Videosorveglianza e processo: normativa privacy, conservazione e valore probatorio

Perimetro e fonti

La videosorveglianza rientra nel trattamento di dati personali quando consente l’identificazione (diretta/indiretta) di persone. Si applicano i principi dell’art. 5 GDPR (liceità, minimizzazione, proporzionalità, limitazione della conservazione, integrità, accountability) e gli adempimenti del titolare (informativa, base giuridica, sicurezza, eventuale DPIA). Le indicazioni operative sono integrate dalle Linee guida EDPB 3/2019 sui dispositivi video e dai provvedimenti del Garante.

Installazioni: pubblico, privato e luoghi aperti al pubblico

2.1 Enti pubblici (spazi pubblici / aree aperte al pubblico)

• I Comuni possono utilizzare sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per finalità di sicurezza urbana, nel rispetto del GDPR e del principio di proporzionalità. Non è richiesta un’“autorizzazione prefettizia” generalizzata: la base è normativa (es. D.L. 11/2009, conv. L. 38/2009; coordinamento con misure e finanziamenti del D.L. 14/2017, conv. L. 48/2017). Occorrono regolamenti, informative, misure tecniche/organizzative adeguate e – quando necessario – DPIA.

2.2 Privati (compresi esercizi “aperti al pubblico”)

• L’installazione da parte di soggetti privati (negozi, esercizi commerciali, strutture ricettive, ecc.) in aree accessibili al pubblico non richiede un’autorizzazione prefettizia generalizzata: valgono GDPR + Codice Privacy e i provvedimenti del Garante (informativa, base giuridica—tipicamente legittimo interesse alla tutela del patrimonio/sicurezza—proporzionalità dell’inquadratura, sicurezza, tempi di conservazione). I casi speciali (es. istituti di credito, infrastrutture ad alto rischio) possono richiedere cautele ulteriori e, in specifici progetti, verifiche preliminari/deroghe motivate su conservazione.

2.3 Statuto dei lavoratori (contesti occupazionali)

• Sul posto di lavoro si applica l’art. 4 L. 300/1970: impianti e strumenti dai quali derivi anche la possibilità di controllo a distanza sono leciti solo per esigenze organizzative e produttive, sicurezza del lavoro, tutela del patrimonio e previo accordo sindacale o autorizzazione ispettiva. Restano gli obblighi privacy (informativa, minimizzazione, tempi di conservazione, sicurezza).

Informativa e segnaletica

• Cartelli ben visibili prima dell’area ripresa, con finalità, identità del titolare e rinvio all’informativa estesa (Art. 12–13 GDPR; EDPB 3/2019). Nei luoghi pubblici la segnaletica deve essere particolarmente chiara e posizionata in modo da consentire scelte consapevoli.

Conservazione: niente dogmi, solo proporzionalità documentata

• Non esiste un “numero magico” valido sempre. L’indicazione di principio è: quanto basta per la finalità. Il Garante, nelle FAQ e nei provvedimenti, richiama che 24–72 ore sono spesso sufficienti per contesti standard; periodi più lunghi (fino a 7 giorni o oltre) richiedono motivazioni puntuali (es. chiusure nel weekend, rischio specifico, indagini in corso) e, superate certe soglie o in casi particolari, valutazioni/istanze dedicate (es. verifiche preliminari o provvedimenti ad hoc). In ogni caso, il titolare deve fissare e documentare il periodo, indicandolo anche nella segnaletica/informativa.

Proporzionalità dell’inquadratura e divieto di captazione indiscriminata

• Inquadrare solo l’area da proteggere, evitando riprese massive/indiscriminate di strade, marciapiedi, esercizi contigui, ecc. È un’applicazione pratica di minimizzazione e necessità (Provv. Garante 8.4.2010; EDPB 3/2019).

Utilizzabilità processuale delle immagini

• Penale: i filmati di privati possono essere acquisiti come documenti/evidenze, con attenzione al rispetto dei diritti fondamentali e all’integrità del dato.

• Civile/lavoro: l’inosservanza dell’art. 4 Statuto o di regole privacy (es. impianto non autorizzato in azienda) può condurre a inutilizzabilità e responsabilità.
  La chiave, in ogni caso, è la tenuta tecnico-giuridica: modalità lecite di raccolta + catena di custodia + integrità del file.

Verifiche forensi di genuinità: metodo e strumenti

7.1 Catena di custodia

• Verbale di acquisizione (chi, dove, quando, come); identificazione dell’apparato (DVR/NVR/body-cam), versione firmware, configurazioni rilevanti; acquisizione non alterativa (export nativo, copia forense del supporto o del disco del DVR se necessario); impronte crittografiche (hash) all’origine e su ogni duplicato; registri di passaggio e conservazione sigillata.

7.2 Integrità e formato

• Analisi container/codec (es. MP4, H.264/H.265, PS/TS proprietari); verifica di coerenza “header/stream” (durata, frequenza fotogrammi, timebase); confronto tra timestamp del file (filesystem) e timecode interno (sovrimpressione/frame timing).

7.3 Sovrimpressioni di data/ora: come validarle (o smascherarle)

• Non hanno valore assoluto: si verificano con triangolazioni esterne (es. orari di apertura/chiusura, “event markers” indipendenti: passaggi auto/TV meteo/lampi, sincronismi acustici come rintocchi, sirene).

• Controllo offset dell’orologio del DVR (NTP attivo? fuso orario/ora legale? reboot/blackout): confronto tra log di sistema ed event-list del registratore.

• Analisi frame-level: salti di PTS/DTS, drop/duplication anomali, cut/splice (discontinuità GOP, keyframe irregolari), incongruenze tra burn-in (overlay) e timing effettivo; ricerca di residui di post-produzione (re-encoding selettivo, resampling, “blend” dei caratteri, aliasing inconsistente).

• Coerenza A/V: drift tra traccia audio e indicazioni temporali in overlay; verifica di “signature noise” (grain/rumore del sensore) nelle aree della sovrimpressione.

7.4 Metadati, log e apparati

• Dump dei log del DVR/NVR (accessi, modifiche ora/parametri, motion events, allarmi); verifica delle policy di retention e delle schedulazioni di registrazione; corrispondenza ID-camera ↔ posizione fisica; eventuali mappe di compressione (VBR) coerenti con la scena.

7.5 Quando serve l’acquisizione “bit-to-bit”

• In presenza di evidenze di manomissione/alterazione o quando il formato nativo non consente export fedele (proprietario con watermarking interno), si motiva l’imaging forense del supporto del DVR (o la clonazione certificata) per estrarre segmenti “orphan” e verificare gap non spiegabili con la normale sovrascrittura a buffer.

(Queste metodiche rispettano i principî di necessità e minimizzazione del GDPR e le migliori pratiche suggerite dalle autorità di controllo quando si trattano dati personali tramite video—con particolare attenzione a sicurezza, tracciabilità e accountability del titolare/fornitore tecnico).

Tempi e governance: cosa scrivere nei documenti

• Registro trattamenti: finalità, basi giuridiche, categorie dati, tempi di conservazione (motivazione se >72h), misure tecniche/organizzative, eventuale DPIA.

• Informativa/cartello: finalità essenziale + link/QR a informativa estesa con tempi di conservazione effettivi.

• Policy interna (esercizi/aziende/PA): ruoli e permessi di accesso alle immagini, procedure di export per richiesta A.G./PG, ciclo di cancellazione automatica, audit periodici; DPIA quando necessario (monitoraggio sistematico/scala, tecnologie “smart”).

In sintesi

• Pubblico: base normativa (DL 11/2009; sicurezza urbana; regolamenti comunali), GDPR pienamente applicabile.

• Privato in aree aperte al pubblico: no autorizzazione prefettizia generalizzata; vale GDPR (legittimo interesse, proporzionalità, informativa, sicurezza). EDPB

• Conservazione: definita dal titolare, proporzionata e documentata; oltre 72h servono motivazioni robuste; “7 giorni” non è regola rigida. Garante Privacy+1

• Prova: integrità + catena di custodia + metodo forense su overlay e timecode.

• Rischi: impianti non conformi → inutilizzabilità (in ambito lavoro/civile) e sanzioni privacy.

Se devi installare, revisionare o utilizzare in giudizio sistemi/filmati di videosorveglianza, posso curare:

• DPIA, cartellonistica e policy;

• acquisizioni forensi non alterative e report di genuinità (hashing, log, frame-analysis);

• supporto al legale in udienza (spiegazione tecnica chiara alla Corte).

✒️ Nota sull’autore

Domenico Moretta è criminalista forense, consulente tecnico specializzato in digital forensics, audio forense e trascrizioni giuridiche. Esperto in Diritto della Società Digitale. Autore di volumi divulgativi e professionali, affianca all’attività peritale un percorso di formazione universitaria in diritto della società digitale.
Con il progetto www.acquisizioneprovedigitali.it, promuove una cultura integrata tra scienze forensi e tutela dei diritti nell’ambiente digitale.

CLICCA QUI PER RICHIEDERE MAGGIORI INFORMAZIONI