è richiesto per le finalità sopra indicate
Conformità all’art. 4 L. 300/1970 (Statuto dei Lavoratori)
– Impianto installato previo: __ Accordo sindacale / __ Autorizzazione Ispettorato Nazionale del Lavoro
– Estremi accordo/provvedimento: _______________ (protocollo/data)
– Destinazione dell’impianto: esigenze organizzative e produttive / sicurezza del lavoro / tutela del patrimonio
Aree videosorvegliate e orari di funzionamento
– Siti/Unità locali interessate: _______________
– Aree interne: _______________ (es. ingressi, corridoi, magazzini, aree casse)
– Aree esterne: _______________ (es. perimetro, parcheggi, varchi)
– Aree escluse: servizi igienici, spogliatoi, aree ricreative e private, luoghi di culto o sindacali, salvo inderogabili esigenze di sicurezza: _______________
– Orari di attivazione: _______________ (es. H24 / fascia oraria)
– Segnaletica informativa conforme posizionata in prossimità delle telecamere: __ Sì / __ No (descrizione: _______________)
Categorie di dati trattati
– Immagini e video degli interessati
– Dati relativi a transiti e tempi di permanenza nelle aree inquadrate
– Dati di targa/identificativi veicoli se inquadrati incidentalmente
– Audio: __ Non acquisito / __ Acquisito (motivazione e base giuridica: _______________)
– Metadati tecnici e log di accesso al sistema
Modalità del trattamento
– Ripresa: __ continua / __ motion detection / __ su evento (descrizione: _______________)
– Visione in tempo reale: __ Sì / __ No (soggetti autorizzati: _______________)
– Registrazione: __ Sì / __ No (parametri: risoluzione _______________, fps _______________)
– Mascheramenti/privacy zone: __ Sì / __ No (descrizione: _______________)
– Non sono effettuate decisioni automatizzate né profilazione basata sulle immagini: __ Confermato / __ Eccezioni: _______________
– Tecnologie utilizzate (marca/modello/NVR/VMS/cloud): _______________
Periodo di conservazione
– Conservazione ordinaria: _______________ ore/giorni
– Estensioni per festività/chiusure o specifici rischi: fino a _______________ (motivazione: _______________)
– Conservazione in caso di eventi/illeciti: fino alla conclusione degli accertamenti/procedimenti, e comunque non oltre _______________
Destinatari e soggetti autorizzati
– Personale interno espressamente autorizzato e istruito: _______________ (ruoli/funzioni)
– Fornitori e manutentori nominati Responsabili del trattamento (art. 28 GDPR): _______________
– Compagnie assicurative/consulenti legali in caso di sinistro/contenzioso: _______________
– Autorità giudiziaria e Forze dell’Ordine su richiesta motivata
– Altri destinatari: _______________
– Elenco aggiornato dei Responsabili disponibile presso: _______________
Trasferimenti extra UE/SEE
– Non previsti: __ Sì / __ No
– Se previsti: Paesi di destinazione _______________, base giuridica (artt. 45–46 GDPR) _______________, misure supplementari _______________
Sicurezza dei dati
– Misure tecniche: cifratura a riposo/in transito _______________, controllo accessi con MFA _______________, hardening dispositivi _______________, registrazione e revisione log _______________
– Misure organizzative: policy di autorizzazione e rotazione credenziali _______________, istruzioni operative _______________, audit periodici _______________
– Collocazione fisica server/NVR: _______________ (con controllo accessi fisico _______________)
Utilizzo delle immagini
– Le immagini sono utilizzate esclusivamente per le finalità indicate e non per un controllo a distanza dell’attività lavorativa oltre i limiti di legge
– Uso a fini disciplinari: __ Ammesso / __ Non ammesso (condizioni e riferimenti a normativa/accordo/autorizzazione: _______________)
– Estrazione/copia delle registrazioni: consentita solo previa autorizzazione di _______________ e tracciamento nel registro accessi
Diritti degli interessati
– Accesso (art. 15), rettifica (nei limiti tecnici), cancellazione (art. 17), limitazione (art. 18), portabilità (ove applicabile), opposizione (art. 21)
– Diritto di proporre reclamo al Garante per la protezione dei dati personali: www.garanteprivacy.it — contatti: _______________
Modalità di esercizio dei diritti
– Canali di contatto: _______________ (email) — _______________ (PEC) — _______________ (indirizzo postale)
– Informazioni da fornire per la ricerca delle immagini (data/ora/luogo, riferimento, abbigliamento/descrittori): _______________
– Tempi di riscontro: _______________ (max 30 giorni salvo proroghe)
– Limiti tecnici e tutela di terzi: eventuale oscuramento/blur di soggetti terzi e dati eccedenti
Valutazione d’impatto sulla protezione dei dati (DPIA)
– DPIA: __ Sì / __ No
– Estremi e sintesi esito: _______________
– Consultazione preventiva del Garante: __ Sì / __ No — Estremi: _______________
Registro dei trattamenti
– Voce n. _______________ del Registro ai sensi dell’art. 30 GDPR
Formazione e istruzioni
– Personale autorizzato formato in data _______________ (programma: _______________)
– Istruzioni operative e policy interne disponibili presso: _______________
Aggiornamenti dell’informativa
– Versione: _______________
– Data di efficacia: _______________
– Modalità di comunicazione ai dipendenti: _______________ (es. intranet/affissione/invio email)
Contatti
– Per informazioni ulteriori: _______________ (ufficio/referente)
– Per il DPO: _______________
Presa visione
– Il dipendente dichiara di aver ricevuto e preso visione della presente informativa in data _______________
– Firma dipendente: _______________
– Firma per ricevuta del Titolare/HR: _______________