Quando le riprese permettono di identificare clienti, dipendenti, fornitori o passanti, le immagini diventano dati personali e la videosorveglianza rientra nella disciplina privacy.
Il tema, quindi, non è solo tecnico. Un impianto può essere utile per prevenire furti, proteggere la merce, aumentare la sicurezza del personale e documentare episodi critici. Ma deve essere progettato in modo conforme: con una finalità chiara, una base giuridica adeguata, un’informativa corretta, tempi di conservazione definiti, accessi controllati e particolare attenzione se nel punto vendita lavorano dipendenti. Ne abbiamo parlato con gli esperti di Sicuro24.it, specializzati in antifurto per negozi.
Quando le telecamere in negozio sono lecite
Le telecamere in negozio sono lecite quando rispondono a una finalità specifica e giustificata. Le ragioni più frequenti sono la sicurezza delle persone, la prevenzione dei furti, la tutela del patrimonio aziendale, il controllo degli accessi e la protezione di aree esposte a rischi concreti.
Il riferimento di fondo è l’art. 5 del GDPR, che impone principi come liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati e conservazione per un tempo non superiore al necessario. Applicati alla videosorveglianza, questi principi significano che il negoziante non può riprendere più del necessario né usare le immagini per scopi diversi da quelli dichiarati.
Serve anche una base giuridica. Nella maggior parte dei casi, per un negozio, il riferimento più coerente è il legittimo interesse previsto dall’art. 6, par. 1, lett. f) del GDPR: sicurezza, prevenzione dei furti e tutela del patrimonio. Questo interesse, però, non è un’autorizzazione automatica. Deve essere bilanciato con i diritti e le libertà delle persone riprese.
Dire che l’impianto serve “per controllare meglio il negozio” è troppo generico. È più corretto individuare finalità precise: sorvegliare l’ingresso, proteggere la cassa, prevenire ammanchi in una zona sensibile, documentare danneggiamenti o aumentare la sicurezza durante apertura e chiusura.
Un impianto ordinario non richiede di norma un’autorizzazione preventiva del Garante, ma il titolare resta responsabile delle proprie scelte. Nei sistemi più articolati o invasivi, per esempio con molte telecamere, monitoraggio sistematico, accesso remoto esteso o tecnologie evolute, può essere opportuno valutare anche una DPIA, cioè una valutazione d’impatto ai sensi dell’art. 35 GDPR.
Cartelli e informativa: cosa deve sapere chi entra
Chi entra in un negozio videosorvegliato deve essere informato prima di accedere all’area ripresa. Il cartello non è una formalità da sistemare alla fine: è il primo livello di trasparenza verso clienti, fornitori, visitatori e personale.
Il riferimento è l’art. 13 GDPR, che disciplina le informazioni da fornire agli interessati quando i dati personali vengono raccolti. Nel caso della videosorveglianza, questo obbligo si traduce in un’informativa breve, visibile prima dell’area ripresa, e in un’informativa completa facilmente accessibile.
Il cartello dovrebbe indicare almeno la presenza della videosorveglianza, il titolare del trattamento, la finalità delle riprese e il rinvio all’informativa estesa. Non basta un adesivo con il simbolo della telecamera: segnala la presenza dell’impianto, ma non spiega davvero come vengono trattati i dati.
L’informativa completa deve contenere elementi più dettagliati: base giuridica, tempi di conservazione delle immagini, diritti degli interessati, eventuali destinatari dei dati, modalità per esercitare i diritti e contatti del titolare. In pratica, il negozio può usare un cartello sintetico con QR code, link a una pagina dedicata o indicazione di dove consultare il documento completo.
L’obiettivo non è appesantire l’esperienza del cliente, ma rendere chiaro che le immagini vengono raccolte per finalità determinate e non in modo occulto, ambiguo o indifferenziato.
Telecamere e dipendenti: il punto più delicato
Il nodo più delicato della videosorveglianza nei negozi riguarda i lavoratori. Una telecamera installata per proteggere la cassa, il banco vendita o il magazzino può avere una finalità legittima, ma può anche riprendere in modo continuativo i dipendenti durante l’attività lavorativa.
In questi casi non basta ragionare solo in termini di GDPR. Entra in gioco anche l’art. 4 dello Statuto dei lavoratori, che disciplina gli impianti audiovisivi dai quali può derivare un controllo a distanza dell’attività dei dipendenti. La norma consente questi strumenti solo per esigenze organizzative e produttive, sicurezza del lavoro o tutela del patrimonio aziendale, e nel rispetto delle procedure previste.
Questo significa che, in presenza di dipendenti, può essere necessario un accordo sindacale oppure un’autorizzazione dell’Ispettorato del Lavoro. Non è prudente impostare il tema come se bastasse far firmare un consenso al personale. Il consenso individuale del dipendente non sostituisce automaticamente le garanzie richieste quando l’impianto può comportare controllo a distanza.
Un esempio tipico è la telecamera orientata sulla cassa. Può essere giustificata per prevenire rapine, furti o ammanchi, ma se riprende stabilmente il cassiere per tutto il turno diventa un punto critico. Lo stesso vale per telecamere puntate su banconi, postazioni fisse, magazzini o aree operative in cui il personale lavora in modo continuativo.
Per questo la configurazione dell’impianto deve essere valutata prima dell’installazione. Affidarsi a professionisti che conoscono sia gli aspetti tecnici sia gli obblighi privacy consente di progettare un sistema realmente utile, evitando soluzioni apparentemente semplici ma difficili da giustificare.
Il criterio corretto non è controllare il lavoro quotidiano delle persone, ma proteggere il negozio in modo proporzionato. Se le immagini vengono poi usate per contestare pause, rendimento o abitudini del personale, il trattamento cambia natura e può diventare problematico.
Dove puntare le telecamere e quali zone evitare
La posizione delle telecamere è una scelta sostanziale, non solo tecnica. Un impianto può essere formalmente presente, ma risultare eccessivo se l’inquadratura raccoglie più dati del necessario.
In un negozio possono essere coerenti con la finalità di sicurezza le riprese dell’ingresso, dell’area cassa, dei corridoi principali, delle zone con merce di valore, del magazzino o dei punti più esposti a furti e danneggiamenti. Ogni inquadratura, però, dovrebbe poter essere motivata: quale rischio concreto si vuole prevenire? Perché quella zona deve essere ripresa?
Alcune aree devono essere escluse o trattate con estrema cautela. Bagni, spogliatoi, zone pausa e spazi assimilabili non dovrebbero essere ripresi. Anche le aree riservate al personale richiedono attenzione, soprattutto se la ripresa non è indispensabile rispetto alla finalità dichiarata.
Va evitata anche la raccolta di dettagli eccedenti: monitor, tastiere, documenti, codici, dati di pagamento o aree non pertinenti. Se una telecamera riprende l’esterno del negozio, l’inquadratura dovrebbe essere limitata alla porzione strettamente necessaria, come ingresso o vetrina, evitando di sorvegliare stabilmente marciapiedi, strada o attività vicine.
Ancora più delicata è la registrazione audio. Captare conversazioni di clienti o dipendenti è molto più invasivo della sola ripresa video e richiede una giustificazione particolarmente solida. Nei negozi, l’audio dovrebbe essere considerato un’eccezione, non una funzione da attivare automaticamente.
Per quanto tempo conservare le immagini
Uno degli errori più frequenti è conservare i filmati troppo a lungo “per sicurezza”. In realtà, l’art. 5 GDPR richiede anche la limitazione della conservazione: i dati personali devono essere conservati per un tempo non superiore a quello necessario rispetto alle finalità per cui sono raccolti.
Per un negozio ordinario, il criterio prudente è una conservazione breve, spesso entro le 24 ore, salvo esigenze specifiche. Periodi più lunghi possono essere giustificati in presenza di ragioni concrete: chiusure festive, apertura discontinua, necessità di verificare eventi avvenuti in assenza del personale, rischi particolari o episodi documentati.
La conservazione prolungata non può diventare lo standard solo perché il DVR lo consente. Tenere le immagini per settimane “finché c’è spazio” è difficilmente coerente con il principio di minimizzazione e con la limitazione della conservazione. Se serve un periodo superiore, deve esserci una motivazione chiara e proporzionata.
Va distinta la conservazione ordinaria dalla conservazione legata a un evento specifico. Se si verifica un furto, un danneggiamento o una rapina, le immagini pertinenti possono essere estratte e conservate per la gestione della denuncia o per metterle a disposizione delle autorità. Questo non autorizza però a mantenere tutte le registrazioni per tempi lunghi in modo sistematico.
Una buona configurazione dovrebbe prevedere la cancellazione automatica allo scadere del termine stabilito, evitando interventi manuali incerti o archivi non controllati.
Chi può vedere le registrazioni
La conformità non finisce con l’installazione dell’impianto. Anche l’accesso alle registrazioni deve essere regolato, perché le immagini sono dati personali e devono essere protette da consultazioni non autorizzate, copie improprie o usi diversi da quelli dichiarati.
Il riferimento principale è l’art. 32 GDPR, che richiede misure tecniche e organizzative adeguate al rischio. Nel caso della videosorveglianza, questo significa limitare gli accessi, usare credenziali sicure, proteggere le registrazioni e controllare eventuali accessi da remoto.
Non tutte le persone che lavorano nel negozio devono poter vedere i filmati. L’accesso dovrebbe essere riservato a soggetti autorizzati, individuati in base al ruolo e alla necessità: il titolare, un responsabile interno o figure specifiche incaricate di gestire eventi di sicurezza. Una password condivisa tra titolare, dipendenti e tecnico rende difficile capire chi abbia visto, copiato o scaricato le immagini.
Anche i fornitori esterni vanno considerati. Se l’installatore o il manutentore può accedere all’impianto, soprattutto da remoto, il rapporto deve essere disciplinato correttamente. In alcuni casi può essere necessario nominarlo responsabile del trattamento, perché non si limita a installare un dispositivo, ma può entrare in contatto con dati personali.
Sul piano pratico, servono misure concrete: cambio delle password di default, credenziali individuali, profili di autorizzazione, limitazione degli accessi remoti, aggiornamenti del sistema, protezione delle registrazioni e, quando disponibile, tracciamento degli accessi.
Nei casi in cui il registro dei trattamenti è obbligatorio o comunque opportuno, anche la videosorveglianza dovrebbe essere documentata ai sensi dell’art. 30 GDPR, indicando finalità, categorie di interessati, tempi di conservazione, destinatari e misure di sicurezza.
I filmati non devono essere mostrati a persone non autorizzate, inviati in chat, salvati su dispositivi personali o usati per finalità diverse da quelle dichiarate. Se il sistema è stato installato per sicurezza, non dovrebbe diventare uno strumento informale per controllare comportamenti, pause o prestazioni dei dipendenti.
La videosorveglianza nei negozi è legittima quando è progettata con criterio. Non serve riprendere di più: serve riprendere meglio. Finalità documentata, base giuridica, informativa corretta, inquadrature proporzionate, tempi di conservazione definiti, accessi controllati e attenzione ai lavoratori sono gli elementi che distinguono un impianto utile da un impianto rischioso.
Informazioni fornite in modo indipendente da un nostro partner nell’ambito di un accordo commerciale tra le parti. Contenuti riservati a un pubblico maggiorenne.