“L’uso dei dati biometrici sul posto di lavoro è consentito solo se previsto da una norma specifica che tuteli i diritti dei lavoratori. Tale trattamento deve rispondere a un interesse pubblico e rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito”. Lo ha ribadito l’Autorità Garante per la protezione dei dati personali con il provvedimento n. 167 del 27 marzo 2025, reso noto con la newsletter istituzionale del 25 giugno u.s.
Vale innanzitutto la pena ricordare che i dati biometrici sono definiti dal Regolamento UE 2016/679 (il “GDPR”) come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14.) e, laddove intesi a identificare in modo univoco una persona fisica, sono ricompresi tra le categorie “particolari” di dati personali (art. 9) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.
Alla regola generale per cui il trattamento dei dati biometrici è vietato, fanno eccezione le condizioni elencate al paragrafo 2 dell’articolo 9 del GDPR, e – per quanto qui di nostro interesse – in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
In altre parole, il trattamento di dati biometrici nel contesto lavorativo è lecitamente posto in essere solo se trova il proprio fondamento in una disposizione normativa che possa essere ritenuta idonea base giuridica del trattamento. E, ad oggi, nell’ordinamento italiano non vi sono disposizioni specifiche che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie.
Questo difetto di base giuridica non può essere colmato neppure con il consenso dei dipendenti poiché, “alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro”.
Altri insights correlati:
L’uso di dispositivi per registrare conversazioni in ambito aziendale solleva questioni giuridiche e di privacy, con implicazioni su sicurezza e relazioni.
La diffusione di tecnologie in grado di registrare conversazioni ha portato le imprese a confrontarsi con una nuova e delicata realtà: come gestire e regolamentare la registrazione di conversazioni in azienda, nel rispetto della normativa e della fiducia interna?
Ormai è noto. La tecnologia evolve a un ritmo più veloce delle norme e, spesso, della conoscenza collettiva. Un fenomeno sempre più diffuso è l’uso, da parte dei lavoratori, di dispositivi magnetici o app sul proprio smartphone che consentono di registrare telefonate, meeting su piattaforme come Teams o Zoom o conversazioni ambientali.
A questi strumenti si affiancano software di trascrizione automatica in tempo reale e sistemi di intelligenza artificiale (tra i più noti ChatGPT), capaci di riassumere grandi quantità di dati vocali.
I più moderni dispositivi di registrazione sono piccoli, invisibili e facilmente collegabili agli smartphone ma, soprattutto, sono alla portata di tutti, sia in termini di reperibilità sia in termini economici.
Uno degli aspetti più interessanti è che spesso tutto questo avviene senza che gli interlocutori ne siano a conoscenza. Se gli ambienti in cui queste registrazioni vengono raccolte è un luogo di lavoro, la questione assume contorni complessi. Come può e deve gestire questo tipo di situazioni il datore di lavoro?
Questi temi, oggi, rappresentano una nuova frontiera nella gestione di aspetti quali il know-how, la protezione dei dati personali, la trasparenza e la sicurezza di una azienda.
La normativa italiana in materia di registrazioni è complessa. Tralasciando in questa sede tutto quanto previsto circa le intercettazioni disposte dall’Autorità Giudiziaria, vale la pena approfondire la disciplina relativa alle registrazioni di conversazioni (telefoniche o tra presenti) effettuate da privati cittadini che partecipano direttamente ai dialoghi ed effettuano delle registrazioni all’insaputa degli altri. Su questo punto, la giurisprudenza, in particolare quella di legittimità, ha sviluppato un orientamento consolidato.
Secondo l’orientamento maggioritario e costante della giurisprudenza (penale) di legittimità, infatti, la registrazione fonografica di un colloquio tra presenti, compiuta di propria iniziativa da uno degli interlocutori, non rientra nel concetto di intercettazione in senso tecnico. La motivazione risiede nel fatto che chi conversa accetta in qualche misura il rischio che la conversazione venga documentata mediante registrazione.
Alla luce di tale orientamento, pertanto, la liceità della registrazione è strettamente connessa alla partecipazione dell’autore alla conversazione.
Tuttavia, tale liceità incontra dei limiti. Tali limiti sono infatti rappresentati dal contesto spaziale e dall’utilizzo che si fa di queste registrazioni.
Per quanto riguarda il contesto spaziale, la registrazione mantiene carattere di liceità se effettuata all’interno dell’abitazione del soggetto registrante, in un luogo di sua pertinenza (come, ad esempio, il luogo di lavoro) ovvero in un luogo pubblico o aperto al pubblico.
Di converso, ciò implica che è considerata illegittima una registrazione effettuata nella privata dimora del soggetto intercettato o in altro luogo privato di sua pertinenza, potendo configurare il reato di illecita interferenza nell’altrui vita privata (ex art. 615-bis c.p.).
In questo scenario, è opportuno considerare che trattare una registrazione di conversazioni costituisce un trattamento di dati personali secondo la definizione di cui all’articolo 4 del Regolamento UE 2016/679 – il “GDPR”.
In questa ipotesi, se la registrazione è volta a far valere o difendere un diritto in sede giudiziaria, il trattamento dei dati personali (e quindi la registrazione stessa) può essere effettuato anche senza il consenso dell’interessato e senza l’informativa preventiva, purché i dati siano trattati esclusivamente per tali finalità e per il tempo strettamente necessario. Questo principio, seppur espresso in riferimento alla normativa pre-GDPR, è tuttavia coerente con le basi giuridiche del trattamento previste dal GDPR: ad esempio l’art. 6 par. 1 lett. f) che prevede il legittimo interesse, include la difesa in giudizio.
In linea generale, le registrazioni di conversazioni (telefoniche o tra presenti) così raccolte sono ammissibili nel processo civile. La loro efficacia probatoria è ovviamente subordinata alla verifica della loro autenticità ma la giurisprudenza di legittimità ha avuto modo di chiarire che la registrazione fonografica di un colloquio tra presenti, operata dal lavoratore e avente a oggetto un colloquio con il datore di lavoro, non integra illecito disciplinare e non lede il rapporto fiduciario, essendo scriminata dall’esercizio del diritto di difesa.
Continua a leggere la versione integrale pubblicata su Agenda Digitale.
“Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro alla Regione Lombardia” (Provvedimento n. 243 del 29 aprile 2025).
Come si legge sul sito istituzionale dell’Autorità, il provvedimento giunge al termine di un ciclo ispettivo volto a verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti. Tale provvedimento avviene a quasi un anno di distanza dalla pubblicazione del documento di indirizzo sulla conservazione di questi dati dal titolo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Provvedimento n. 364 del 6 giugno 2024).
Sebbene la vicenda abbia riguardato nello specifico una pubblica amministrazione, vale la pena chiarire che tutto quanto emerso, rilevato e chiarito dall’Autorità è pienamente applicabile anche ai titolari del trattamento operanti nel settore privato.
Con il termine “metadati” si devono intendere le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I log di navigazione in Internet permettono, invece, di tenere traccia delle attività svolte durante la navigazione web e contengono informazioni come, ad esempio, indirizzi IP visitati, URL delle pagine web aperte, orari e durata della connessione, tipo di dispositivo e browser utilizzato, eventuali download o upload effettuati.
Il Provvedimento di indirizzo del 6 giugno 2024, chiarisce che il periodo massimo di conservazione di questi dati è di 21 giorni. L’eventuale conservazione per un tempo più ampio può essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, è richiesto il soddisfacimento di una delle condizioni di garanzia previste nel nostro ordinamento dall’articolo 4, L. 300/1970: (i) accordo con le rappresentanze sindacali o, in mancanza, (ii) l’autorizzazione dell’Ispettorato territoriale del lavoro.
Ciò in quanto tutte queste informazioni consentono al datore di lavoro di individuare modelli comportamento, di conoscere le relazioni e le abitudini dei lavoratori ma anche di dedurre elementi come il rendimento e la produttività. In altre parole, possono comportare un indiretto controllo a distanza dell’attività dei lavoratori.
Con l’ispezione effettuata dall’Autorità, è emerso che la Regione conservava:
Altri insights correlati:
“Anche spazi esterni, dove occasionalmente o saltuariamente si svolge l’attività lavorativa, vanno considerati “luoghi di lavoro””. Lo ha chiarito il TAR della Toscana accogliendo il ricorso proposto da una società con la quale chiedeva l’annullamento del provvedimento di diniego emesso dall’Ispettorato del Lavoro territorialmente competente in riscontro all’istanza della ricorrente per l’istallazione di impianti audiovisivi presso lo stabilimento aziendale.
La vicenda trae origine dalla richiesta presentata da una società all’ITL competente che – come previsto dall’art. 4 dello Statuto dei Lavoratori (L. 300/70) – si rivolgeva alla Pubblica Amministrazione a seguito del mancato raggiungimento di un accordo con le rappresentanze sindacali aziendali. Nello specifico, la richiesta dell’azienda esponeva che, nonostante la presenza di un impianto di videosorveglianza da tempo installato lungo il perimetro del compendio aziendale, ancora si palesava l’esigenza di installare ulteriori 9 telecamere, da posizionare in una zona periferica dell’impianto industriale, per monitorare il corretto smaltimento dei rifiuti presso le apposite aree di scarico – che vedevano anche la presenza di soggetti esterni all’organigramma aziendale – così da prevenire rischi per la sicurezza dei lavoratori, di incendi e di danni ambientali, oltre che per la tutela del patrimonio aziendale.
Il rigetto dell’Ispettorato si fondava sull’inquadramento delle aree coinvolte come luoghi di lavoro e sulla sproporzione della misura, ritenuta non idonea rispetto ai rischi rappresentati.
Il Collegio ha ritenuto fondato il ricorso presentato dall’azienda per le seguenti ragioni:
Altri insights correlati:
Con la sentenza del 19 dicembre 2024, causa C‑65/23, la Corte di Giustizia dell’Unione Europea ha stabilito che (i) le disposizioni dei contratti collettivi nazionali di lavoro devono rispettare le norme in materia di protezione dei dati personali e che (ii) “qualora il giudice nazionale adito giungesse alla conclusione, all’esito del suo controllo, che alcune disposizioni del contratto collettivo […] non rispettano le condizioni e i limiti prescritti dal GDPR, sarebbe tenuto a non applicare tali disposizioni […]”.
La vicenda trae origine da un ricorso presentato da un lavoratore tedesco, il quale sosteneva che la società, sua datrice di lavoro, trattasse illegittimamente i suoi dati personali. Nello specifico, la società utilizzava un software SAP per finalità contabili e i dati in esso inseriti venivano trasferiti all’interno di un server situato negli Stati Uniti d’America. La società si difendeva affermando che il trattamento di dati personali effettuato fosse legittimo in quanto conforme alle disposizioni del contratto collettivo nazionale applicato in azienda.
Il lavoratore adiva quindi i giudici nazionali territorialmente competenti presentando domande dirette a ottenere: (i) l’accesso ai suoi dati personali; (ii) la cancellazione di dati che lo riguardavano nonché (iii) il riconoscimento di un risarcimento.
I giudici nazionali tedeschi chiamati a decidere sul caso di specie hanno sollevato delle questioni sulla portata dell’applicabilità dell’art. 88 del GDPR. L’art. 88 del GDPR prevede che “gli Stati Membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, […]”.
Con la pronuncia in commento, la Corte di Giustizia ha chiarito che, quando le disposizioni di un CCNL disciplinano il trattamento dei dati personali nei luoghi di lavoro, le stesse devono rispettare i principi fondamentali del GDPR. L’effetto deve essere quello di vincolare i suoi destinatari (datori di lavoro e associazioni sindacali) a garantire il rispetto dei principi di liceità, correttezza e trasparenza del trattamento, dei requisiti per un consenso lecito e delle norme sul trattamento di categorie particolari di dati personali.
Ciò comporta che se un giudice dovesse accertare che le disposizioni di un contratto collettivo che disciplinano uno o più trattamenti di dati personali nei luoghi di lavoro violano le condizioni e i limiti prescritti dalla normativa di settore applicabile, allora sarebbe tenuto a disapplicare le disposizioni non conformi senza che il margine di discrezionalità di cui dispongono le parti di tale contratto nel determinare il carattere «necessario» di un trattamento di dati personali impedisca all’autorità giudiziale di esercitare un controllo giurisdizionale completo al riguardo.
Altri insights correlati: