La videosorveglianza è ormai parte integrante del paesaggio urbano e commerciale: dalle telecamere nei negozi alle porte d’ingresso dei condomìni, fino ai sistemi intelligenti delle smart city.
La sua diffusione capillare risponde a esigenze reali di sicurezza, ma pone anche interrogativi significativi sulla tutela dei dati personali. Nonostante il GDPR sia in vigore dal 2018 e nonostante le Linee guida europee abbiano definito con precisione gli obblighi dei titolari del trattamento, il divario tra ciò che la legge richiede e ciò che spesso accade nella pratica è ancora molto ampio.
La normativa attuale stabilisce innanzitutto un principio fondamentale: ogni telecamera che riprende persone identificabili sta trattando dati personali e ricade pienamente nel perimetro del GDPR. Ciò significa che il titolare deve individuare una base giuridica appropriata, come il legittimo interesse quando la finalità è la sicurezza, oppure l’adempimento di un compito di interesse pubblico quando a installare il sistema è un ente pubblico. A questa base devono aggiungersi i principi cardine del GDPR, come la minimizzazione, che impone di riprendere solo ciò che è necessario, e la proporzionalità, che impedisce un uso eccessivo o non giustificato della sorveglianza.
La nascita di un sistema normativo complesso: cosa prevede realmente il GDPR
Quando si parla di videosorveglianza, spesso si pensa soltanto al posizionamento delle telecamere. In realtà il GDPR ha costruito un vero e proprio sistema di garanzie che accompagna tutta la vita del trattamento. La raccolta delle immagini deve essere limitata a una finalità specifica e non può trasformarsi in uno strumento di controllo generalizzato delle persone. L’informativa diventa un passaggio essenziale, perché permette a chi entra in un’area sorvegliata di sapere che sta per essere ripreso e per quali motivi. Le autorità europee hanno più volte chiarito che un cartello generico non è sufficiente e che la trasparenza deve essere reale, tanto più in un’epoca in cui i sistemi di sorveglianza possono integrarsi con funzioni avanzate come il rilevamento automatico di comportamenti sospetti.
Un altro punto spesso sottovalutato riguarda la necessità di valutare l’impatto sulla privacy in relazione al contesto specifico. La DPIA non è solo un documento tecnico, ma uno strumento di analisi che permette di capire se il sistema è bilanciato rispetto ai diritti degli interessati. Nei casi in cui la sorveglianza è massiva o sistematica, non svolgere una DPIA significa lasciare irrisolti rischi che potrebbero diventare oggetto di sanzioni. I provvedimenti degli ultimi anni mostrano come proprio l’assenza di questa analisi sia uno dei fattori più ricorrenti nelle violazioni riscontrate dalle autorità europee.
Il quadro normativo della videosorveglianza: obblighi, limiti e aggiornamenti 2025
Uno degli obblighi più spesso ignorati riguarda l’informativa. La legge prevede che chiunque stia per entrare in un’area soggetta a videosorveglianza debba essere informato prima di essere ripreso. L’informativa breve deve riportare almeno chi è il titolare, qual è la finalità del trattamento, quale base giuridica lo legittima e dove reperire ulteriori informazioni. I provvedimenti europei degli ultimi due anni mostrano che una parte consistente delle sanzioni deriva proprio dall’assenza o dalla scarsa qualità dell’informativa, spesso ancora ancorata a modelli superati o non aderenti agli standard attuali.
Un secondo tema cruciale è quello dei tempi di conservazione delle immagini. Le autorità europee hanno ribadito più volte, anche nel biennio 2024–2025, che la conservazione non può superare le 72 ore se non esistono motivazioni specifiche e adeguatamente documentate. Conservazioni più lunghe sono ammesse solo in casi particolari, come impianti industriali complessi o situazioni in cui l’individuazione di eventuali illeciti richiede più tempo, ma devono comunque essere giustificate da un’analisi dei rischi e da misure di sicurezza rafforzate.
In diversi scenari è necessaria anche una valutazione d’impatto sulla protezione dei dati. La DPIA diventa obbligatoria quando la videosorveglianza è sistematica, su larga scala o potenzialmente invasiva, per esempio in luoghi di lavoro, strutture scolastiche, contesti sanitari o aree particolarmente affollate. Le autorità europee nel 2023 e 2024 hanno emesso numerose sanzioni proprio per mancate DPIA, segno che molti titolari sottovalutano questo adempimento o lo considerano un passaggio formale, quando invece dovrebbe essere il cuore della progettazione di un impianto realmente conforme.
Una pratica che corre più della normativa: come funzionano davvero i sistemi installati
Se si analizzano gli impianti già attivi nelle città italiane, emergono dinamiche interessanti. Da un lato c’è l’aumento dei sistemi integrati, con telecamere collegate a software capaci di riconoscere movimenti sospetti e di segnalare automaticamente situazioni potenzialmente rischiose. Dall’altro lato, però, la configurazione tecnica non sempre rispetta i criteri del GDPR. Molti impianti registrano più dati del necessario, altri conservano immagini per periodi ingiustificati, altri ancora sono accessibili a un numero troppo elevato di persone senza un adeguato controllo degli accessi.
Il ricorso al cloud ha ulteriormente trasformato il panorama, perché ha reso più semplice gestire sistemi complessi ma ha introdotto nuove criticità. Nel 2025 cresce l’attenzione su dove siano realmente conservati i dati e su quali misure adottino i provider per garantire la sicurezza. Sono sempre più frequenti i controlli sulle infrastrutture che gestiscono immagini sensibili, soprattutto quando coinvolgono piattaforme con server ubicati fuori dall’Unione europea.
Guardando al futuro, la videosorveglianza entrerà sempre più in dialogo con l’intelligenza artificiale. L’EDPB ha annunciato aggiornamenti alle Linee guida per chiarire l’uso di tecnologie avanzate, dal riconoscimento facciale alle analisi comportamentali. Questo rende ancora più importante l’approccio consapevole richiesto dal GDPR: progettare la sorveglianza non come un semplice strumento di controllo, ma come un sistema che deve sempre essere bilanciato con i diritti fondamentali delle persone.
