Nota al provvedimento del Garante per la protezione dei dati personali n. 42/2026

Il tema della videosorveglianza a scuola, fra esigenze di sicurezza e tutela dei diritti e delle libertà fondamentali di personale docente, non docente e alunni.

Indice

• 1. Ricostruzione dei fatti
• 2. Inquadramento giuridico: normativa applicabile
• 3. Profili di illiceità del trattamento
  • 3.1 Assenza di idonea base giuridica e mancata DPIA
  • 3.2 Violazione dell’art. 4 dello Statuto dei lavoratori
  • 3.3 Duplicazione non autorizzata dei dati tramite dispositivo personale
  • 3.4 Comunicazione illecita a terzi
• 4. Il comportamento conforme richiesto dall’ordinamento
• 5. Conclusioni
• Istruzioni operative per il personale scolastico

1. Ricostruzione dei fatti

La vicenda trae origine dal reclamo presentato dai genitori di un minore frequentante l’Istituto San Giuseppe La Salle di Milano, il quale era rimasto vittima di un infortunio durante l’orario scolastico. Nell’ambito della successiva richiesta di risarcimento danni nei confronti della compagnia assicuratrice, i genitori venivano a conoscenza dell’esistenza di un filmato dell’accaduto.

Il provvedimento in esame si segnala per aver affrontato in modo particolarmente rigoroso il tema della perdita di controllo del dato derivante da pratiche informali di duplicazione delle immagini di videosorveglianza.
L’istruttoria condotta dall’Autorità ha evidenziato come l’Istituto avesse installato e gestisse un sistema di videosorveglianza articolato (composto da 24 telecamere), operante anche in ambienti interni durante l’attività didattica.

È emerso, inoltre, che una docente aveva effettuato, mediante il proprio dispositivo personale, una ripresa dello schermo del computer su cui venivano visualizzate le immagini del sistema di videosorveglianza. Tale registrazione, costituente una copia non ufficiale delle immagini, veniva successivamente trasmessa a un investigatore privato incaricato dalla compagnia assicurativa.

Particolare rilievo assume, nella ricostruzione dei fatti, la creazione di un flusso informativo parallelo e non autorizzato rispetto a quello governato dal titolare del trattamento, con conseguente perdita di controllo sulle modalità di circolazione dei dati personali.

2. Inquadramento giuridico: normativa applicabile

La fattispecie si colloca all’intersezione tra disciplina europea e normativa nazionale in materia di protezione dei dati personali e tutela dei lavoratori. In particolare, vengono in rilievo:

• il Reg. UE 2016/679, con specifico riferimento agli artt. 5 (principi di liceità, correttezza, trasparenza e accountability), 6 (basi giuridiche del trattamento), 13 (obblighi informativi), 35 (valutazione d’impatto sulla protezione dei dati) e 88 (trattamenti in ambito lavorativo);
• il D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy), segnatamente gli artt. 2-ter e 114;
• l’art. 4 della legge 20 maggio 1970, n. 300 (Statuto dei lavoratori), che disciplina l’installazione di impianti audiovisivi dai quali possa derivare anche solo potenzialmente un controllo a distanza dell’attività lavorativa.
  In tale contesto normativo, assume rilievo centrale anche il principio di accountability di cui all’art. 5, par. 2, Reg. UE 2016/679, che impone al titolare non solo il rispetto dei principi applicabili al trattamento, ma anche la capacità di dimostrarne concretamente l’osservanza.

Devono richiamarsi, altresì, le Linee guida dell’European Data Protection Board (EDPB) n. 3/2019 in materia di videosorveglianza, le quali sottolineano la necessità di un rigoroso bilanciamento tra esigenze di sicurezza e tutela dei diritti e delle libertà fondamentali degli interessati. Assume altresì rilievo il considerando 38 del GDPR, che impone una tutela rafforzata nei confronti dei minori, particolarmente esposti ai rischi derivanti da trattamenti invasivi quali la videosorveglianza.

3. Profili di illiceità del trattamento

L’Autorità ha individuato plurimi profili di illiceità nel trattamento dei dati personali effettuato dall’Istituto come di seguito analizzati.

3.1 Assenza di idonea base giuridica e mancata DPIA

Il sistema di videosorveglianza risultava caratterizzato da un’estensione significativa, incidendo su un contesto particolarmente delicato quale quello scolastico e coinvolgendo soggetti vulnerabili quali i minori.
In tale prospettiva, il trattamento avrebbe richiesto non solo l’individuazione di una idonea base giuridica ai sensi dell’art. 6 Reg. UE 2016/679, ma anche un adeguato bilanciamento degli interessi in gioco, tenuto conto dell’elevato grado di intrusività del sistema adottato.

Tale base giuridica sarebbe verosimilmente riconducibile all’interesse legittimo del titolare (art. 6, par. 1, lett. f, GDPR), subordinato tuttavia a un rigoroso test di bilanciamento, non adeguatamente svolto nel caso di specie. L’Istituto non aveva effettuato, inoltre, una valutazione d’impatto sulla protezione dei dati (DPIA), nonostante la sussistenza dei presupposti di cui all’art. 35 Reg. UE 2016/679.

La DPIA si rendeva infatti necessaria in presenza di un monitoraggio sistematico su larga scala in un ambiente sensibile, con conseguente elevato rischio per i diritti e le libertà fondamentali degli interessati.
Ulteriore profilo critico riguarda la mancata adeguata informazione degli interessati ai sensi dell’art. 13 GDPR, elemento essenziale per garantire la trasparenza del trattamento in contesti di videosorveglianza.

3.2 Violazione dell’art. 4 dello Statuto dei lavoratori

L’impianto di videosorveglianza risultava idoneo a determinare, quantomeno in via potenziale, un controllo a distanza dell’attività dei lavoratori. Tuttavia, esso era stato installato in assenza di accordo sindacale o di autorizzazione da parte dell’Ispettorato territoriale del lavoro.

Come chiarito dalla giurisprudenza e dalla prassi dell’Autorità, anche qualora l’impianto sia installato per finalità di sicurezza, esso resta soggetto alla disciplina dell’art. 4 dello Statuto dei lavoratori qualora consenta, anche indirettamente, il controllo dell’attività lavorativa.

3.3 Duplicazione non autorizzata dei dati tramite dispositivo personale

Il profilo di maggiore criticità è stato individuato nella condotta della docente che, mediante il proprio smartphone, ha effettuato una ripresa delle immagini visualizzate sul monitor. Tale operazione ha determinato la creazione di una copia non autorizzata dei dati personali, in violazione dei principi di limitazione della finalità e di sicurezza del trattamento.

La vicenda evidenzia una forma di trattamento non autorizzato riconducibile a fenomeni di “shadow processing”, ossia trattamenti paralleli e non governati che sfuggono al controllo del titolare, in contrasto con il principio di accountability.

La ripresa tramite dispositivo personale ha comportato la sottrazione dei dati al perimetro di controllo del titolare, generando un flusso informativo non tracciato e compromettendo l’integrità del sistema di gestione dei dati.
Ne deriva una violazione non solo dei principi di cui all’art. 5 Reg. UE 2016/679, ma anche degli obblighi di sicurezza e di controllo interno, con particolare riferimento alla gestione degli accessi e delle operazioni sui dati. Risultano compromesse, sostanzialmente, le misure tecniche e organizzative adeguate di cui all’art. 32 Reg. UE 2016/679, volte a prevenire accessi non autorizzati e duplicazioni indebite dei dati.

3.4 Comunicazione illecita a terzi

Il filmato così ottenuto veniva successivamente trasmesso a un investigatore privato incaricato dalla compagnia assicuratrice. Tale comunicazione integra un’ulteriore violazione, in quanto effettuata al di fuori di un canale formalizzato e in assenza di un’adeguata base giuridica o di istruzioni documentate da parte del titolare del trattamento.

La criticità risulta ulteriormente aggravata dall’assenza di una formale qualificazione dell’investigatore quale responsabile del trattamento ai sensi dell’art. 28 Reg. UE 2016/679, con conseguente carenza di garanzie circa le modalità di trattamento dei dati comunicati.

4. Il comportamento conforme richiesto dall’ordinamento

Alla luce del quadro normativo delineato, l’Istituto avrebbe dovuto:

• procedere alla stipula di un accordo sindacale o richiedere l’autorizzazione all’Ispettorato del lavoro prima dell’installazione dell’impianto;
• effettuare una valutazione d’impatto sulla protezione dei dati, individuando misure idonee a ridurre l’invasività del sistema;
• limitare l’angolo di ripresa e definire tempi di conservazione adeguati e proporzionati (a tal proposito si sarebbe dovuto applicare il principio di minimizzazione dei dati, limitando la raccolta alle sole informazioni strettamente necessarie rispetto alle finalità perseguite). Con riferimento a quest’ultimo aspetto, ancora, i tempi di conservazione (pari a 8-14 giorni) sono stati ritenuti dall’Autorità non adeguatamente giustificati nel caso concreto (principio di limitazione della conservazione – art. 5, par. 1, lett. e, Reg. UE 2016/679).

In occasione dell’infortunio, inoltre, la gestione delle immagini avrebbe dovuto avvenire esclusivamente attraverso i canali tecnici ufficiali del sistema di videosorveglianza.

Ciò avrebbe garantito la tracciabilità delle operazioni effettuate e il mantenimento del controllo da parte del titolare, in linea con il principio di accountability. Avrebbe dovuto altresì essere previsto un espresso divieto per il personale di effettuare riprese mediante dispositivi personali, accompagnato da adeguate istruzioni operative e misure organizzative interne.

5. Conclusioni

Il provvedimento dell’Autorità Garante n. 42/2026 ci ricorda che nel diritto della privacy “come” si gestisce l’informazione è altrettanto importante del “perché” la si raccoglie.

Il Garante ha irrogato una sanzione amministrativa pecuniaria pari a 12.000 euro nei confronti dell’ente titolare del trattamento (Provincia della Congregazione dei Fratelli delle Scuole Cristiane). Il provvedimento si inserisce nel consolidato orientamento dell’Autorità volto a contrastare pratiche di videosorveglianza eccedenti e non adeguatamente governate. Esso ribadisce, in particolare, che le esigenze di sicurezza, pur legittime, non possono tradursi in forme di sorveglianza indiscriminata, specie in contesti che coinvolgono soggetti vulnerabili quali i minori.

Di particolare rilievo è il richiamo al rischio connesso alla “circolazione informale” dei dati, che si realizza attraverso strumenti personali e al di fuori dei canali istituzionali, determinando una perdita di controllo incompatibile con i principi del Reg. UE 2016/679.

Il provvedimento assume dunque rilievo sistemico, in quanto evidenzia come la conformità al GDPR non possa esaurirsi nella corretta configurazione degli strumenti tecnologici, ma richieda un presidio effettivo delle condotte del personale e dei flussi informativi interni.

In definitiva, la decisione evidenzia la necessità di un governo rigoroso dei flussi informativi e di una piena conformità ai principi di liceità, proporzionalità e accountability nel trattamento dei dati personali.

Istruzioni operative per il personale scolastico

Si riporta uno schema di “Istruzioni Operative” per il personale scolastico.

Oggetto: Protocollo per la gestione delle immagini di videosorveglianza e divieto di utilizzo di dispositivi personali.

1. Finalità e ambito di applicazione

Le presenti istruzioni definiscono le modalità di interazione del personale docente e ATA con i sistemi di videosorveglianza dell’Istituto. L’obiettivo è garantire che il trattamento dei dati avvenga nel rispetto della dignità, della riservatezza e dell’identità personale degli alunni e dei dipendenti stessi.

2. Divieto assoluto di ripresa mediante dispositivi privati

È fatto divieto assoluto a tutto il personale di effettuare riprese, fotografie o registrazioni audio/video delle immagini visualizzate sui monitor della centrale di controllo o sui computer dell’amministrazione mediante l’utilizzo di smartphone, tablet o altri dispositivi personali.

La creazione di copie “informali” sottrae il dato al controllo del Titolare (la Scuola) e configura una violazione delle misure di sicurezza del trattamento (trattasi in tal caso di quella che potremmo definire “catena di sicurezza informatica”).

3. Procedura in caso di incidenti o infortuni

Qualora si verifichi un evento (infortunio, atto vandalico, accesso non autorizzato) che richieda l’esame delle registrazioni, il personale deve attenersi al seguente iter:

1. Segnalazione: Inviare tempestiva comunicazione scritta al Dirigente Scolastico o al Responsabile del Trattamento designato.
2. Verifica della conservazione: Il personale autorizzato verificherà la presenza delle immagini, assicurandosi che non vengano sovrascritte dal sistema (rispettando i termini di conservazione stabiliti nella DPIA).
3. Estrazione ufficiale: L’estrazione delle immagini può avvenire esclusivamente su supporti digitali crittografati forniti dall’Istituto e solo previa autorizzazione formale.
4. Gestione delle richieste esterne (Assicurazioni e Autorità)
   Nessun docente o collaboratore è autorizzato a consegnare filmati o copie degli stessi a soggetti terzi (avvocati, investigatori privati, periti assicurativi) di propria iniziativa.
   Le richieste di accesso ai dati devono essere indirizzate formalmente alla Segreteria.
   La consegna dei dati deve essere tracciata mediante un verbale di consegna, indicando la base giuridica della comunicazione (es. esercizio di un diritto in sede giudiziaria).

5. Responsabilità e Sanzioni

Il mancato rispetto delle presenti istruzioni espone il dipendente a:

• Responsabilità disciplinare ai sensi del CCNL di comparto;
• Responsabilità civile e penale in caso di diffusione illecita di dati personali sensibili o riguardanti minori.

LINK UTILI

• PROVVEDIMENTO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI N. 42/2026
• REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI
• VISITA LA SEZIONE CITTADINANZA DIGITALE E PRIVACY