Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

Conformità al GDPR · Aggiornato 2026-05-05

Videosorveglianza sul luogo di lavoro ai sensi GDPR / RODO / DSGVO

Una tabella di marcia per la conformità al 2026 per i responsabili delle risorse umane, delle operazioni e della sicurezza che implementano la sorveglianza sul posto di lavoro nell'UE. Il livello minimo di conformità è GDPR ; il livello massimo è rappresentato dalla legislazione nazionale sul lavoro e dalla cogestione tra consiglio di fabbrica e azienda, che varia notevolmente da uno Stato membro all'altro.

I sette obblighi previsti dal GDPR in materia di videosorveglianza sul luogo di lavoro

Base giuridica. L'articolo 6(1)(f) relativo all'interesse legittimo è l'unica opzione realistica: il consenso non è valido perché i dipendenti non possono rifiutare liberamente, e l'articolo 6(1)(b) (esecuzione del contratto) è troppo restrittivo. Il test di bilanciamento dell'interesse legittimo deve essere documentato e rivisto annualmente.
DPIA (articolo 35). La videosorveglianza sul luogo di lavoro costituisce "un monitoraggio sistematico su larga scala" e comporta l'obbligo di effettuare una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) in ogni giurisdizione dell'UE. La DPIA documenta lo scopo, il test di proporzionalità, le alternative considerate (e le ragioni del loro rifiuto) e le misure adottate per minimizzare l'impatto.
Trasparenza (articoli 13-14). Prima di iniziare un incarico, ogni dipendente deve essere informato su cosa viene registrato, dove, perché, da chi, per quanto tempo e come esercitare i propri diritti. Un'informativa sulla privacy nel manuale del personale e la segnaletica perimetrale sono sufficienti a soddisfare tale requisito.
Ritenzione. Il periodo minimo necessario, in genere da 7 a 30 giorni. La maggior parte degli accordi sulla protezione dei dati considera 30 giorni come periodo predefinito; periodi più lunghi richiedono una giustificazione specifica.
Segnaletica visibile. Pittogramma + nome del titolare del trattamento + contatto + base giuridica + periodo di conservazione + contatto del responsabile della protezione dei dati (DPO). Posizionare in ogni punto di accesso e a ogni piano degli edifici multipiano.
Accesso ai dati personali. Ogni dipendente può richiedere una copia dei filmati in cui compare. Il termine per la risposta è di 30 giorni.
Minimizzazione. FOV della telecamera deve essere il più ristretto possibile, pur garantendo la sicurezza desiderata. Le telecamere puntate verso le scrivanie, verso aree di riposo dedicate o che coprono uno spazio pubblico più ampio di quanto richiesto dalla sicurezza non superano automaticamente questo test.

Componenti aggiuntivi specifici per paese

Germania (DSGVO + BDSG + BetrVG). La cogestione del consiglio di fabbrica ai sensi del BetrVG §87(1)(6) è obbligatoria per qualsiasi tecnologia di monitoraggio dei dipendenti, inclusa la videosorveglianza. Il datore di lavoro non può installare, ampliare o modificare il sistema senza il consenso del consiglio di fabbrica. Le autorità di protezione dei dati a livello statale (16 Länder) comminano regolarmente sanzioni per la mancata consultazione. Il BDSG §26 stabilisce limiti di conservazione più rigorosi rispetto GDPR generico: il limite massimo tipico è di 72 ore.

Polonia ( RODO + Kodeks pracy). L'articolo 22² del Codice del Lavoro consente l'installazione di telecamere a circuito chiuso sul luogo di lavoro, ma solo per garantire la sicurezza, proteggere la proprietà, monitorare la produzione o preservare la riservatezza. L'installazione deve essere regolamentata dal regolamento aziendale (regulamin pracy) e comunicata ai dipendenti almeno 14 giorni prima dell'attivazione. L'UODO (Ufficio per la Protezione dei Consumatori) è sempre più attivo: le sanzioni per segnaletica inadeguata e per la conservazione ingiustificata delle telecamere sono frequenti.

Francia (orientamenti CNIL + Code du travail). La consultazione del consiglio di fabbrica è obbligatoria ai sensi dell'articolo L2312-38. La CNIL ha pubblicato linee guida vincolanti che limitano la conservazione delle registrazioni a 30 giorni, salvo casi specifici. Le telecamere non devono riprendere continuamente le postazioni di lavoro dei dipendenti e devono evitare completamente le aree di pausa. Le sanzioni della CNIL per le violazioni relative alla videosorveglianza sul luogo di lavoro variano da 1.000 a oltre 600.000 euro.

Italia (Garante + Statuto dei Lavoratori articolo 4). Uno dei regimi più rigidi. L'articolo 4 dello statuto del lavoro vieta l'installazione di apparecchiature di sorveglianza per il monitoraggio diretto dei dipendenti e richiede un accordo collettivo (con il consiglio di fabbrica o, in mancanza di questo, l'autorizzazione dell'Ispettorato del lavoro regionale) prima che qualsiasi sistema che registri incidentalmente l'attività dei dipendenti possa essere installato.

Regno Unito ( GDPR del Regno Unito + Data Protection Act 2018 + Codice di condotta sulle pratiche di impiego dell'ICO). La consultazione con il consiglio di fabbrica è consigliata ma non obbligatoria. Il Codice di condotta sulle pratiche di impiego dell'ICO è considerato una linea guida autorevole e viene spesso citato dalle autorità preposte all'applicazione del Data Protection Act (DPA). Il periodo di conservazione predefinito è di 30 giorni; per periodi più lunghi è necessario un incidente documentato.

Errori comuni di conformità (e i relativi costi)

Telecamere nei bagni, negli spogliatoi o nelle aree di sosta: multe automatiche a sei cifre in tutta l'UE.
Conservazione a tempo indeterminato o per oltre 90 giorni senza giustificazione documentata: frequenti multe di importo basso (nell'ordine di poche decine di migliaia di euro).
Assenza di segnaletica o segnaletica in una sola lingua nei luoghi di lavoro multilingue: costi tipici compresi tra 5.000 e 25.000 euro.
Nessuna DPIA registrata — sempre più spesso considerata un fattore aggravante che moltiplica la sanzione di base.
Nessuna consultazione del consiglio di fabbrica in Germania/Francia/Italia: l'intera implementazione potrebbe essere annullata retroattivamente.
La trasmissione in diretta accessibile ai gestori senza registrazione degli accessi viola sia il principio di minimizzazione che quello di responsabilità.
Registrazione audio senza giustificazione separata: le registrazioni audio delle conversazioni sul luogo di lavoro sono soggette a un trattamento più rigoroso rispetto ai video.

Una lista di controllo pre-implementazione che resiste

Prima di posare il primo cavo: (1) redigere una DPIA che copra scopo, proporzionalità, alternative, minimizzazione FOV, conservazione; (2) aggiornare l'informativa sulla privacy e il manuale del personale con il nuovo trattamento; (3) consultare il consiglio di fabbrica/sindacato ove applicabile e ottenere l'accordo scritto; (4) progettare la mappa FOV che mostri la copertura esatta con il test di proporzionalità annotato per telecamera; (5) produrre la segnaletica in tutte le lingue del luogo di lavoro; (6) definire le regole di conservazione e il controllo tecnico che le applica; (7) nominare il responsabile del registro degli accessi; (8) formare il team di sicurezza sul flusso di lavoro di accesso ai soggetti.

CCTVplanner produce (4) direttamente: trascina le posizioni delle telecamere sulla planimetria, blocca i coni FOV, esporta un PDF etichettato con l'annotazione del test di proporzionalità per ogni telecamera e allegalo all'appendice DPIA. Il revisore DPA legge lo stesso artefatto che hai esaminato.

Crea la mappa FOV dell'ambiente di lavoro per la tua DPIA

Posiziona le telecamere sulla planimetria, blocca i coni FOV ed esporta il PDF da inserire nell'appendice DPIA. Il piano gratuito copre 1 sito.

Riferimento RODO / GDPR →

La nostra guida completa per gli operatori di videosorveglianza nell'UE.

Caso d'uso della videosorveglianza industriale →

Sistema di videosorveglianza a livello di stabilimento con minimizzazione FOV in base alle direttive del consiglio di fabbrica.