Videosorveglianza a scuola (anche “solo” negli atri): cosa ci insegna il provvedimento del Garante del 29 gennaio 2026

Videosorveglianza a scuola (anche “solo” negli atri): cosa ci insegna il provvedimento del Garante del 29 gennaio 2026

Di in PRIVACY
4.3
(3)

Il provvedimento del Garante per la protezione dei dati personali del 29 gennaio 2026 (Reg. provv. n. 42 – doc. web n. 10222864) riguarda un istituto scolastico paritario di Milano che, dal 2019, aveva attivato un sistema di videosorveglianza con telecamere interne (atri di piano, aree di sbarco ascensore, corridoio e accesso cucina nella zona foresteria) ed esterne (varchi, parcheggio, scale esterne, area sport/infanzia), operativo anche in orario diurno. La vicenda nasce da un infortunio occorso a un alunno durante l’orario scolastico: nel contesto del contenzioso risarcitorio emerge l’esistenza di un filmato e, soprattutto, una sua “copia” ottenuta riprendendo lo schermo con un telefono cellulare.

L’esito è netto: trattamento illecito, con sanzione di 12.000 euro e pubblicazione del provvedimento (oltre all’annotazione nel registro interno dell’Autorità). La cifra non deve trarre in inganno: il messaggio è di sistema e riguarda tutte le scuole, pubbliche e private, specie quando sono coinvolti minori e lavoratori.

1) Scuole pubbliche e private: conta la “funzione”, non l’etichetta

Uno dei passaggi più rilevanti (e spesso sottovalutati) è il ragionamento del Garante sulla base giuridica: la disciplina non distingue per “natura” del soggetto (pubblico/privato), ma per funzione e contesto. Poiché l’attività scolastica realizza un interesse pubblico (offerta formativa), la liceità deve “appoggiarsi” alle basi giuridiche art. 6(1)(c) o (e) GDPR (obbligo legale / compito di interesse pubblico), nella cornice nazionale applicabile (art. 2-ter Codice). Quando invece entrano in gioco i lavoratori, il perimetro è ancora più stringente per effetto dell’art. 88 GDPR e delle regole nazionali “di maggior tutela”.

Tradotto: non basta dire “sono un ente privato” o invocare genericamente la sicurezza. Serve una base giuridica coerente con la funzione svolta e con il quadro interno.

2) Perché il “legittimo interesse” non regge (qui)

L’istituto aveva invocato il legittimo interesse (art. 6(1)(f) GDPR) per finalità di sicurezza, tutela del patrimonio e dell’incolumità. Il Garante lo esclude per più ragioni, tra cui due sono cruciali per chi fa il DPO:

  • Presenza di minori: i minori sono “interessati vulnerabili” e meritano specifiche cautele; la videosorveglianza durante le attività aumenta il rischio e sposta l’ago del bilanciamento in modo sfavorevole.
  • Contesto lavorativo: telecamere idonee a riprendere personale (anche solo in transito) attivano la disciplina nazionale sul controllo a distanza (Statuto dei lavoratori), che “fa da base” e da limite: non la si aggira con il legittimo interesse.

Sul punto, le Linee guida europee ricordano che la videosorveglianza non è “necessaria di default” e che finalità, proporzionalità e trasparenza vanno documentate con rigore. 

3) “Non riprendo le classi” non significa “sono a posto”

Nel provvedimento troviamo una lezione pratica: la vita di relazione scolastica non si esaurisce in aula. Atri, aree di passaggio, spazi comuni sono luoghi in cui studenti e personale interagiscono, sostano, si muovono, e quindi sono altamente “sensibili” dal punto di vista della privacy. È una risposta indiretta a un’argomentazione frequente (“telecamere solo negli ingressi / negli atri”): non basta.

Questo è coerente con le indicazioni di sistema del Garante per il mondo scuola: telecamere interne ammissibili, in via generale, solo in orari di chiusura, per finalità di tutela dell’edificio e dei beni, e con riprese circoscritte. 

4) Art. 4 Statuto dei lavoratori: non conta l’intenzione, conta la “idoneità”

L’istituto aveva sostenuto che:

  • non c’era finalità di controllo dei dipendenti;
  • i lavoratori “sapevano” delle telecamere;
  • non erano state fatte contestazioni disciplinari basate sui video.

Il Garante ribadisce un principio che chi gestisce compliance nei luoghi di lavoro conosce bene: se lo strumento è idoneo (anche potenzialmente) a consentire un controllo a distanza, si applicano le garanzie (accordo sindacale o autorizzazione). L’intenzione soggettiva e l’uso “di fatto” non bastano a escludere il perimetro.

Questo si allinea anche alla giurisprudenza europea che estende la tutela della vita privata ai luoghi di lavoro (in quel caso, ambienti universitari), richiedendo una base legale e garanzie effettive. 

5) Il “secondo trattamento” (ripresa dello schermo col cellulare): un moltiplicatore di rischio

Il passaggio più istruttivo, sul piano operativo, è quello relativo alla “copia” del filmato: una docente riprende lo schermo del PC con il proprio smartphone perché non era possibile estrarre il video dal DVR in quel momento.

Qui si incrociano più criticità:

  • canale non autorizzato / non governato (BYOD, device personale);
  • perdita di controllo su sicurezza, conservazione, condivisioni;
  • nuova finalità (gestione del contenzioso) rispetto a quella “originaria” (sicurezza).

Il Garante, però, va ancora più a monte: se la raccolta originaria è illecita, i dati diventano inutilizzabili e anche i trattamenti successivi “cadono” (principio di limitazione della finalità + liceità del trattamento originario).

Nel momento in cui un evento critico accade (infortunio, aggressione, furto), è proprio allora che le organizzazioni tendono a “improvvisare” per rispondere rapidamente. Ma l’improvvisazione (smartphone personale, invii informali, chat) è esattamente ciò che espone di più.

6) Trasparenza: cartello “vecchio” = trasparenza insufficiente

Il provvedimento evidenzia carenze tipiche:

  • cartelli con riferimenti normativi non aggiornati;
  • informazioni mancanti (titolare, finalità, base giuridica, tempi di conservazione, diritti, rimando al secondo livello);
  • assenza (o non prova) dell’informativa di secondo livello;
  • informativa “lavoratori” prodotta come modello, senza prova di consegna.

Le Linee guida EDPB insistono sul modello “a strati”: segnaletica per le info essenziali + informativa estesa facilmente accessibile. 

7) DPIA obbligatoria: quando minori + monitoraggio sistematico, non è (quasi) mai “facoltativa”

Il titolare aveva ritenuto non necessario svolgere una valutazione d’impatto. Il Garante contesta la scelta: siamo davanti a sorveglianza sistematica e coinvolgimento di interessati vulnerabili (minori e lavoratori), quindi DPIA prima dell’avvio.

Questo è coerente con i criteri “classici” delle linee WP29 sulla DPIA (WP248), che includono espressamente categorie vulnerabili e monitoraggio sistematico tra gli indicatori di rischio elevato. 

8) Conservazione: 8/14 giorni “fino a esaurimento spazio” senza cancellazione automatica

Altro punto pratico: conservare “finché c’è spazio” e senza sovrascrittura automatica è un antipattern. Le linee guida europee raccomandano periodi brevi (spesso “pochi giorni”) e più il periodo si allunga, più serve una motivazione documentata e misure robuste. 

Takeaway da DPO: checklist operativa per scuole e enti gestori

  1. Chiarire le finalità (sicurezza beni, tutela accessi, vandalismi) e verificare se esistono misure meno intrusive.
  2. Perimetrare le riprese: aree strettamente necessarie, angoli visuali limitati, niente “contesto” superfluo.
  3. Orari: telecamere interne, di regola, solo a scuola chiusa (salvo casi eccezionali davvero motivati e sostenibili).  
  4. Art. 4 Statuto: se anche solo “potenzialmente” riprendo lavoratori, attivo le garanzie (accordo/autorizzazione) prima di accendere.
  5. DPIA prima: se minori + monitoraggio sistematico, considerarla la regola, non l’eccezione.  
  6. Trasparenza a strati: cartelli corretti + informativa estesa facilmente reperibile (sito, bacheca, reception), con tutte le info ex art. 13 GDPR.  
  7. Retention: pochi giorni, sovrascrittura automatica, accessi tracciati, credenziali nominali, policy di estrazione.
  8. Gestione incidenti: vietare “riprese dello schermo” con telefoni personali; prevedere una procedura di estrazione/duplica controllata, con catena di custodia e canali sicuri.
  9. Ruoli e responsabilità: se ci sono soggetti terzi (es. società di manutenzione, vigilanza, hosting), formalizzare correttamente (responsabile del trattamento / autorizzati).
  10. Formazione: docenti e personale amministrativo devono sapere cosa NON fare (es. usare chat, device personali, inoltri “di cortesia”).

Conclusione

Questo provvedimento è un promemoria: nelle scuole la videosorveglianza non è un “impianto tecnico”, è un trattamento ad alto impatto, perché incrocia minori, comunità educante e lavoro. E quando un evento critico accade, non serve “più video”: serve più governance

Quanto è stato utile questo post?

Clicca su una stella per valutarla!

Voto medio 4.3 / 5. Conteggio dei voti: 3

No votes so far! Be the first to rate this post.

GIANNI SANNA

Consulente Dasein. Formatore. Esperto in Programmazione, Anticorruzione , Trasparenza e Privacy. Responsabile Protezione Dati (RPD/DPO).

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Proudly powered by WordPress | Theme: Content by SpiceThemes

WP2Social Auto Publish Powered By : XYZScripts.com