Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Conformidade · Atualizado 2026-05-05

Monitorização por CCTV no local de trabalho em conformidade com GDPR / RODO /DSGVO

Um roteiro de conformidade para 2026 para os líderes de RH, operações e segurança que implementam a vigilância no local de trabalho na UE. O requisito mínimo legal é GDPR ; o requisito máximo é a legislação laboral nacional e a cogestão do conselho de trabalhadores, que varia drasticamente entre os Estados-Membros.

As sete obrigações relativas ao CCTV no local de trabalho ao abrigo GDPR

Fundamento jurídico. O artigo 6.º, n.º 1, alínea f), estabelece que o interesse legítimo é a única opção realista — o consentimento não se aplica porque os trabalhadores não podem recusar livremente, e o artigo 6.º, n.º 1, alínea b), (execução do contrato) é demasiado restritivo. O teste de ponderação do interesse legítimo deve ser documentado e revisto anualmente.
DPIA (artigo 35.º). A videovigilância no local de trabalho é considerada "monitorização sistemática em grande escala" e exige uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) em todas as jurisdições da UE. A AIPD documenta a finalidade, o teste de proporcionalidade, as alternativas consideradas (e os motivos da rejeição) e as medidas tomadas para minimizar o impacto.
Transparência (artigos 13–14). Antes de serem alocados a um local de trabalho, todos os colaboradores devem ser informados sobre o que vai ser gravado, onde, porquê, por quem, durante quanto tempo e como exercer os seus direitos. Um aviso de privacidade no manual do colaborador, juntamente com sinalização no perímetro da empresa, cumpre este requisito.
Retenção. O prazo mínimo necessário é geralmente de 7 a 30 dias. A maioria das autoridades de proteção de dados considera os 30 dias como prazo padrão; prazos mais alargados exigem justificação específica.
Sinalização visível. Pictograma + nome do controlador + contacto + base legal + período de retenção + contacto do DPO. Posicionar em cada ponto de entrada e em cada piso de instalações com vários pisos.
Acesso do sujeito. Qualquer funcionário pode solicitar uma cópia das gravações em que aparece. O prazo de resposta é de 30 dias.
Minimização. O campo de FOV da câmara deve ser o mais estreito possível, desde que cumpra o objetivo de segurança. As câmaras apontadas para mesas, áreas de descanso específicas ou que cubram uma área pública maior do que a exigida pela segurança falham automaticamente este teste.

Complementos específicos para cada país

Alemanha (DSGVO + BDSG + BetrVG). A co-determinação do conselho de trabalhadores, nos termos do §87(1)(6) da Lei Alemã de Proteção de Dados (BetrVG), é obrigatória para qualquer tecnologia de monitorização de funcionários, incluindo CCTV. O empregador não pode instalar, expandir ou modificar o sistema sem o consentimento do conselho de trabalhadores. As autoridades de proteção de dados estaduais (16 Länder) aplicam regularmente multas por falta de consulta. O §26 da Lei Federal Alemã de Proteção de Dados (BDSG) estabelece prazos de conservação mais rigorosos do que GDPR genérico — 72 horas é o prazo máximo típico.

Polónia (prática RODO + Kodeks). O artigo 22² do Código do Trabalho permite a utilização da videovigilância no local de trabalho, mas apenas para garantir a segurança, proteger o património, monitorizar a produção ou preservar a confidencialidade. A sua instalação deve ser regulamentada no regulamento interno do local de trabalho (regulamin pracy) e comunicada aos trabalhadores com pelo menos 14 dias de antecedência. A UODO (Unidade de Controlo de Obras e Segurança) tem-se mostrado cada vez mais ativa — as multas por sinalização inadequada e retenção injustificada são frequentes.

França (orientação CNIL + Code du travail). É necessária a consulta ao conselho de trabalhadores, conforme o Artigo L2312-38. A CNIL (Comissão Nacional de Informática e Liberdades) publicou orientações vinculativas que limitam a retenção de imagens a 30 dias, salvo em casos específicos. As câmaras não devem filmar continuamente os postos de trabalho dos colaboradores e devem evitar completamente as áreas de descanso. As coimas da CNIL por infrações relacionadas com CCTV no local de trabalho variam entre 1.000€ e mais de 600.000€.

Itália (Garante + Statuto dei Lavoratori Artigo 4º). Um dos regimes mais rigorosos. O artigo 4.º do estatuto dos trabalhadores proíbe a instalação de equipamentos de vigilância para monitorização direta dos trabalhadores e exige um acordo coletivo (com o conselho de trabalhadores ou, na sua falta, autorização da Inspeção Regional do Trabalho) antes da implementação de qualquer sistema que registe, ainda que incidentalmente, a atividade dos trabalhadores.

Reino Unido ( GDPR de Proteção de Dados do Reino Unido + Lei de Proteção de Dados de 2018 + Código de Práticas de Emprego da ICO). A consulta ao conselho de trabalhadores é recomendada, mas não obrigatória. O Código de Práticas de Emprego do ICO é considerado uma orientação oficial e a fiscalização da Lei de Proteção de Dados (DPA) cita-o frequentemente. O prazo de retenção padrão é de 30 dias; períodos mais longos exigem a prova do incidente.

Falhas comuns de conformidade (e os seus custos)

Câmaras em casas de banho, vestiários ou áreas de descanso — multas automáticas de seis dígitos em toda a UE.
Retenção por tempo indeterminado ou superior a 90 dias sem justificação documentada — multas frequentes na ordem das dezenas de milhares de dólares.
Ausência de sinalização ou sinalética em apenas uma língua em locais de trabalho multilingues — custo típico entre 5.000€ e 25.000€.
A ausência de um DPIA (Avaliação de Impacto sobre a Proteção de Dados) é cada vez mais vista como um fator agravante que multiplica a penalização subjacente.
Sem consulta ao conselho de trabalhadores na Alemanha, França e Itália — toda a implementação pode ser anulada retroativamente.
Transmissão em direto acessível a gestores sem registo de acesso — viola os princípios de minimização e responsabilização.
Captura de áudio sem justificação separada — o áudio das conversas no ambiente de trabalho é tratado com mais rigor do que o vídeo.

Uma lista de verificação pré-implantação que se mantém firme.

Antes de puxar o primeiro cabo: (1) elaborar a DPIA (Avaliação de Impacto sobre a Proteção de Dados) abrangendo a finalidade, a proporcionalidade, as alternativas, a minimização FOV e a retenção; (2) atualizar o aviso de privacidade e o manual do funcionário com o novo processamento; (3) consultar o conselho de trabalhadores/sindicato, quando aplicável, e obter a aprovação por escrito; (4) elaborar o mapa FOV mostrando a cobertura exata com o teste de proporcionalidade anotado para cada câmara; (5) produzir sinalização em todas as línguas do local de trabalho; (6) definir as regras de retenção e o controlo técnico que as aplica; (7) nomear o responsável pelo registo de acesso; (8) formar a equipa de segurança no fluxo de trabalho de acesso do titular dos dados.

O CCTVplanner produz (4) diretamente — introduza as posições das câmaras na planta, bloqueie os cones FOV, exporte um PDF rotulado com a anotação do teste de proporcionalidade por câmara e anexe-o ao apêndice da DPIA. O revisor da DPA lê o mesmo artefacto que reviu.

Crie o mapa FOV do local de trabalho para a sua Avaliação de Impacto na Proteção de Dados (AIPD).

Coloque as câmaras na sua planta, defina os cones FOV e exporte o PDF que será incluído no apêndice da DPIA (Avaliação de Impacto sobre a Proteção de Dados). O plano gratuito cobre 1 local.

Referência RODO / GDPR →

O nosso guia completo para operadores de CCTV na UE.

Caso de uso de CCTV industrial →

Sistema de CCTV ao nível da fábrica com minimização do campo de visão FOV que tem em conta as normas do conselho de trabalhadores.