Home

GDPR: l’uso di bodycam costituisce acquisizione diretta di dati

La Redazione
19 Dicembre 2025

L'utilizzo di una telecamera indossabile (bodycam) durante il controllo dei biglietti costituisce acquisizione diretta dei dati dei passeggeri e impone specifici obblighi informativi.

La Corte di giustizia dell'Unione europea, con la sentenza 18 dicembre 2025 nella causa C‑422/24, ha chiarito gli obblighi informativi che gravano sul responsabile del trasporto pubblico, quale titolare del trattamento, in caso di utilizzo di telecamere indossabili (bodycam) durante i controlli dei titoli di viaggio.

La vicenda trae origine dalla sanzione irrogata dall'autorità svedese per la protezione dei dati a una società di trasporto pubblico di Stoccolma, che forniva ai propri controllori bodycam con cui filmare le operazioni di controllo dei biglietti, ritenendo violato il Regolamento (UE) 2016/679 (GDPR) per carente informativa ai passeggeri interessati.

L'azienda contestava la legittimità della sanzione, sostenendo si trattasse di una raccolta “indiretta” di dati personali, con conseguente applicazione della relativa disciplina in termini di momento e ampiezza dell'obbligo informativo.

Investita in via pregiudiziale della questione, la Corte di giustizia dell'Unione europea ha anzitutto qualificato i dati raccolti tramite bodycam come dati ottenuti “direttamente presso l'interessato”, anche se questi non compie alcuna azione consapevole di conferimento, dal momento che, perché si abbia raccolta diretta di dati personali, è sufficiente l'osservazione della persona che ne costituisce la fonte, ai sensi dell'art. 13 GDPR, mentre si ha raccolta indiretta ex art. 14 GDPR solo quando il titolare non è in contatto con l'interessato e acquisisce i dati da altra fonte.

 Ne deriva che, nel contesto dell'uso di bodycam per i controlli dei biglietti, l'interessato deve ricevere “immediatamente” un nucleo minimo di informazioni, tra cui identità e recapiti del titolare del trattamento, finalità, base giuridica, destinatari, periodo di conservazione e diritti di accesso e cancellazione.

La Corte ammette, tuttavia, un modello di informativa “a più livelli”: le informazioni più rilevanti possono essere riportate su un cartello di avvertenza visibile durante il controllo, mentre gli ulteriori elementi richiesti dal GDPR possono essere messi a disposizione in un luogo facilmente accessibile (ad esempio un sito web o altro supporto idoneo), a condizione che l'insieme delle informazioni sia fornito in modo adeguato e completo.