Introduzione
Con il provvedimento n. 628 del 23 novembre 2025, il Garante per la protezione dei dati personali ha sanzionato il Comune di Curtarolo con una multa complessiva di 15.000 euro per gravi violazioni del Regolamento (UE) 2016/679 (GDPR) nell’utilizzo di sistemi di videosorveglianza. Il caso assume particolare rilievo perché intreccia profili di protezione dei dati personali, disciplina dei controlli a distanza dei lavoratori e tutela della dignità della persona.
La decisione offre indicazioni di grande interesse per le pubbliche amministrazioni e, più in generale, per tutti i datori di lavoro che intendano utilizzare strumenti tecnologici di controllo.
I fatti
Il procedimento trae origine dal reclamo presentato da una ex dipendente comunale, la quale contestava l’uso di immagini di videosorveglianza installate sulla pubblica via per avviare nei suoi confronti un procedimento disciplinare conclusosi con il licenziamento.
Dall’istruttoria è emerso, inoltre, che il Comune aveva incaricato un proprio collaboratore di effettuare riprese video della dipendente durante il periodo di malattia, utilizzando successivamente tali filmati come prova disciplinare.
Le violazioni accertate dal Garante
1. Videosorveglianza priva di base giuridica adeguata
Il Garante ha rilevato che l’installazione delle telecamere non rispettava i presupposti normativi richiesti per la videosorveglianza su suolo pubblico. In particolare, per finalità di sicurezza urbana, i Comuni devono stipulare uno specifico patto con la Prefettura, nel quale siano chiaramente individuate le aree oggetto di sorveglianza.
Nel caso di specie, due telecamere erano state installate prima della stipula del patto e, in ogni caso, il documento non indicava in modo puntuale le zone videosorvegliate. Il Comune aveva inoltre richiamato generiche finalità di “tutela ambientale” e “controllo della circolazione stradale”, senza dimostrarne i presupposti di legge.
2. Informativa inadeguata agli interessati
I cartelli informativi erano stati apposti solo dopo l’avvio dell’istruttoria e risultavano comunque carenti. Essi non indicavano chiaramente il titolare del trattamento, riportavano finalità eccessivamente generiche e non fornivano indicazioni sui diritti degli interessati né sulle modalità per consultare l’informativa completa.
Il Garante ha ribadito la necessità di una trasparenza “a doppio livello”: un’informativa sintetica di primo livello, tramite cartelli, e un’informativa completa e facilmente accessibile di secondo livello.
3. Mancata valutazione di impatto sulla protezione dei dati
È stata accertata la violazione dell’obbligo di effettuare una valutazione di impatto (DPIA), richiesta quando il trattamento comporta una sorveglianza sistematica su larga scala di aree accessibili al pubblico. Tale obbligo risultava ancora più stringente considerando che una delle telecamere riprendeva l’ingresso della sede comunale, consentendo potenzialmente il controllo dei dipendenti.
4. Utilizzo illecito delle immagini per finalità disciplinari
Il profilo più grave riguarda l’uso delle immagini raccolte per finalità di sicurezza urbana a scopi disciplinari. Il Garante ha chiarito che si tratta di finalità incompatibili: i dati raccolti per uno specifico scopo non possono essere riutilizzati per finalità del tutto diverse.
Inoltre, la ripresa degli ingressi e delle uscite dei lavoratori configura un controllo a distanza, per il quale l’art. 4 dello Statuto dei Lavoratori impone la stipula di un accordo sindacale o, in alternativa, l’autorizzazione dell’Ispettorato del Lavoro. Nel caso concreto, nessuna di tali garanzie era stata attivata.
5. Indagini investigative illegittime sullo stato di salute
Il Garante ha censurato anche la condotta della Sindaca che aveva incaricato un collaboratore comunale di riprendere con il telefono cellulare la dipendente durante il periodo di malattia, dopo aver ricevuto segnalazioni informali sulla sua presenza in un ristorante.
Secondo l’Autorità, il datore di lavoro non può svolgere autonomamente indagini sullo stato di salute del dipendente. L’ordinamento prevede strumenti specifici, quali le visite mediche di controllo, proprio per evitare lesioni alla dignità e alla riservatezza del lavoratore.
Le sanzioni irrogate
Il Garante ha applicato due distinte sanzioni amministrative:
- 5.000 euro per le violazioni relative alla videosorveglianza sulla pubblica via;
- 10.000 euro per le violazioni in ambito lavorativo, ritenute più gravi per le conseguenze prodotte, culminate nel licenziamento della dipendente.
È stata inoltre disposta la pubblicazione del provvedimento sul sito istituzionale del Garante.
Lezioni operative
Dal provvedimento emergono alcuni principi fondamentali:
- la videosorveglianza pubblica richiede presupposti normativi rigorosi e non può fondarsi su finalità generiche;
- la trasparenza verso cittadini e lavoratori è un requisito imprescindibile;
- le finalità del trattamento non sono fungibili e non possono essere “mischiate”;
- i lavoratori godono di garanzie rafforzate anche quando le riprese avvengono in aree esterne;
- la dignità del lavoratore impone il divieto di indagini autonome sullo stato di salute.
Conclusioni
Il provvedimento n. 628/2025 costituisce un monito chiaro per tutte le pubbliche amministrazioni e per i datori di lavoro: l’uso delle tecnologie di sorveglianza deve avvenire nel rispetto rigoroso dei principi di proporzionalità, trasparenza e legalità. La sicurezza non può mai essere perseguita sacrificando i diritti fondamentali delle persone.