Alcune aziende ricettive installano sistemi di videosorveglianza, con o senza registrazione delle immagini, per motivi di sicurezza. Poiché le aziende sono anche luoghi di lavoro, oltre alla normativa sulla privacy (GDPR) occorre rispettare anche le prescrizioni dello Statuto dei lavoratori.

Per il trattamento di tali dati (si parla per lo più di immagini) non è richiesto il consenso dei soggetti interessati, poiché si persegue il legittimo interesse dell’azienda a tutelare le persone ed i beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo e per finalità di prevenzione incendi e di sicurezza del lavoro[1].

All’uopo occorre informare clienti, ospiti e lavoratori nel caso in cui sia installato un sistema di videosorveglianza in alcune aree della struttura ricettiva, individuabili per la presenza di appositi cartelli, e se le immagini siano o meno registrate. Occorre inoltre informare che per tale trattamento non è richiesto il consenso. 

Le immagini così registrate devono essere cancellate nei termini previsti dal Garante (dopo 24 ore, salvo festivi o altri casi di chiusura dell’esercizio, e comunque non oltre una settimana) salvo i casi in cui si debba aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria[2].

In alcuni casi il trattamento deve essere inserito in un registro delle attività di trattamento (per le imprese con almeno 250 dipendenti, o nel caso di trattamenti che mettono a rischio diritti e libertà dell’interessato).

Il trattamento deve essere effettuato previa analisi dei rischi e implementazione delle misure ritenute idonee per limitare tali rischi.

Nella generalità dei casi non è richiesta una valutazione di impatto preventiva (DPIA – Data Protection Impact Assessment) salvo nei casi in cui vi è l’associazione delle immagini a dati biometrici o qualora si utilizzino sistemi “intelligenti” in grado di rilevare automaticamente comportamenti o eventi anomali.

[1] Garante Privacy, Registro dei provvedimenti n. 201 del 20 aprile 2017

[2] Garante Privacy, Registro dei provvedimenti n.  142 del 14 aprile 2011; Registro dei provvedimenti
n. 16 del 17 gennaio 2013.