La videosorveglianza aziendale è uno strumento sempre più diffuso nelle organizzazioni, ma la sua adozione richiede una gestione attenta e conforme alla normativa vigente. A San Marino, le imprese devono rispettare sia la Legge 171/2018 della Repubblica di San Marino sia il Regolamento UE 2016/679 (GDPR), due riferimenti normativi che definiscono con precisione obblighi, responsabilità e limiti nell’utilizzo dei sistemi di ripresa. Ignorare questi vincoli espone l’organizzazione a rischi legali, reputazionali e operativi che possono essere evitati con un approccio strutturato e consapevole.
Perché la videosorveglianza è un trattamento di dati personali
Le immagini registrate da telecamere aziendali costituiscono, a tutti gli effetti, dati personali: esse possono identificare direttamente le persone riprese. Di conseguenza, qualsiasi sistema di videosorveglianza attivato in un contesto lavorativo ricade nell’ambito di applicazione della normativa sulla protezione dei dati. Questo vale per le telecamere installate negli ingressi, nei magazzini, negli uffici o nelle aree comuni, indipendentemente dalla finalità dichiarata — sia essa la sicurezza dei beni, la prevenzione di illeciti o la protezione del personale.
Il principio fondamentale è la proporzionalità: il sistema deve essere strettamente necessario rispetto agli obiettivi perseguiti e non deve eccedere quanto indispensabile. Prima di attivare qualsiasi impianto, l’organizzazione deve chiedersi se esistano misure meno invasive in grado di raggiungere lo stesso scopo.
Obblighi normativi principali per le aziende a San Marino
Le aziende che operano nel territorio della Repubblica di San Marino devono rispettare un quadro normativo articolato. Di seguito i principali adempimenti richiesti.
1. Base giuridica e finalità del trattamento
Prima di installare un sistema di videosorveglianza, è necessario identificare una base giuridica valida per il trattamento dei dati. Nel contesto aziendale, questa può essere il legittimo interesse del titolare (ad esempio, la tutela del patrimonio aziendale) oppure, in alcuni casi, l’adempimento di obblighi di legge. La finalità deve essere determinata, esplicita e legittima: non è ammesso raccogliere immagini per scopi generici o indeterminati.
2. Informativa agli interessati
I dipendenti, i visitatori e chiunque possa essere ripreso devono essere informati in modo chiaro e accessibile dell’esistenza del sistema di videosorveglianza. L’informativa — spesso fornita tramite cartelli visibili posizionati nelle aree sorvegliate — deve indicare chi è il titolare del trattamento, quali sono le finalità, per quanto tempo vengono conservate le immagini e quali diritti spettano agli interessati.
3. Tempi di conservazione delle immagini
Uno degli aspetti più critici della videosorveglianza aziendale riguarda i tempi di conservazione dei filmati. La normativa impone che le immagini vengano cancellate entro un termine congruo rispetto alle finalità dichiarate — generalmente 24-72 ore per i contesti ordinari, con possibili eccezioni motivate da specifiche esigenze di sicurezza. Conservare le registrazioni oltre i limiti previsti costituisce una violazione grave del principio di minimizzazione dei dati.
4. Gestione sicura degli accessi
Solo le persone autorizzate devono poter accedere alle immagini registrate. È necessario definire con precisione ruoli e responsabilità: chi può visualizzare i filmati, in quali circostanze, con quali strumenti. Gli accessi devono essere tracciati e periodicamente verificati. Consentire l’accesso indiscriminato alle registrazioni — anche all’interno dell’organizzazione — rappresenta un rischio concreto di non conformità.
5. Misure di sicurezza tecniche e organizzative
I sistemi di videosorveglianza devono essere protetti da accessi non autorizzati, sia fisicamente (protezione dei dispositivi di registrazione) sia informaticamente (cifratura dei dati, autenticazione degli accessi, backup sicuri). La sicurezza dell’impianto è parte integrante della conformità normativa e non può essere trascurata in fase di progettazione o gestione.
6. Registro dei trattamenti
Il trattamento relativo alla videosorveglianza deve essere documentato nel Registro dei Trattamenti, strumento obbligatorio per le organizzazioni soggette al GDPR. Questo documento descrive le caratteristiche del trattamento, le categorie di dati trattati, le finalità, i tempi di conservazione e le misure di sicurezza adottate.
7. Valutazione d’impatto (DPIA)
In alcuni casi — ad esempio, quando la videosorveglianza copre aree estese, coinvolge categorie particolari di dati o prevede tecnologie avanzate come il riconoscimento facciale — è obbligatorio effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA). Questo strumento consente di identificare i rischi e definire le misure idonee a mitigarli prima che il trattamento venga avviato.
Videosorveglianza e rapporto di lavoro: attenzione al contesto
In ambito aziendale, la videosorveglianza si interseca con la disciplina del rapporto di lavoro. Il controllo indiretto dei lavoratori tramite telecamere è soggetto a regole specifiche: è necessario distinguere tra impianti installati per ragioni di sicurezza — ammessi con adeguata informativa — e sistemi che potrebbero configurarsi come controllo a distanza dell’attività lavorativa, per i quali sono previste garanzie aggiuntive. Una corretta valutazione normativa preventiva è indispensabile per evitare contestazioni.
L’approccio corretto: prima la valutazione, poi la tecnologia
Un errore frequente è quello di acquistare e installare un sistema di videosorveglianza senza aver prima chiarito obblighi, responsabilità e limiti normativi. La filosofia corretta è opposta: la decisione viene prima della tecnologia. Questo significa valutare la necessità dell’impianto, definire le finalità, identificare la base giuridica, progettare le misure di sicurezza e predisporre la documentazione necessaria — tutto prima dell’attivazione del sistema.
Solo un approccio integrato, che combini competenza tecnica e competenza legale, consente di adottare un sistema di videosorveglianza che sia al tempo stesso efficace e conforme. Le organizzazioni che seguono questo metodo riducono significativamente il rischio di sanzioni, contenziosi e danni reputazionali.
Come B&P Keystone supporta le aziende a San Marino
B&P Keystone offre alle aziende presenti nella Repubblica di San Marino un supporto strutturato per la conformità dei sistemi di videosorveglianza, integrando la conoscenza della Legge 171/2018 sammarinese con i requisiti del GDPR europeo. Il percorso include la valutazione di proporzionalità e necessità dell’impianto, la predisposizione dell’informativa e della cartellonistica, la definizione dei ruoli e degli accessi, la stesura delle procedure operative e l’inserimento del trattamento nel Registro dei Trattamenti.
L’approccio è pratico e orientato all’azione: non documentazione fine a sé stessa, ma processi adottabili e sostenibili nel tempo, con un presidio continuo che garantisce aggiornamento normativo e audit periodici.
Inizia oggi a mettere in regola il tuo sistema di videosorveglianza
Se la tua azienda utilizza — o sta valutando di installare — un sistema di videosorveglianza, è il momento giusto per verificare la conformità alla normativa vigente. Un assessment preliminare consente di identificare le criticità, definire le priorità e avviare un percorso di adeguamento concreto.
Richiedi una consulenza gratuita a B&P Keystone: il team ti guiderà passo dopo passo verso una videosorveglianza aziendale conforme, proporzionata e gestita in modo sicuro. Visita www.bepkeystone.com per scoprire come possiamo supportarti.