In caso di utilizzo di una telecamera indossabile (bodycam) durante il controllo dei biglietti, alcune informazioni devono essere fornite immediatamente al passeggero interessato

09 january 2026

La Sentenza della Corte di Giustizia dell' UE, nella causa C-422/24 | Storstockholms Lokaltrafik, affronta il caso di una azienda di trasporto pubblico di Stoccolma (Svezia) che  fornisce ai propri controllori telecamere indossabili (bodycam) per filmare i passeggeri durante i controlli dei biglietti.

L'autorità svedese per la protezione dei dati ha inflitto una sanzione a tale azienda, contestandole di aver violato diverse disposizioni del regolamento generale sulla protezione dei dati (RGPD) 1. Essa ritiene, tra l'altro, che l'uso delle bodycam abbia consentito di raccogliere dati personali direttamente 2 dalle persone filmate, che non sono state adeguatamente informate al riguardo.

L'azienda contesta la violazione dell'obbligo di informazione. Essa sostiene di aver effettuato una raccolta indiretta  dei dati, una modalità di raccolta che determina in modo diverso il momento e la portata di tale obbligo e che, a suo avviso, rende la sanzione ingiustificata.

Il giudice svedese adito di tale controversia ha chiesto alla Corte di giustizia di interpretare il RGPD.

La Corte risponde che, poiché i dati ottenuti tramite bodycam sono raccolti direttamente presso l'interessato, quest'ultimo deve ricevere immediatamente determinate informazioni.

Infatti, la qualificazione di una raccolta di dati come «diretta» non richiede né che l’interessato fornisca consapevolmente dati né alcuna azione particolare da parte sua. Pertanto, i dati derivanti dall'osservazione della persona che ne è la fonte sono considerati raccolti direttamente presso di essa.

La seconda ipotesi, quella relativa alla raccolta indiretta di dati, si applica quando il titolare del trattamento non è in contatto diretto con l'interessato e ottiene i dati a partire da un'altra fonte.

In caso di raccolta di dati direttamente presso l'interessato, l'obbligo di informazione può essere attuato nell'ambito di un approccio a più livelli 5. Le informazioni più importanti possono essere indicate su un cartello di avvertenze. Le altre informazioni obbligatorie possono essere fornite all'interessato, in modo adeguato e completo, in un luogo facilmente accessibile.

News archive

 

Firm news

feb9

09/02/2026

Accessing a dismissed employee's company email account can violate privacy laws and data protection regulations

According to the Italian Data Protection Authority, the content of emails, contact data related to communications, and any attachments fall within the notion of correspondence. Therefore emails are  protected

feb6

06/02/2026

Proposal for a Directive as regards simplification measures and alignment with the Cybersecurity Act

The Commission has proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities. The package introduces measures to simplify compliance with

feb6

06/02/2026

Proposal for a Regulation for the Digital Networks Act (DNA)

The Commission proposes the Digital Networks Act (DNA), which offers a modern, simplified, and harmonised legal framework to bolster Europe's competitiveness. By strengthening digital networks,

Lawyer News

feb12

12/02/2026

Ryanair, sanzione da 255 milioni di euro per abuso di posizione dominante

Secondo l’AGCM l’operatore irlandese avrebbe

feb12

12/02/2026

Allucinazioni della GenAI, 5 avvocati sanzionati negli Stati Uniti

Sotto accusa l’omessa verifica dei documenti

feb12

12/02/2026

Immagini, privacy e intelligenza artificiale: una guida dal Garante spagnolo

La pubblicazione fornisce indicazioni e