Garante privacy: sanzioni, videosorveglianza e nuove regole per imprese e cittadini

0

Nel pieno dell’estate digitale, il Garante per la protezione dei dati personali intensifica il proprio ruolo di vigilanza sul trattamento dei dati, con una newsletter che fotografa uno spaccato delle più recenti criticità e sanzioni nel panorama italiano. La newsletter n. 537 del 1° agosto 2025 si concentra su tre direttrici: le violazioni di sicurezza nei dati assicurativi, gli abusi nella gestione delle informazioni sanitarie dei lavoratori e l’allarme crescente sull’uso improprio della videosorveglianza nei negozi, oggetto di una specifica comunicazione inviata a Confcommercio. Tre vicende diverse ma accomunate dalla stessa urgenza: ristabilire equilibrio tra innovazione tecnologica e diritti fondamentali, tra automazione e trasparenza, tra esigenze aziendali e rispetto delle persone.

Videosorveglianza nei negozi: la lettera di avvertimento a Confcommercio

Il primo tema affrontato dal Garante riguarda un fenomeno in crescita esponenziale: l’installazione di sistemi di videosorveglianza nei negozi, spesso in violazione delle norme vigenti. Con una lettera inviata al presidente di Confcommercio-Imprese per l’Italia, l’Autorità segnala una moltiplicazione di comportamenti illeciti documentati in seguito a ispezioni condotte dalla Guardia di Finanza e dalla Polizia locale, con particolare riferimento a esercizi commerciali di piccole e medie dimensioni. Tra le principali violazioni rilevate spiccano l’assenza di cartelli informativi obbligatori, l’orientamento delle telecamere verso aree pubbliche o proprietà di terzi, la registrazione audio non autorizzata e la conservazione delle immagini oltre i limiti stabiliti. Particolarmente preoccupante, secondo il Garante, è l’uso delle telecamere per il controllo indiretto dei dipendenti, in violazione dello Statuto dei lavoratori. Nel documento viene richiamata la Linee guida 3/2019 del Comitato europeo per la protezione dei dati, che impongono limiti stringenti e l’obbligo di giustificare l’uso della videosorveglianza rispetto a finalità legittime. L’Autorità invita Confcommercio a diffondere ai propri soci le indicazioni aggiornate pubblicate nella sezione tematica sul sito istituzionale e propone forme di collaborazione per ridurre il rischio sanzionatorio, con particolare attenzione alla diffusione di telecamere low-cost installate senza consulenza specializzata. Il Garante sottolinea come trasparenza, proporzionalità e verificabilità siano i pilastri che devono guidare la gestione dei sistemi di monitoraggio visivo nei luoghi aperti al pubblico. L’intervento, definito proattivo da diversi esperti di settore, punta a educare le imprese prima ancora di sanzionarle, e a ridurre le asimmetrie informative tra commercianti e cittadini.

Il caso Poste Vita: data breach e responsabilità

Sul fronte delle sanzioni effettive, la newsletter segnala una multa da 80.000 euro inflitta a Poste Vita per un data breach che ha portato alla diffusione non autorizzata di dati personali e assicurativi di una cliente. Il caso nasce da un reclamo, a seguito del quale il Garante ha accertato misure tecniche inadeguate e una comunicazione tardiva della violazione, contravvenendo all’articolo 33 del GDPR, che impone la notifica entro 72 ore. L’incidente ha visto il trasferimento di informazioni su tre polizze vita a soggetti terzi, che le hanno poi utilizzate in un procedimento giudiziario. Gli errori si concentrano sulla gestione delle richieste via email, dove non è stata verificata la corrispondenza tra i recapiti forniti e quelli effettivamente autorizzati dalla cliente, la quale non aveva mai indicato un contatto elettronico. Il Garante ha considerato attenuanti l’adozione di nuove procedure di identificazione e il potenziamento dei sistemi di controllo implementati successivamente da Poste Vita. Tuttavia, la violazione è stata ritenuta grave per l’impatto potenziale sulla privacy e la reputazione del soggetto interessato, soprattutto in un ambito delicato come quello assicurativo. Oltre alla sanzione, l’Autorità ha imposto audit interni documentati, aggiornamenti dei sistemi IT con cifratura avanzata e l’adozione obbligatoria della verifica dell’identità tramite più fattori. Questo tipo di provvedimenti punta a rafforzare la resilienza infrastrutturale e a prevenire future esposizioni, in un contesto in cui i dati finanziari rappresentano asset sensibili, sempre più bersagliati da attacchi esterni e negligenze interne.

Multa a un’azienda automotive per questionari ai dipendenti

La terza sanzione, pari a 50.000 euro, riguarda un’azienda del settore automotive che ha somministrato questionari ai dipendenti rientrati da assenze per malattia o infortunio, raccogliendo informazioni sul loro stato di salute senza il consenso esplicito previsto dal Regolamento europeo 2016/679 (GDPR). L’indagine è stata avviata a seguito di una segnalazione sindacale. Il meccanismo prevedeva che i moduli fossero compilati da un responsabile di reparto e trasmessi all’Ufficio Risorse Umane, dove venivano utilizzati per valutazioni con il medico competente. Una prassi che, secondo il Garante, costituisce una grave violazione della normativa, in quanto comporta un trattamento sistemico di dati sanitari in assenza di fondamenti giuridici adeguati. Il Garante ha ordinato l’interruzione immediata della pratica e ha riconosciuto come parzialmente positivo l’impegno dell’azienda nell’adeguare le procedure e formare il personale in materia di privacy. Tuttavia, ha ritenuto necessario sanzionare retroattivamente l’abuso, soprattutto per la sua capacità di generare clima di sfiducia e stress psicologico tra i dipendenti, in contrasto con i principi di tutela della dignità lavorativa. L’azienda è stata obbligata a documentare i trattamenti tramite audit interni, a limitare la raccolta dati ai soli scopi legittimi, e a introdurre la privacy by design nei propri sistemi HR, in coerenza con gli standard europei.

Implicazioni per il sistema economico e normativo

Le tre vicende analizzate mostrano con evidenza l’evoluzione del ruolo del Garante: da organo sanzionatorio a regolatore sistemico, in grado di prevenire, educare e armonizzare comportamenti e policy aziendali con il quadro normativo europeo. Gli impatti non sono solo giuridici, ma economici e reputazionali. Le sanzioni a Poste Vita e all’azienda automotive mettono in luce come una gestione non conforme della privacy possa tradursi in danni alla fiducia dei clienti, multe pesanti e costi indiretti legati a consulenze, audit e ristrutturazioni organizzative. Parallelamente, la lettera a Confcommercio segnala una volontà di integrare i corpi intermedi nel processo di compliance, avviando un ciclo virtuoso in cui il rispetto delle regole non è più solo un obbligo, ma un vantaggio competitivo. In uno scenario in cui le tecnologie digitali – videosorveglianza, raccolta dati sanitari, gestione identità online – penetrano ogni aspetto della vita aziendale e sociale, il Garante assume un ruolo centrale nel definire gli standard della società dei dati. Il caso Poste Vita ha violato l’articolo 33 del GDPR per ritardo nella notifica del data breach, e l’articolo 32 per assenza di misure adeguate di sicurezza. Il Garante ha imposto log di audit trail obbligatori, con tracciamento di accessi tramite timestamp e indirizzi IP, e ha richiesto l’adozione della multifactor authentication per ridurre i rischi di impersonificazione. L’azienda automotive ha violato l’articolo 9 del GDPR, trattando categorie particolari di dati senza adeguate basi legali. I questionari, privi di anonimizzazione o consenso, hanno creato condizioni di monitoraggio non legittimo. Entrambi i casi dimostrano la necessità di integrare sistemi di privacy by design e by default, non solo per conformarsi, ma per rafforzare la resilienza organizzativa.