La chat aziendale “destinata alle comunicazioni di servizio dei dipendenti che vi accedono mediante account aziendale, costituisce uno strumento di lavoro, ai sensi dell’art. 4, comma 2, della legge n. 300 del 1970, come modificato dal d.lgs. n. 151 del 2015, essendo funzionale alla prestazione lavorativa; che tale funzione non viene meno per il fatto che la chat può essere utilizzata anche per conversazioni private e fuori dall’orario di lavoro e può essere installata liberamente anche da utenti privati; che nel caso di specie è stata impiegata per questioni di lavoro; che l’utilizzabilità delle informazioni raccolte dalla chat è condizionata unicamente, in base al disposto del terzo comma del citato art. 4, alla “adeguata informazione” in favore del lavoratore «delle modalità d’uso degli strumenti e di effettuazione dei controlli e (al) rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196»”.
Lo ha affermato la Corte di Cassazione, sentenza 11 dicembre 2025, n. 32283, che interviene sull’utilizzabilità del contenuto delle chat aziendali per finalità disciplinari.
La vicenda trae origine dal licenziamento di un dipendente con mansioni di Reliability and Maintenance Engineering cui era stata contestata la violazione degli obblighi di confidenzialità del processo di selezione dei dipendenti, obblighi previsti dalla policy aziendale e, comunque, rientranti nei doveri di diligenza e fedeltà di cui agli artt. 2104 e 2105 c.c. Gli addebiti posti in essere dal datore di lavoro si fondavano sul materiale raccolto tramite chat aziendali nelle quali il lavoratore aveva diffuso informazioni confidenziali riguardanti il processo di selezione di candidati all’assunzione. Le chat erano state acquisite inizialmente a seguito della segnalazione di un dipendente e successivamente attraverso indagini interne.
Il lavoratore impugnava il recesso contestando l’utilizzabilità, a fini disciplinari, delle conversazioni estratte da una chat aziendale. Tribunale e Corte d’Appello avevano respinto l’impugnativa, ritenendo legittima l’acquisizione e l’utilizzazione delle chat e proporzionata la decisione della società.
La Corte di Cassazione dichiara l’inammissibilità del ricorso del lavoratore osservando che: (i) la chat aziendale, se utilizzata per comunicazioni di servizio tramite account aziendale, può qualificarsi come “strumento di lavoro” ai sensi dell’art. 4, comma 2, Statuto dei Lavoratori. Tale funzione non viene meno per il fatto che la piattaforma sia utilizzabile anche per conversazioni private non esclude, di per sé, tale qualificazione quando la stessa sia in concreto adoperata per esigenze lavorative; (ii) i dati raccolti attraverso strumenti di lavoro sono utilizzabili anche a fini disciplinari, purché siano rispettate le condizioni previste dal comma 3 dell’articolo 4 dello Statuto dei Lavoratori – ossia che il lavoratore sia stato previamente e adeguatamente informato sulle modalità d’uso degli strumenti e sull’effettuazione dei controlli e che il trattamento dei dati avvenga nel rispetto della normativa in materia di protezione dei dati personali.
Nel caso in esame, i giudici di secondo grado avevano ritenuto soddisfatto il requisito dell’”adeguata informazione”, effettuata dalla società con l’adozione di una policy aziendale, accessibile a tutti i dipendenti e richiamata nel contratto di assunzione, che includeva la messaggistica istantanea tra i sistemi elettronici aziendali e ne prevedeva l’eventuale utilizzo a fini disciplinari in presenza di sospetti di illecito.
Altri insights correlati:
“L’uso dei dati biometrici sul posto di lavoro è consentito solo se previsto da una norma specifica che tuteli i diritti dei lavoratori. Tale trattamento deve rispondere a un interesse pubblico e rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito”. Lo ha ribadito l’Autorità Garante per la protezione dei dati personali con il provvedimento n. 167 del 27 marzo 2025, reso noto con la newsletter istituzionale del 25 giugno u.s.
Vale innanzitutto la pena ricordare che i dati biometrici sono definiti dal Regolamento UE 2016/679 (il “GDPR”) come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14.) e, laddove intesi a identificare in modo univoco una persona fisica, sono ricompresi tra le categorie “particolari” di dati personali (art. 9) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.
Alla regola generale per cui il trattamento dei dati biometrici è vietato, fanno eccezione le condizioni elencate al paragrafo 2 dell’articolo 9 del GDPR, e – per quanto qui di nostro interesse – in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
In altre parole, il trattamento di dati biometrici nel contesto lavorativo è lecitamente posto in essere solo se trova il proprio fondamento in una disposizione normativa che possa essere ritenuta idonea base giuridica del trattamento. E, ad oggi, nell’ordinamento italiano non vi sono disposizioni specifiche che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie.
Questo difetto di base giuridica non può essere colmato neppure con il consenso dei dipendenti poiché, “alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro”.
Altri insights correlati:
L’uso di dispositivi per registrare conversazioni in ambito aziendale solleva questioni giuridiche e di privacy, con implicazioni su sicurezza e relazioni.
La diffusione di tecnologie in grado di registrare conversazioni ha portato le imprese a confrontarsi con una nuova e delicata realtà: come gestire e regolamentare la registrazione di conversazioni in azienda, nel rispetto della normativa e della fiducia interna?
Ormai è noto. La tecnologia evolve a un ritmo più veloce delle norme e, spesso, della conoscenza collettiva. Un fenomeno sempre più diffuso è l’uso, da parte dei lavoratori, di dispositivi magnetici o app sul proprio smartphone che consentono di registrare telefonate, meeting su piattaforme come Teams o Zoom o conversazioni ambientali.
A questi strumenti si affiancano software di trascrizione automatica in tempo reale e sistemi di intelligenza artificiale (tra i più noti ChatGPT), capaci di riassumere grandi quantità di dati vocali.
I più moderni dispositivi di registrazione sono piccoli, invisibili e facilmente collegabili agli smartphone ma, soprattutto, sono alla portata di tutti, sia in termini di reperibilità sia in termini economici.
Uno degli aspetti più interessanti è che spesso tutto questo avviene senza che gli interlocutori ne siano a conoscenza. Se gli ambienti in cui queste registrazioni vengono raccolte è un luogo di lavoro, la questione assume contorni complessi. Come può e deve gestire questo tipo di situazioni il datore di lavoro?
Questi temi, oggi, rappresentano una nuova frontiera nella gestione di aspetti quali il know-how, la protezione dei dati personali, la trasparenza e la sicurezza di una azienda.
La normativa italiana in materia di registrazioni è complessa. Tralasciando in questa sede tutto quanto previsto circa le intercettazioni disposte dall’Autorità Giudiziaria, vale la pena approfondire la disciplina relativa alle registrazioni di conversazioni (telefoniche o tra presenti) effettuate da privati cittadini che partecipano direttamente ai dialoghi ed effettuano delle registrazioni all’insaputa degli altri. Su questo punto, la giurisprudenza, in particolare quella di legittimità, ha sviluppato un orientamento consolidato.
Secondo l’orientamento maggioritario e costante della giurisprudenza (penale) di legittimità, infatti, la registrazione fonografica di un colloquio tra presenti, compiuta di propria iniziativa da uno degli interlocutori, non rientra nel concetto di intercettazione in senso tecnico. La motivazione risiede nel fatto che chi conversa accetta in qualche misura il rischio che la conversazione venga documentata mediante registrazione.
Alla luce di tale orientamento, pertanto, la liceità della registrazione è strettamente connessa alla partecipazione dell’autore alla conversazione.
Tuttavia, tale liceità incontra dei limiti. Tali limiti sono infatti rappresentati dal contesto spaziale e dall’utilizzo che si fa di queste registrazioni.
Per quanto riguarda il contesto spaziale, la registrazione mantiene carattere di liceità se effettuata all’interno dell’abitazione del soggetto registrante, in un luogo di sua pertinenza (come, ad esempio, il luogo di lavoro) ovvero in un luogo pubblico o aperto al pubblico.
Di converso, ciò implica che è considerata illegittima una registrazione effettuata nella privata dimora del soggetto intercettato o in altro luogo privato di sua pertinenza, potendo configurare il reato di illecita interferenza nell’altrui vita privata (ex art. 615-bis c.p.).
In questo scenario, è opportuno considerare che trattare una registrazione di conversazioni costituisce un trattamento di dati personali secondo la definizione di cui all’articolo 4 del Regolamento UE 2016/679 – il “GDPR”.
In questa ipotesi, se la registrazione è volta a far valere o difendere un diritto in sede giudiziaria, il trattamento dei dati personali (e quindi la registrazione stessa) può essere effettuato anche senza il consenso dell’interessato e senza l’informativa preventiva, purché i dati siano trattati esclusivamente per tali finalità e per il tempo strettamente necessario. Questo principio, seppur espresso in riferimento alla normativa pre-GDPR, è tuttavia coerente con le basi giuridiche del trattamento previste dal GDPR: ad esempio l’art. 6 par. 1 lett. f) che prevede il legittimo interesse, include la difesa in giudizio.
In linea generale, le registrazioni di conversazioni (telefoniche o tra presenti) così raccolte sono ammissibili nel processo civile. La loro efficacia probatoria è ovviamente subordinata alla verifica della loro autenticità ma la giurisprudenza di legittimità ha avuto modo di chiarire che la registrazione fonografica di un colloquio tra presenti, operata dal lavoratore e avente a oggetto un colloquio con il datore di lavoro, non integra illecito disciplinare e non lede il rapporto fiduciario, essendo scriminata dall’esercizio del diritto di difesa.
Continua a leggere la versione integrale pubblicata su Agenda Digitale.
“Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro alla Regione Lombardia” (Provvedimento n. 243 del 29 aprile 2025).
Come si legge sul sito istituzionale dell’Autorità, il provvedimento giunge al termine di un ciclo ispettivo volto a verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti. Tale provvedimento avviene a quasi un anno di distanza dalla pubblicazione del documento di indirizzo sulla conservazione di questi dati dal titolo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Provvedimento n. 364 del 6 giugno 2024).
Sebbene la vicenda abbia riguardato nello specifico una pubblica amministrazione, vale la pena chiarire che tutto quanto emerso, rilevato e chiarito dall’Autorità è pienamente applicabile anche ai titolari del trattamento operanti nel settore privato.
Con il termine “metadati” si devono intendere le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I log di navigazione in Internet permettono, invece, di tenere traccia delle attività svolte durante la navigazione web e contengono informazioni come, ad esempio, indirizzi IP visitati, URL delle pagine web aperte, orari e durata della connessione, tipo di dispositivo e browser utilizzato, eventuali download o upload effettuati.
Il Provvedimento di indirizzo del 6 giugno 2024, chiarisce che il periodo massimo di conservazione di questi dati è di 21 giorni. L’eventuale conservazione per un tempo più ampio può essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, è richiesto il soddisfacimento di una delle condizioni di garanzia previste nel nostro ordinamento dall’articolo 4, L. 300/1970: (i) accordo con le rappresentanze sindacali o, in mancanza, (ii) l’autorizzazione dell’Ispettorato territoriale del lavoro.
Ciò in quanto tutte queste informazioni consentono al datore di lavoro di individuare modelli comportamento, di conoscere le relazioni e le abitudini dei lavoratori ma anche di dedurre elementi come il rendimento e la produttività. In altre parole, possono comportare un indiretto controllo a distanza dell’attività dei lavoratori.
Con l’ispezione effettuata dall’Autorità, è emerso che la Regione conservava:
Altri insights correlati:
“Anche spazi esterni, dove occasionalmente o saltuariamente si svolge l’attività lavorativa, vanno considerati “luoghi di lavoro””. Lo ha chiarito il TAR della Toscana accogliendo il ricorso proposto da una società con la quale chiedeva l’annullamento del provvedimento di diniego emesso dall’Ispettorato del Lavoro territorialmente competente in riscontro all’istanza della ricorrente per l’istallazione di impianti audiovisivi presso lo stabilimento aziendale.
La vicenda trae origine dalla richiesta presentata da una società all’ITL competente che – come previsto dall’art. 4 dello Statuto dei Lavoratori (L. 300/70) – si rivolgeva alla Pubblica Amministrazione a seguito del mancato raggiungimento di un accordo con le rappresentanze sindacali aziendali. Nello specifico, la richiesta dell’azienda esponeva che, nonostante la presenza di un impianto di videosorveglianza da tempo installato lungo il perimetro del compendio aziendale, ancora si palesava l’esigenza di installare ulteriori 9 telecamere, da posizionare in una zona periferica dell’impianto industriale, per monitorare il corretto smaltimento dei rifiuti presso le apposite aree di scarico – che vedevano anche la presenza di soggetti esterni all’organigramma aziendale – così da prevenire rischi per la sicurezza dei lavoratori, di incendi e di danni ambientali, oltre che per la tutela del patrimonio aziendale.
Il rigetto dell’Ispettorato si fondava sull’inquadramento delle aree coinvolte come luoghi di lavoro e sulla sproporzione della misura, ritenuta non idonea rispetto ai rischi rappresentati.
Il Collegio ha ritenuto fondato il ricorso presentato dall’azienda per le seguenti ragioni:
Altri insights correlati:
