Stendere un contratto per la gestione della videosorveglianza richiede attenzione tanto agli aspetti tecnici quanto a quelli giuridici e operativi: non si tratta solo di definire chi fornisce telecamere e monitoraggio, ma di fissare responsabilità, livelli di servizio, regole per il trattamento dei dati e modalità di risposta agli incidenti. Questa guida accompagna il lettore nella costruzione di un documento chiaro e completo, indicando le clausole essenziali — dalla descrizione dei servizi e degli obblighi del gestore, ai requisiti di sicurezza, retention e accesso alle registrazioni — fino a meccanismi di controllo, audit e sanzioni per inadempimenti. Particolare rilievo viene dato alla conformità normativa e alla protezione dei dati personali (GDPR e indicazioni del Garante), nonché alla gestione delle responsabilità civili e assicurative. L’obiettivo è offrire strumenti pratici per prevenire controversie, ridurre i rischi operativi e garantire trasparenza tra le parti, consentendo al committente di mantenere il controllo e al gestore di operare con procedure e standard condivisi.
Come scrivere contratto gestione della videosorveglianza
Nel redigere un contratto per la gestione della videosorveglianza è indispensabile prevedere con precisione tutti gli elementi che disciplinano il rapporto, sia sotto il profilo tecnico che sotto quello giuridico e operativo, così da evitare ambiguità in fase di esecuzione e di responsabilità. Il contratto deve innanzitutto identificare in modo inequivocabile le parti contraenti, con la loro forma giuridica, sede legale, partita IVA o codice fiscale, riferimenti di contatto e l’eventuale figura delegata quale responsabile operativo, specificando altresì chi, tra le parti, assume il ruolo di titolare del trattamento dei dati e chi agisce in qualità di responsabile del trattamento ai sensi del Regolamento UE 2016/679 (GDPR) e della normativa italiana vigente; questa attribuzione comporta obblighi distinti e deve essere formalizzata anche per le attività di supporto o per i subappaltatori, che devono essere espressamente autorizzati e soggetti a obblighi contrattuali analoghi.
La descrizione dell’oggetto contrattuale richiede un livello di dettaglio tecnico elevato: occorre definire l’ambito territoriale e temporale della sorveglianza, l’elenco e la collocazione delle telecamere (con planimetrie o allegati tecnici), le tipologie di apparecchiature impiegate (camera fissa, PTZ, sensori audio), le specifiche di registrazione (risoluzione, frame rate, compressione, archiviazione), i mezzi di storage (on‑premise, cloud, fornitore terzo), le modalità di cifratura sia in transito sia a riposo, i sistemi di backup e ridondanza, nonché i criteri di sincronizzazione temporale (es. NTP) per garantire l’integrità e l’attendibilità temporale delle registrazioni. Devono essere inclusi i dettagli sulla connessione di rete, i requisiti di sicurezza informatica (firewall, VPN, segmentazione VLAN, aggiornamenti e patching), le politiche di gestione delle password e autenticazione a più fattori, e le procedure per l’aggiornamento del software e la gestione delle vulnerabilità.
Il contratto deve poi disciplinare con chiarezza i servizi forniti: installazione e messa in servizio, manutenzione ordinaria e straordinaria, monitoraggio attivo (se previsto), gestione degli allarmi, risposta su chiamata, interventi di riparazione e ricambio di componenti, gestione dei permessi e degli accessi alle riprese. È importante definire tempi di risposta e di intervento, livelli di servizio misurabili e sanzioni o crediti in caso di mancato raggiungimento degli SLA, oltre alle modalità di pianificazione della manutenzione preventiva e delle finestre per gli aggiornamenti che possano impattare sulla disponibilità del sistema. Le responsabilità per i pezzi di ricambio, per la fornitura di nuove licenze software o per eventuali integrazioni con sistemi terzi devono essere specificate, così come i tempi di approvvigionamento e le condizioni economiche per interventi non inclusi nel canone.
Sotto il profilo della protezione dei dati personali, il contratto deve incorporare o affiancare un Data Processing Agreement che indichi finalità e basi giuridiche del trattamento, categorie di dati personali trattati, categorie di interessati (visitatori, dipendenti, terzi), tempi di conservazione delle immagini e delle registrazioni, criteri per la cancellazione o per l’archiviazione, modalità di esercizio dei diritti degli interessati (accesso, cancellazione, limitazione, opposizione, portabilità), nonché le istruzioni documentate del titolare rivolte al responsabile. Deve altresì prevedere obblighi stringenti in caso di violazione dei dati personali: procedure di notifica al titolare e, se del caso, al Garante, tempistiche conformi al GDPR (notifica entro 72 ore dalla scoperta) e cooperazione per le attività di notificazione a terzi o di mitigazione dei danni. È opportuno includere l’obbligo di dotarsi e trasmettere al titolare ogni documentazione richiesta dalla normativa, come il registro delle attività di trattamento, e di eseguire o assistere il titolare nell’esecuzione della Data Protection Impact Assessment qualora la sorveglianza possa comportare rischi elevati per i diritti e le libertà delle persone.
La materia della videosorveglianza si intreccia con norme specifiche sulla tutela della riservatezza e delle condizioni di lavoro: il contratto deve prevedere che l’installazione e la gestione siano effettuate nel rispetto della normativa nazionale (compreso il Codice della Privacy aggiornato) e delle direttive del Garante per la protezione dei dati personali. Devono essere menzionati gli adempimenti informativi e di consenso ove necessari, la collocazione della segnaletica obbligatoria che informa della presenza di sistemi di videosorveglianza, nonché l’eventuale coinvolgimento o consultazione delle rappresentanze sindacali quando le riprese interessano aree di lavoro. La limitazione delle finalità di ripresa, l’eventuale uso di tecniche di minimizzazione (mascheramento, pixelazione, anonimizzazione) e le regole per l’utilizzo delle immagini a fini diversi dalla sicurezza (es. controllo qualità, marketing) devono essere definite e autorizzate in modo esplicito.
Devono essere chiarite le regole di accesso e conservazione delle registrazioni: chi ha diritto a visionare i filmati e con quali procedure formali (richieste documentate, registro degli accessi), le modalità di estrazione e rilascio di copie a enti giudiziari o forze dell’ordine, e le procedure per assicurare la catena di custodia delle evidenze, così da preservarne l’ammissibilità probatoria. È utile prevedere meccanismi per il tracciamento degli accessi e per la conservazione dei log, con periodi di conservazione distinti per i log e per le registrazioni video.
Il contratto dovrà affrontare gli aspetti economici con precisione: corrispettivi fissi e variabili, modalità e termini di pagamento, indicazione di eventuali costi per interventi straordinari o per il rinnovo di licenze, revisione prezzi, IVA e oneri fiscali, e garanzie finanziarie se richieste. Vanno disciplinati meccanismi di revisione e gestione delle contestazioni sui costi, nonché la responsabilità per danni derivanti da malfunzionamenti imputabili alla gestione, comprensiva di limiti di responsabilità, esclusioni e obblighi di indennizzo, fermo restando l’adeguatezza di coperture assicurative per responsabilità civile e, se opportuno, per rischi informatici.
È importante prevedere clausole su subappalto e terzietà: ogni attività affidata a subfornitori deve essere preventivamente autorizzata, con obbligo del fornitore principale di far rispettare ai subappaltatori gli stessi standard di sicurezza, riservatezza e conformità normativa previsti dal contratto. La possibilità di audit, sia tecnici sia contabili, da parte del titolare o di un auditor indipendente, e la periodicità di tali verifiche devono essere regolate, specificando modalità, preavviso e limiti al fine di non compromettere la sicurezza operativa.
Le clausole relative alla durata, al rinnovo e al recesso devono indicare termine iniziale, eventuali rinnovi automatici, condizioni per il recesso anticipato per giusta causa, le penali eventualmente applicabili e le modalità di gestione della transizione alla scadenza o dopo risoluzione, comprensive della consegna di documentazione, rimozione o trasferimento delle apparecchiature, cancellazione sicura dei dati e rilascio di certificazione di avvenuta distruzione delle copie residui, tenendo conto degli obblighi legali di conservazione per indagini o procedimenti in corso. Infine, è fondamentale inserire clausole generali su legge applicabile e foro competente o metodi alternativi di risoluzione delle controversie, oltre a prevedere garanzie sugli standard di qualità, obblighi di formazione del personale che accede alle registrazioni, requisiti di selezione e verifica dei precedenti per gli operatori, e l’obbligo di mantenere la riservatezza su tutte le informazioni trattate.
Per completezza, ogni elemento tecnico, operativo e amministrativo descritto nel corpo principale del contratto dovrebbe trovare corrispondenza in allegati tecnici e operativi: planimetrie delle riprese, specifiche tecniche dei dispositivi, procedure operative standard per accesso e gestione delle evidenze, piano di continuità operativa, DPIA o sintesi della stessa, modello di registro degli accessi e degli incidenti, e il testo del Data Processing Agreement. Inserendo nel contratto queste informazioni in modo chiaro, dettagliato e coerente si creano le condizioni per una gestione della videosorveglianza conforme, sicura e controllabile, minimizzando i rischi giuridici e operativi per entrambe le parti.
Modello contratto gestione della videosorveglianza
CONTRATTO DI GESTIONE DELLA VIDEOSORVEGLIANZA
Tra:
1) __________________, con sede legale in __________________, codice fiscale/partita IVA __________________, rappresentata da __________________ (di seguito “Committente”);
e
2) __________________, con sede legale in __________________, codice fiscale/partita IVA __________________, rappresentata da __________________ (di seguito “Gestore”);
Premesso che
– il Committente è proprietario/possessore della/e area/e e degli impianti di videosorveglianza ubicati in __________________;
– il Gestore è un soggetto specializzato nella fornitura di servizi di gestione, monitoraggio, manutenzione e conservazione dei dati derivanti da sistemi di videosorveglianza;
Si conviene e stipula quanto segue.
Art. 1 – Oggetto del contratto
1.1 Il Committente affida al Gestore, che accetta, la gestione del sistema di videosorveglianza consistenti in: installazione/configurazione/manutenzione/monitoraggio/archiviazione/accesso remoto delle seguenti apparecchiature e servizi: __________________.
1.2 Il Gestore si impegna a svolgere le attività indicate nel presente contratto secondo le modalità, i tempi e i livelli di servizio descritti negli allegati: Allegato A (Specifiche Tecniche), Allegato B (SLA), Allegato C (Procedure di Sicurezza), Allegato D (Informativa Privacy).
Art. 2 – Durata
2.1 Il presente contratto ha durata di __________________ anni/mesi, con decorrenza dal __________________ e scadenza il __________________.
2.2 Il contratto si rinnova automaticamente per ulteriori periodi di __________________, salvo disdetta scritta di una delle parti da inviarsi almeno __________________ giorni prima della scadenza.
Art. 3 – Modalità di esecuzione del servizio
3.1 Il Gestore si impegna ad eseguire i servizi tramite personale qualificato e in conformità alle normative vigenti, nonché alle istruzioni fornite dal Committente.
3.2 Il Gestore dovrà garantire i seguenti livelli di servizio minimi: disponibilità del sistema pari a __________________% su base mensile, tempo massimo di intervento tecnico ordinario di __________________ ore/giorni, tempo massimo di ripristino in caso di guasto di __________________ ore/giorni.
3.3 Eventuali attività straordinarie non comprese nel corrispettivo previsto dal presente contratto saranno oggetto di separato accordo scritto e fatturate a parte.
Art. 4 – Obblighi del Gestore
4.1 Gestione tecnica: installazione, configurazione, aggiornamento, manutenzione preventiva e correttiva dell’hardware e del software indicati in Allegato A.
4.2 Monitoraggio: sorveglianza remota/locale secondo le modalità indicate in Allegato B, compresa la gestione degli allarmi e delle segnalazioni.
4.3 Conservazione dei dati: archiviazione delle registrazioni video per il periodo di conservatione di __________________ giorni/giorni lavorativi, conformemente alla normativa applicabile e all’Informativa Privacy (Allegato D).
4.4 Accesso ai dati: il Gestore garantirà l’accesso ai dati unicamente al personale autorizzato dal Committente e registrerà accessi e consultazioni in apposito registro elettronico/manuale.
4.5 Misure di sicurezza: il Gestore adotterà misure tecniche e organizzative adeguate a proteggere i dati personali trattati, come specificato in Allegato C.
Art. 5 – Obblighi del Committente
5.1 Fornire al Gestore tutte le informazioni, i documenti e le autorizzazioni necessari per l’esecuzione dei servizi.
5.2 Consentire l’accesso agli impianti, agli spazi e alle infrastrutture necessari per l’installazione, la manutenzione e il monitoraggio.
5.3 Provvedere al pagamento dei corrispettivi nei termini e nelle modalità previste all’art. 7.
Art. 6 – Trattamento dei dati personali e privacy
6.1 Le parti riconoscono che il Gestore tratterà, in qualità di incaricato/responsabile del trattamento (secondo quanto concordato), i dati personali acquisiti per l’esecuzione del servizio.
6.2 Il Gestore garantisce di rispettare il Regolamento (UE) 2016/679 (GDPR) e la normativa nazionale vigente in materia di protezione dei dati personali e si impegna a:
– trattare i dati esclusivamente per le finalità indicate nel presente contratto;
– adottare misure di sicurezza tecniche e organizzative adeguate come da Allegato C;
– nominare, se richiesto, un DPO o referente interno per la protezione dei dati: __________________;
– assistere il Committente nell’adempimento degli obblighi di legge, inclusa la gestione di richieste di interessati e comunicazioni di data breach.
6.3 I tempi di conservazione dei dati, le modalità di cancellazione e pseudonimizzazione sono definiti in Allegato D.
Art. 7 – Corrispettivi e modalità di pagamento
7.1 Il Committente corrisponderà al Gestore, a titolo di corrispettivo per i servizi, l’importo di base di Euro __________________ (IVA esclusa/compresa), da pagarsi come segue: __________________.
7.2 Eventuali spese per ricambi, interventi straordinari o servizi aggiuntivi saranno fatturate separatamente e dovranno essere approvate per iscritto dal Committente.
7.3 In caso di ritardo nel pagamento si applicheranno gli interessi di mora nella misura prevista dalla legge/nel seguente ammontare: __________________.
Art. 8 – Responsabilità e assicurazione
8.1 Il Gestore è responsabile dell’esecuzione dei servizi conformemente al presente contratto e alle norme di diligenza professionale. Resta esclusa ogni responsabilità del Gestore per danni derivanti da cause di forza maggiore o da comportamenti del Committente non conformi alle istruzioni.
8.2 Il Gestore si impegna a stipulare e mantenere in vigore per tutta la durata contrattuale una polizza assicurativa per responsabilità civile professionale con massimale pari ad almeno Euro __________________ per sinistro e complessivo annuo.
8.3 Il Committente risponde delle autorizzazioni amministrative e dei consensi necessari per l’installazione e l’esercizio degli impianti.
Art. 9 – Riservatezza
9.1 Le parti si obbligano a mantenere riservate tutte le informazioni confidenziali e i dati acquisiti in esecuzione del presente contratto e a non divulgarli a terzi senza il consenso scritto dell’altra parte, salvo quanto richiesto dalla legge.
9.2 L’obbligo di riservatezza perdura per un periodo di __________________ anni dopo la cessazione del contratto.
Art. 10 – Subappalto
10.1 Il Gestore potrà avvalersi di terzi per l’esecuzione parziale dei servizi previa comunicazione scritta al Committente e previa autorizzazione scritta del Committente, che non potrà essere irragionevolmente negata.
10.2 Il Gestore resterà comunque pienamente responsabile nei confronti del Committente per l’attività svolta dai subappaltatori.
Art. 11 – Controlli, audit e reportistica
11.1 Il Gestore fornirà al Committente report periodici sull’attività di gestione, contenenti almeno: disponibilità del sistema, interventi eseguiti, anomalie riscontrate, accessi ai dati. La frequenza dei report sarà: __________________.
11.2 Il Committente ha diritto di effettuare audit presso le sedi del Gestore, previo preavviso di __________________ giorni e nei limiti concordati per non pregiudicare le operazioni in corso.
Art. 12 – Gestione degli incidenti e data breach
12.1 In caso di violazione della sicurezza che comporti rischio per i diritti e le libertà delle persone fisiche, il Gestore notificherà tempestivamente il Committente entro __________________ ore/dal rilevamento e fornirà tutte le informazioni necessarie per adempiere agli obblighi di comunicazione previsti dalla normativa.
12.2 Il Gestore adotterà tutte le azioni correttive necessarie per contenere l’incidente e ripristinare la sicurezza dei dati.
Art. 13 – Recesso e risoluzione
13.1 Il Committente potrà recedere dal contratto con un preavviso scritto di __________________ giorni, fermo restando il pagamento dei servizi resi fino alla data di efficacia del recesso.
13.2 Il mancato rispetto da parte del Gestore degli obblighi essenziali del presente contratto, non sanato entro __________________ giorni dalla richiesta scritta del Committente, costituisce causa di risoluzione ai sensi dell’art. __________________ del codice civile.
13.3 Alla scadenza o risoluzione del contratto il Gestore restituirà al Committente tutto il materiale, le registrazioni e le informazioni in suo possesso e provvederà, secondo le istruzioni del Committente, alla cancellazione o alla restituzione dei dati personali, entro __________________ giorni.
Art. 14 – Clausole finali
14.1 Modifiche: qualsiasi modifica o integrazione al presente contratto sarà valida solo se concordata per iscritto tra le parti.
14.2 Nullità parziale: qualora una o più clausole del presente contratto risultassero invalide o inefficaci, le restanti clausole resteranno comunque valide e vincolanti; la parte interessata si impegna a sostituire la clausola invalida con una clausola valida che realizzi quanto più possibile lo scopo economico voluto.
14.3 Comunicazioni: tutte le comunicazioni relative al presente contratto dovranno essere inviate per iscritto ai seguenti indirizzi:
– Per il Committente: __________________;
– Per il Gestore: __________________.
14.4 Legge applicabile e foro competente: il presente contratto è regolato dalla legge italiana. Per ogni controversia derivante dall’interpretazione, esecuzione o risoluzione del presente contratto sarà competente in via esclusiva il Foro di __________________, salvo diverso accordo scritto tra le parti.
Firme
Letto, confermato e sottoscritto.
Luogo e data: __________________
Per il Committente
Nome e qualifica: __________________
Firma: __________________
Per il Gestore
Nome e qualifica: __________________
Firma: __________________
Allegati:
– Allegato A: Specifiche Tecniche dell’impianto e elenco apparecchiature: __________________
– Allegato B: Service Level Agreement (SLA): __________________
– Allegato C: Procedure e misure di sicurezza: __________________
– Allegato D: Informativa e Modalità di trattamento dei dati personali: __________________