L’uso di dispositivi per registrare conversazioni in ambito aziendale solleva questioni giuridiche e di privacy, con implicazioni su sicurezza e relazioni.
La diffusione di tecnologie in grado di registrare conversazioni ha portato le imprese a confrontarsi con una nuova e delicata realtà: come gestire e regolamentare la registrazione di conversazioni in azienda, nel rispetto della normativa e della fiducia interna?
Ormai è noto. La tecnologia evolve a un ritmo più veloce delle norme e, spesso, della conoscenza collettiva. Un fenomeno sempre più diffuso è l’uso, da parte dei lavoratori, di dispositivi magnetici o app sul proprio smartphone che consentono di registrare telefonate, meeting su piattaforme come Teams o Zoom o conversazioni ambientali.
A questi strumenti si affiancano software di trascrizione automatica in tempo reale e sistemi di intelligenza artificiale (tra i più noti ChatGPT), capaci di riassumere grandi quantità di dati vocali.
I più moderni dispositivi di registrazione sono piccoli, invisibili e facilmente collegabili agli smartphone ma, soprattutto, sono alla portata di tutti, sia in termini di reperibilità sia in termini economici.
Uno degli aspetti più interessanti è che spesso tutto questo avviene senza che gli interlocutori ne siano a conoscenza. Se gli ambienti in cui queste registrazioni vengono raccolte è un luogo di lavoro, la questione assume contorni complessi. Come può e deve gestire questo tipo di situazioni il datore di lavoro?
Questi temi, oggi, rappresentano una nuova frontiera nella gestione di aspetti quali il know-how, la protezione dei dati personali, la trasparenza e la sicurezza di una azienda.
La normativa italiana in materia di registrazioni è complessa. Tralasciando in questa sede tutto quanto previsto circa le intercettazioni disposte dall’Autorità Giudiziaria, vale la pena approfondire la disciplina relativa alle registrazioni di conversazioni (telefoniche o tra presenti) effettuate da privati cittadini che partecipano direttamente ai dialoghi ed effettuano delle registrazioni all’insaputa degli altri. Su questo punto, la giurisprudenza, in particolare quella di legittimità, ha sviluppato un orientamento consolidato.
Secondo l’orientamento maggioritario e costante della giurisprudenza (penale) di legittimità, infatti, la registrazione fonografica di un colloquio tra presenti, compiuta di propria iniziativa da uno degli interlocutori, non rientra nel concetto di intercettazione in senso tecnico. La motivazione risiede nel fatto che chi conversa accetta in qualche misura il rischio che la conversazione venga documentata mediante registrazione.
Alla luce di tale orientamento, pertanto, la liceità della registrazione è strettamente connessa alla partecipazione dell’autore alla conversazione.
Tuttavia, tale liceità incontra dei limiti. Tali limiti sono infatti rappresentati dal contesto spaziale e dall’utilizzo che si fa di queste registrazioni.
Per quanto riguarda il contesto spaziale, la registrazione mantiene carattere di liceità se effettuata all’interno dell’abitazione del soggetto registrante, in un luogo di sua pertinenza (come, ad esempio, il luogo di lavoro) ovvero in un luogo pubblico o aperto al pubblico.
Di converso, ciò implica che è considerata illegittima una registrazione effettuata nella privata dimora del soggetto intercettato o in altro luogo privato di sua pertinenza, potendo configurare il reato di illecita interferenza nell’altrui vita privata (ex art. 615-bis c.p.).
In questo scenario, è opportuno considerare che trattare una registrazione di conversazioni costituisce un trattamento di dati personali secondo la definizione di cui all’articolo 4 del Regolamento UE 2016/679 – il “GDPR”.
In questa ipotesi, se la registrazione è volta a far valere o difendere un diritto in sede giudiziaria, il trattamento dei dati personali (e quindi la registrazione stessa) può essere effettuato anche senza il consenso dell’interessato e senza l’informativa preventiva, purché i dati siano trattati esclusivamente per tali finalità e per il tempo strettamente necessario. Questo principio, seppur espresso in riferimento alla normativa pre-GDPR, è tuttavia coerente con le basi giuridiche del trattamento previste dal GDPR: ad esempio l’art. 6 par. 1 lett. f) che prevede il legittimo interesse, include la difesa in giudizio.
In linea generale, le registrazioni di conversazioni (telefoniche o tra presenti) così raccolte sono ammissibili nel processo civile. La loro efficacia probatoria è ovviamente subordinata alla verifica della loro autenticità ma la giurisprudenza di legittimità ha avuto modo di chiarire che la registrazione fonografica di un colloquio tra presenti, operata dal lavoratore e avente a oggetto un colloquio con il datore di lavoro, non integra illecito disciplinare e non lede il rapporto fiduciario, essendo scriminata dall’esercizio del diritto di difesa.
Continua a leggere la versione integrale pubblicata su Agenda Digitale.
“Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro alla Regione Lombardia” (Provvedimento n. 243 del 29 aprile 2025).
Come si legge sul sito istituzionale dell’Autorità, il provvedimento giunge al termine di un ciclo ispettivo volto a verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti. Tale provvedimento avviene a quasi un anno di distanza dalla pubblicazione del documento di indirizzo sulla conservazione di questi dati dal titolo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Provvedimento n. 364 del 6 giugno 2024).
Sebbene la vicenda abbia riguardato nello specifico una pubblica amministrazione, vale la pena chiarire che tutto quanto emerso, rilevato e chiarito dall’Autorità è pienamente applicabile anche ai titolari del trattamento operanti nel settore privato.
Con il termine “metadati” si devono intendere le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I log di navigazione in Internet permettono, invece, di tenere traccia delle attività svolte durante la navigazione web e contengono informazioni come, ad esempio, indirizzi IP visitati, URL delle pagine web aperte, orari e durata della connessione, tipo di dispositivo e browser utilizzato, eventuali download o upload effettuati.
Il Provvedimento di indirizzo del 6 giugno 2024, chiarisce che il periodo massimo di conservazione di questi dati è di 21 giorni. L’eventuale conservazione per un tempo più ampio può essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, è richiesto il soddisfacimento di una delle condizioni di garanzia previste nel nostro ordinamento dall’articolo 4, L. 300/1970: (i) accordo con le rappresentanze sindacali o, in mancanza, (ii) l’autorizzazione dell’Ispettorato territoriale del lavoro.
Ciò in quanto tutte queste informazioni consentono al datore di lavoro di individuare modelli comportamento, di conoscere le relazioni e le abitudini dei lavoratori ma anche di dedurre elementi come il rendimento e la produttività. In altre parole, possono comportare un indiretto controllo a distanza dell’attività dei lavoratori.
Con l’ispezione effettuata dall’Autorità, è emerso che la Regione conservava:
Altri insights correlati:
“Anche spazi esterni, dove occasionalmente o saltuariamente si svolge l’attività lavorativa, vanno considerati “luoghi di lavoro””. Lo ha chiarito il TAR della Toscana accogliendo il ricorso proposto da una società con la quale chiedeva l’annullamento del provvedimento di diniego emesso dall’Ispettorato del Lavoro territorialmente competente in riscontro all’istanza della ricorrente per l’istallazione di impianti audiovisivi presso lo stabilimento aziendale.
La vicenda trae origine dalla richiesta presentata da una società all’ITL competente che – come previsto dall’art. 4 dello Statuto dei Lavoratori (L. 300/70) – si rivolgeva alla Pubblica Amministrazione a seguito del mancato raggiungimento di un accordo con le rappresentanze sindacali aziendali. Nello specifico, la richiesta dell’azienda esponeva che, nonostante la presenza di un impianto di videosorveglianza da tempo installato lungo il perimetro del compendio aziendale, ancora si palesava l’esigenza di installare ulteriori 9 telecamere, da posizionare in una zona periferica dell’impianto industriale, per monitorare il corretto smaltimento dei rifiuti presso le apposite aree di scarico – che vedevano anche la presenza di soggetti esterni all’organigramma aziendale – così da prevenire rischi per la sicurezza dei lavoratori, di incendi e di danni ambientali, oltre che per la tutela del patrimonio aziendale.
Il rigetto dell’Ispettorato si fondava sull’inquadramento delle aree coinvolte come luoghi di lavoro e sulla sproporzione della misura, ritenuta non idonea rispetto ai rischi rappresentati.
Il Collegio ha ritenuto fondato il ricorso presentato dall’azienda per le seguenti ragioni:
Altri insights correlati:
La Corte di Cassazione, con ordinanza del 13 gennaio 2025, n. 807, è tornata nuovamente sul tema della legittimità dei controlli datoriali effettuati tramite accesso alla casella di posta elettronica aziendale dei lavoratori. Con quest’ultima pronuncia, la Suprema Corte ha ribadito che il datore di lavoro può sì eseguire indagini accedendo alla mail aziendale del dipendente ma ciò è legittimo solo a partire dal momento in cui sorge il fondato sospetto della commissione di un illecito. Ne deriva che eventuali informazioni raccolte in una fase precedente non sono utilizzabili per nessuna finalità comprese, quindi, eventuali azioni disciplinari nei confronti del lavoratore infedele.
Nel caso di specie, la società intimava il licenziamento ad un proprio dirigente sulla base di informazioni raccolte durante un controllo effettuato sui file log di e-mail inviate dal lavoratore anteriormente all’”alert” inviato dal sistema informatico dell’azienda che aveva generato il “sospetto datoriale” e quindi sollevato l’esigenza di avviare dei controlli.
Già secondo la Corte d’Appello le informazioni così raccolte dalla società erano di fatto inutilizzabili per fini disciplinari e gli elementi di prova a motivazione del licenziamento avrebbero dovuto essere ricercati esclusivamente nelle giustificazioni rese dal dirigente.
La sentenza in esame solleva un’importante riflessione sul tema dei controlli datoriali in un contesto in cui le nuove tecnologie hanno notevolmente ampliato le possibilità di monitoraggio. È essenziale definire con chiarezza quali siano i confini da considerare affinché le azioni intraprese e i dati eventualmente raccolti possano essere considerati legittimi e conformi al quadro normativo oggi vigente. Il rischio è che informazioni che possano confermare la commissione di illeciti siano di fatto inutilizzabili.
Occorre anche considerare quanto sia fondamentale individuare il punto di equilibrio tra le esigenze di protezione degli interessi e dei beni aziendali e di libertà di iniziativa economica in capo al datore di lavoro e la tutela della dignità e della riservatezza del lavoratore. Se a fronte di un fondato sospetto il datore di lavoro potesse estendere il proprio controllo indistintamente a tutti i dati che fino a quel momento sono stati raccolti e conservati nel sistema informatico aziendale, l’equilibrio tra gli interessi in gioco verrebbe naturalmente meno. A ricordarlo è la stessa Corte di Cassazione (ordinanza 807/2025).
Ma quindi il datore di lavoro può porre in essere controlli tecnologici finalizzati a tutelare beni estranei al rapporto di lavoro o a evitare comportamenti illeciti da parte dei suoi dipendenti?
La risposta è sicuramente affermativa ma ciò è possibile a determinate condizioni.
• Deve generarsi un fondato sospetto della commissione di azioni e condotte illecite.
• Il controllo deve essere mirato, limitato nel tempo e finalizzato solo a ricercare elementi che confermino il sospetto generatosi.
• Oggetto di controllo possono essere esclusivamente le informazioni acquisite successivamente – ex post – all’insorgere del sospetto.
Ciò consente di individuare e assicurare il mantenimento del punto di equilibrio tra le diverse esigenze delle parti coinvolte citato anche con quest’ultima pronuncia dalla stessa Corte di Cassazione.
Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.
Con la sentenza del 19 dicembre 2024, causa C‑65/23, la Corte di Giustizia dell’Unione Europea ha stabilito che (i) le disposizioni dei contratti collettivi nazionali di lavoro devono rispettare le norme in materia di protezione dei dati personali e che (ii) “qualora il giudice nazionale adito giungesse alla conclusione, all’esito del suo controllo, che alcune disposizioni del contratto collettivo […] non rispettano le condizioni e i limiti prescritti dal GDPR, sarebbe tenuto a non applicare tali disposizioni […]”.
La vicenda trae origine da un ricorso presentato da un lavoratore tedesco, il quale sosteneva che la società, sua datrice di lavoro, trattasse illegittimamente i suoi dati personali. Nello specifico, la società utilizzava un software SAP per finalità contabili e i dati in esso inseriti venivano trasferiti all’interno di un server situato negli Stati Uniti d’America. La società si difendeva affermando che il trattamento di dati personali effettuato fosse legittimo in quanto conforme alle disposizioni del contratto collettivo nazionale applicato in azienda.
Il lavoratore adiva quindi i giudici nazionali territorialmente competenti presentando domande dirette a ottenere: (i) l’accesso ai suoi dati personali; (ii) la cancellazione di dati che lo riguardavano nonché (iii) il riconoscimento di un risarcimento.
I giudici nazionali tedeschi chiamati a decidere sul caso di specie hanno sollevato delle questioni sulla portata dell’applicabilità dell’art. 88 del GDPR. L’art. 88 del GDPR prevede che “gli Stati Membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, […]”.
Con la pronuncia in commento, la Corte di Giustizia ha chiarito che, quando le disposizioni di un CCNL disciplinano il trattamento dei dati personali nei luoghi di lavoro, le stesse devono rispettare i principi fondamentali del GDPR. L’effetto deve essere quello di vincolare i suoi destinatari (datori di lavoro e associazioni sindacali) a garantire il rispetto dei principi di liceità, correttezza e trasparenza del trattamento, dei requisiti per un consenso lecito e delle norme sul trattamento di categorie particolari di dati personali.
Ciò comporta che se un giudice dovesse accertare che le disposizioni di un contratto collettivo che disciplinano uno o più trattamenti di dati personali nei luoghi di lavoro violano le condizioni e i limiti prescritti dalla normativa di settore applicabile, allora sarebbe tenuto a disapplicare le disposizioni non conformi senza che il margine di discrezionalità di cui dispongono le parti di tale contratto nel determinare il carattere «necessario» di un trattamento di dati personali impedisca all’autorità giudiziale di esercitare un controllo giurisdizionale completo al riguardo.
Altri insights correlati:
