Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Conformidade · Atualizado 2026-05-05

Monitoramento por CFTV no local de trabalho em conformidade com GDPR / RODO / DSGVO

Um roteiro de conformidade para 2026 para líderes de RH, operações e segurança que implementam vigilância no local de trabalho na UE. O requisito mínimo legal é GDPR ; o requisito máximo é a legislação trabalhista nacional e a cogestão do conselho de trabalhadores, que varia drasticamente entre os Estados-Membros.

As sete obrigações relativas ao CFTV no local de trabalho ao abrigo GDPR

Fundamento jurídico. O artigo 6.º, n.º 1, alínea f), estabelece que o interesse legítimo é a única opção realista — o consentimento não se aplica porque os trabalhadores não podem recusar livremente, e o artigo 6.º, n.º 1, alínea b), (execução do contrato) é demasiado restritivo. O teste de ponderação do interesse legítimo deve ser documentado e revisto anualmente.
DPIA (Artigo 35). O videomonitoramento no local de trabalho é considerado "monitoramento sistemático em larga escala" e exige uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) em todas as jurisdições da UE. A AIPD documenta a finalidade, o teste de proporcionalidade, as alternativas consideradas (e os motivos da rejeição) e as medidas tomadas para minimizar o impacto.
Transparência (Artigos 13–14). Antes de serem alocados a um local de trabalho, todos os funcionários devem ser informados sobre o que será gravado, onde, por quê, por quem, por quanto tempo e como exercer seus direitos. Um aviso de privacidade no manual do funcionário, juntamente com sinalização no perímetro da empresa, atende a essa exigência.
Retenção. O prazo mínimo necessário é geralmente de 7 a 30 dias. A maioria das autoridades de proteção de dados considera 30 dias como prazo padrão; prazos maiores exigem justificativa específica.
Sinalização visível. Pictograma + nome do controlador + contato + base legal + período de retenção + contato do DPO. Posicionar em cada ponto de entrada e em cada andar de instalações com vários andares.
Acesso do sujeito. Qualquer funcionário pode solicitar uma cópia das gravações em que aparece. O prazo de resposta é de 30 dias.
Minimização. O campo de FOV da câmera deve ser o mais estreito possível, desde que atenda ao objetivo de segurança. Câmeras apontadas para mesas, áreas de descanso específicas ou que cubram uma área pública maior do que a exigida pela segurança falham automaticamente neste teste.

Complementos específicos para cada país

Alemanha (DSGVO + BDSG + BetrVG). A co-determinação do conselho de trabalhadores, nos termos do §87(1)(6) da Lei Alemã de Proteção de Dados (BetrVG), é obrigatória para qualquer tecnologia de monitoramento de funcionários, incluindo CFTV. O empregador não pode instalar, expandir ou modificar o sistema sem o consentimento do conselho de trabalhadores. As autoridades de proteção de dados estaduais (16 Länder) aplicam multas regularmente por falta de consulta. O §26 da Lei Federal Alemã de Proteção de Dados (BDSG) estabelece prazos de retenção mais rigorosos do que GDPR genérico — 72 horas é o prazo máximo típico.

Polônia (prática RODO + Kodeks). O artigo 22² do Código do Trabalho permite o uso de videovigilância no local de trabalho, mas apenas para garantir a segurança, proteger o património, monitorizar a produção ou preservar a confidencialidade. A sua instalação deve ser regulamentada no regulamento interno do local de trabalho (regulamin pracy) e comunicada aos trabalhadores com pelo menos 14 dias de antecedência. A UODO (Unidade de Controle de Obras e Segurança) tem-se mostrado cada vez mais ativa — as multas por sinalização inadequada e retenção injustificada são frequentes.

França (orientação CNIL + Code du travail). É necessária a consulta ao conselho de trabalhadores, conforme o Artigo L2312-38. A CNIL (Comissão Nacional de Informática e Liberdades) publicou diretrizes vinculativas que limitam a retenção de imagens a 30 dias, salvo em casos específicos. As câmeras não devem filmar continuamente os postos de trabalho dos funcionários e devem evitar completamente as áreas de descanso. As multas da CNIL por infrações relacionadas a CFTV no local de trabalho variam de € 1.000 a mais de € 600.000.

Itália (Garante + Statuto dei Lavoratori Artigo 4). Um dos regimes mais rigorosos. O artigo 4.º do estatuto dos trabalhadores proíbe a instalação de equipamentos de vigilância para monitorização direta dos trabalhadores e exige um acordo coletivo (com o conselho de trabalhadores ou, na sua falta, autorização da Inspeção Regional do Trabalho) antes da implementação de qualquer sistema que registe, ainda que incidentalmente, a atividade dos trabalhadores.

Reino Unido ( GDPR de Proteção de Dados do Reino Unido + Lei de Proteção de Dados de 2018 + Código de Práticas de Emprego do ICO). A consulta ao conselho de trabalhadores é recomendada, mas não obrigatória. O Código de Práticas de Emprego do ICO é considerado uma orientação oficial e a fiscalização da Lei de Proteção de Dados (DPA) frequentemente o cita. O prazo padrão de retenção é de 30 dias; períodos mais longos exigem a comprovação do incidente.

Falhas comuns de conformidade (e seus custos)

Câmeras em banheiros, vestiários ou áreas de descanso — multas automáticas de seis dígitos em toda a UE.
Retenção por tempo indeterminado ou superior a 90 dias sem justificativa documentada — multas frequentes na casa das dezenas de milhares de dólares.
Ausência de sinalização ou sinalização em apenas um idioma em locais de trabalho multilíngues — custo típico entre € 5.000 e € 25.000.
A ausência de um DPIA (Avaliação de Impacto sobre a Proteção de Dados) é cada vez mais vista como um fator agravante que multiplica a penalidade subjacente.
Sem consulta ao conselho de trabalhadores na Alemanha, França e Itália — toda a implementação pode ser anulada retroativamente.
Transmissão ao vivo acessível a gestores sem registro de acesso — viola os princípios de minimização e responsabilização.
Captura de áudio sem justificativa separada — o áudio de conversas no ambiente de trabalho é tratado com mais rigor do que o vídeo.

Uma lista de verificação pré-implantação que se mantém firme.

Antes de puxar o primeiro cabo: (1) elaborar a DPIA (Avaliação de Impacto sobre a Proteção de Dados) abrangendo a finalidade, a proporcionalidade, as alternativas, a minimização FOV e a retenção; (2) atualizar o aviso de privacidade e o manual do funcionário com o novo processamento; (3) consultar o conselho de trabalhadores/sindicato, quando aplicável, e obter a aprovação por escrito; (4) elaborar o mapa FOV mostrando a cobertura exata com o teste de proporcionalidade anotado para cada câmera; (5) produzir sinalização em todos os idiomas do local de trabalho; (6) definir as regras de retenção e o controle técnico que as aplica; (7) nomear o responsável pelo registro de acesso; (8) treinar a equipe de segurança no fluxo de trabalho de acesso do titular dos dados.

O CCTVplanner produz (4) diretamente — insira as posições das câmeras na planta baixa, bloqueie os cones FOV, exporte um PDF rotulado com a anotação do teste de proporcionalidade por câmera e anexe-o ao apêndice da DPIA. O revisor da DPA lê o mesmo artefato que você revisou.

Crie o mapa FOV do local de trabalho para sua Avaliação de Impacto sobre a Proteção de Dados (AIPD).

Posicione as câmeras na sua planta baixa, defina os cones FOV e exporte o PDF que será incluído no apêndice da DPIA (Avaliação de Impacto sobre a Proteção de Dados). O plano gratuito cobre 1 local.

Referência RODO / GDPR →

Nosso guia completo para operadores de CFTV na UE.

Caso de uso de CFTV industrial →

Sistema de CFTV em nível de fábrica com minimização do campo de visão FOV que leva em consideração as normas do conselho de trabalhadores.