Il Garante per la protezione dei dati personali, con il provvedimento n.10196164 del 23 ottobre 2025, ha reso noto che un datore di lavoro non può utilizzare le riprese effettuate da un impianto di videosorveglianza collocato sulla pubblica via, per motivi di sicurezza urbana, per attivare un provvedimento disciplinare nei confronti di un proprio dipendente.  

Nel caso sottoposto al giudizio del Garante privacy una lavoratrice ha rappresentato che è stato attivato nei suoi confronti un procedimento disciplinare sulla base di una documentazione video e fotografica ottenuta mediante l’utilizzo illegittimo di impianti di videosorveglianza.

In particolare, la lavoratrice ha lamentato che l’ente da cui dipendeva (un Comune), nella persona del Sindaco, aveva incaricato un privato cittadino di riprenderla mentre pranzava con due colleghe in periodo di malattia, peraltro in maniera pienamente legittima in quanto al di fuori delle fasce di reperibilità. Tale filmato è stato poi trasmesso tramite un’applicazione informatica di messagistica istantanea sul cellulare privato del sindaco ed utilizzato all’insaputa della reclamante e del tutto illecitamente.

Inoltre, la reclamante ha segnalato che il Comune si sarebbe dotato di un sistema di videosorveglianza senza aver, tuttavia, collocato i richiesti cartelli informativi contenenti l’informativa sul trattamento dei dati personali di primo livello e, più in generale, senza aver adempiuto ai principali obblighi previsti dalla normativa in materia di protezione dei dati.

Secondo il Garante privacy il Comune ha violato le disposizioni del GDPR che riguardano la liceità del trattamento, la trasparenza, la mancata valutazione d’impatto (DPIA), l’uso illecito delle immagini nel rapporto di lavoro oltre ad aver avviato l’attività investigativa non consentita.

Più precisamente, il Comune ha usato le immagini delle telecamere poste anche davanti all'ingresso del Municipio per effettuare contestazioni disciplinari e per il successivo licenziamento, senza rispettare l’art. 4 dello Statuto dei lavoratori, per una finalità incompatibile con quella originaria (sicurezza urbana) e con un impiego di dati raccolti illecitamente.

Inoltre, incaricando un collaboratore di riprendere la dipendente durante il periodo di malattia, il sindaco si è reso colpevole di un’indagine vietata al datore di lavoro (art. 8 Statuto dei lavoratori), di un controllo sulla malattia in violazione dell’art. 5 Statuto (le verifiche spettano solo agli organi ispettivi sanitari) e di un trattamento di dati personali senza base giuridica.

In conclusione, il Garante ha ordinato al Comune di pagare una sanzione amministrativa di 15 mila euro per la violazione delle norme del GDPR e del Codice della privacy.