Con provvedimento n. 389 del 10 luglio 2025, il Garante per la protezione dei dati personali ha accertato una grave violazione della normativa in materia di privacy da parte di una compagnia assicurativa, sanzionata con 80.000 euro. 

Il caso ha origine da un reclamo presentato ai sensi dell’art. 77 del Regolamento (UE) 2016/679, che ha evidenziato la comunicazione non autorizzata di informazioni personali relative a tre polizze vita a un indirizzo email estraneo alla titolare.

Secondo quanto ricostruito, la compagnia aveva ricevuto diverse richieste contenenti informazioni dettagliate sulle polizze, corredate da firma autografa e altri dati identificativi. In buona fede, ritenendo legittime le richieste, l’azienda ha fornito riscontro a tali comunicazioni tra il 2021 e il 2023, senza verificare con certezza l’identità del mittente. Solo nel settembre 2024, a seguito della segnalazione della reale intestataria, è emerso che le comunicazioni erano state inviate da un soggetto terzo che si era finto lei, utilizzando un indirizzo email tedesco mai registrato dalla cliente, in un caso di "phishing" contro il quale la compagnia non aveva messo in atto le dovute precauzioni.

L’istruttoria del Garante e le responsabilità accertate

La compagnia ha riferito di aver agito con diligenza e in buona fede, spiegando che le richieste apparivano verosimili per la presenza di dettagli specifici, come importi e date dei versamenti, e la firma autografa dell’intestataria. Tuttavia, il Garante ha sottolineato che la cliente non aveva mai fornito un indirizzo email per ricevere comunicazioni ufficiali e  che pertanto l’azienda avrebbe dovuto adottare misure più rigorose per verificare l’identità del richiedente.

Nel corso dell’istruttoria è emerso che, pur essendo a conoscenza del disconoscimento dell’indirizzo email già da settembre 2024, la compagnia ha notificato la violazione all’Autorità solo a gennaio 2025, superando il termine di 72 ore previsto dall’art. 33 del Regolamento (UE) 2016/679. Secondo le Linee guida 9/2022 del Comitato europeo per la protezione dei dati, il titolare del trattamento è considerato “a conoscenza” della violazione non appena ha ragionevole certezza che si sia verificato un incidente di sicurezza.

Il Garante ha evidenziato come la mancanza di verifica preventiva e il ritardo nella notifica abbiano costituito violazioni dei principi di liceità, correttezza e sicurezza dei dati (art. 5, par. 1, lett. a) e f), e art. 33, par. 1 del Regolamento), dichiarando illecito il trattamento dei dati personali da parte della compagnia

.

La sanzione e le misure correttive adottate

Alla luce della natura colposa della violazione e del fatto che questa ha interessato dati personali riferiti a polizze vita, il Garante ha disposto una sanzione amministrativa pecuniaria pari a 80.000 euro. Nella determinazione dell’importo sono state considerate anche le misure correttive adottate dalla compagnia, tra cui:

• sospensione immediata delle comunicazioni all’indirizzo email disconosciuto;
• avvio di una revisione delle procedure aziendali per rafforzare i controlli sull’identità dei richiedenti;
• collaborazione con l’Autorità durante il procedimento;
• assenza di precedenti specifici.

Inoltre, la società ha presentato denuncia contro ignoti e ha previsto che, in futuro, le richieste relative ai rapporti contrattuali potranno essere evase solo in presenza di specifiche condizioni, come l’uso di recapiti certificati o l’allegazione di un documento di identità.

Il Garante ha disposto la pubblicazione dell’ordinanza di ingiunzione sul proprio sito istituzionale, come previsto dall’art. 166 del Codice in materia di protezione dei dati personali, per garantire la massima trasparenza e informare cittadini e operatori sulle conseguenze delle violazioni in materia di trattamento dei dati personali.

Con un provvedimento del 10 luglio 2025, il Garante per la protezione dei dati personali ha sanzionato una società per aver trattato in modo illecito i dati dei lavoratori in occasione di colloqui di rientro dopo assenze per motivi di salute. 

L’uso di un modulo specifico per raccogliere informazioni personali, seppur finalizzato al reinserimento lavorativo, è risultato non conforme al Regolamento (UE) 2016/679 (GDPR) e alla normativa nazionale in materia di privacy.

Il caso: questionario per il rientro al lavoro

La vicenda trae origine da una segnalazione sindacale relativa alla prassi aziendale di sottoporre i dipendenti, dopo periodi di assenza per malattia, infortunio o ricovero, a un colloquio strutturato con un proprio responsabile. In tale occasione veniva compilato un modulo denominato Return to Work Interview (RTWI), successivamente archiviato nelle risorse umane.

La finalità dichiarata dall’azienda era quella di tutelare la salute e il benessere psico-fisico dei lavoratori e facilitare il loro reinserimento. Tuttavia, il Garante ha riscontrato che il modulo poteva raccogliere dati sanitari, anche indirettamente, in violazione delle disposizioni che riservano tali trattamenti al solo medico competente. Inoltre, non veniva fornita un’informativa adeguata né era garantita la libertà del consenso.

La decisione del Garante: gravi violazioni accertate

L’Autorità ha  evidenziato dunque diverse serie  criticità, tra cui:

1. Mancanza di un’informativa chiara e completa: le poche righe presenti all’inizio del modulo non descrivevano in modo esaustivo il trattamento dei dati. Anche le informazioni fornite nei portali aziendali risultavano generiche e non riferibili allo specifico trattamento.
2. Trattamento illecito di dati sanitari: alcune domande contenute nel modulo potevano comportare, direttamente o attraverso i commenti del lavoratore, la rivelazione di dati sensibili. Secondo il GDPR, tali trattamenti devono essere autorizzati dal diritto dell’Unione o nazionale, oppure essere effettuati esclusivamente dal medico competente, come previsto dal D.lgs. 81/2008.
3. Base giuridica inadeguata: la società faceva riferimento alternativamente a obblighi di legge (art. 2087 c.c.), consenso o legittimo interesse. Il Garante ha ribadito che, nel rapporto di lavoro, il consenso non è di norma valido a causa del disequilibrio tra le parti, e che il trattamento di dati sanitari richiede presupposti specifici.
4. Violazione dei principi di minimizzazione e limitazione della conservazione: le informazioni raccolte erano in parte superflue, già note all’ufficio del personale, e conservate fino a 10 anni, senza criteri chiari per la loro cancellazione.

Le misure: sanzione e obbligo di cancellazione –

Il Garante ha concluso che il trattamento non rispettava diversi articoli del Regolamento (in particolare artt. 5, 6, 9, 13 e 88) e l’art. 113 del Codice Privacy. 

Ha quindi disposto:

• Il divieto di proseguire nel trattamento dei dati raccolti tramite i moduli;
• La cancellazione dei dati già acquisiti, entro 60 giorni dalla notifica del provvedimento;
• L’irrogazione di una sanzione pecuniaria pari a 50.000 euro.

Il provvedimento è stato pubblicato sul sito dell’Autorità, anche per l’alto numero di lavoratori coinvolti e la durata della violazione, protrattasi dal 2020.

Questo caso sottolinea l’importanza, per le aziende, di coniugare le buone prassi organizzative con il rispetto della normativa in materia di privacy. 

Inoltre, anche iniziative finalizzate alla tutela del benessere lavorativo devono essere progettate nel rispetto del principio di liceità e della normativa sul trattamento dei dati. In particolare, quando si sfiorano dati relativi alla salute, occorre che il trattamento sia strettamente necessario, autorizzato dalla legge e condotto da soggetti legittimati.

Il Garante per la protezione dei dati personali è intervenuto nei confronti di un ente pubblico regionale, in seguito a un reclamo presentato da una dipendente e a una segnalazione del Dipartimento della Funzione Pubblica. Entrambe le segnalazioni riguardavano l’uso, da parte dell’ente, di sistemi di geolocalizzazione per controllare i lavoratori in smart working tramite l’applicazione “Time Relax”.

In particolare, l’ente richiedeva ai dipendenti in lavoro agile di effettuare timbrature in entrata e uscita tramite dispositivi elettronici, abilitando la localizzazione, per verificare la compatibilità della posizione effettiva con quanto previsto negli accordi individuali. In almeno un caso, tali informazioni sono state utilizzate per avviare un procedimento disciplinare nei confronti della persona interessata.

Ecco i dettagli sulla decisione del Garante in  merito.

Smart working e geolocalizzazione: le violazioni evidenziate dal Garante

Il Garante ha riscontrato nell'attività del ente  numerose violazioni della normativa in materia di protezione dei dati personali, in particolare del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (D.lgs. 196/2003). Le principali criticità sono:

• Illiceità del trattamento dei dati

Il monitoraggio della posizione geografica dei lavoratori risultava finalizzato a verificare il rispetto delle condizioni dell’accordo di lavoro agile, rappresentando un controllo diretto dell’attività lavorativa. Tale finalità non è ammessa dalla legge e contrasta con i principi di proporzionalità e rispetto della libertà morale del lavoratore.

• Assenza di base giuridica idonea

L’ente ha giustificato il trattamento facendo riferimento a una propria delibera e a un accordo con i sindacati. Tuttavia, secondo il Garante, questi atti non bastano a legittimare il trattamento. Inoltre, il consenso del lavoratore, richiesto dall’app per attivare la localizzazione, non è considerato valido in ambito lavorativo a causa dello squilibrio tra le parti.

• Violazione dei principi di minimizzazione e finalità

La raccolta sistematica di coordinate GPS eccedeva quanto strettamente necessario per la gestione del rapporto di lavoro, comportando un’intrusione nella sfera privata non giustificata.

• Informativa carente

I documenti aziendali non contenevano tutte le informazioni previste dall’art. 13 del GDPR. I lavoratori non erano adeguatamente informati su come e perché venivano trattati i loro dati di geolocalizzazione.

• Assenza di valutazione d’impatto

L’ente non aveva effettuato la valutazione preventiva dei rischi sui diritti e le libertà delle persone interessate, nonostante il trattamento implicasse un elevato grado di rischio.

• Uso improprio a fini disciplinari

I dati geolocalizzati sono stati utilizzati per avviare un procedimento disciplinare, anche se successivamente sospeso. Secondo il Garante, questo utilizzo era illecito, essendo basato su dati raccolti per altre finalità e comunque senza una base giuridica adeguata.

La decisione e i limiti alla sorveglianza sul lavoro agile

l Garante ha  quindi dichiarato illecito il trattamento e ha comminato una sanzione amministrativa pecuniaria di 50.000 euro. Ha inoltre disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale per ragioni di trasparenza e funzione deterrente, data la gravità della condotta e il numero significativo di lavoratori coinvolti.

L’ente, da parte sua, ha dichiarato di aver interrotto il trattamento contestato e disattivato la funzione di geolocalizzazione dell’applicazione, adottando misure correttive in autotutela.

Il provvedimento ribadisce il  principio cardine  generale per cui il controllo dell’attività lavorativa deve avvenire nel rispetto dei diritti fondamentali dei lavoratori, senza trasformarsi in sorveglianza invasiva.

Il datore di lavoro può ricorrere a strumenti tecnologici solo se strettamente necessari per finalità organizzative, produttive, di sicurezza o tutela del patrimonio, e comunque solo in forma indiretta e limitata. Ogni trattamento di dati personali deve poggiare su basi giuridiche solide, essere proporzionato e preceduto da un’attenta valutazione dei rischi.

Va anche sottolineato  il principio  dell’inadeguatezza del consenso del lavoratore come fondamento giuridico nei rapporti di lavoro, riaffermando l’esigenza di tutele rafforzate nei contesti contrattuali asimmetrici come quello tra dipendente e datore pubblico o privato.

Dal 30 maggio 2025 Meta, la società proprietaria di Facebook, Instagram e WhatsApp, inizierà a utilizzare i dati personali degli utenti per addestrare i propri sistemi di intelligenza artificiale (IA). È quanto annunciava  il Garante per la protezione dei dati personali in un comunicato di marzo 2025 invitando  tutti a informarsi e, se lo desiderano, a esercitare il diritto di opposizione entro la fine del mese.

L’utilizzo dei dati per l’IA non riguarda solo chi ha un account sui social Meta, ma potenzialmente anche chi non è iscritto, se i propri dati sono stati condivisi da altri utenti. Per questo è importante agire subito, compilando gli appositi moduli messi a disposizione online sulle piattaforme social.

Il termine si avvicina: vediamo piu in dettaglio di cosa si tratta.

Cosa farà Meta con i nostri dati

Meta ha annunciato che userà i contenuti pubblici pubblicati dagli utenti maggiorenni – come post, commenti, foto, didascalie – e anche le informazioni inserite nelle chat con i servizi di IA (ad esempio su WhatsApp), per migliorare i suoi sistemi di intelligenza artificiale. In particolare, questi dati alimenteranno strumenti come il chatbot Meta AI o i modelli linguistici come Llama.

Questo trattamento sarà basato sul “legittimo interesse” di Meta. Tuttavia, il Garante ha sottolineato che il Regolamento europeo (GDPR) riconosce agli utenti il diritto di opporsi a questo uso dei propri dati.

Il Garante ricorda anche che il diritto di opposizione non riguarda solo Meta. Anche altri sistemi di intelligenza artificiale – come quelli sviluppati da OpenAI (ChatGPT), DeepSeek o Google – possono essere soggetti alla stessa regola. È sempre possibile chiedere che i propri dati non vengano utilizzati per addestrare algoritmi.

Opposizione per l’uso dei propri dati sui sociale: cosa fare

Chi non vuole che i propri contenuti vengano utilizzati da Meta per l’IA deve compilare un modulo online che le piattaforme sono obbligate a rendere disponibili, ai seguenti link:

• Per gli utenti Facebook: Modulo opposizione Facebook
• Per gli utenti Instagram: Modulo opposizione Instagram
• Per chi non ha un account ma teme che i propri dati siano presenti: Modulo non utenti

ATTENZIONE : chi esercita l’opposizione entro fine maggio potrà impedire che tutti i propri dati personali vengano usati. 

Chi invece si oppone dopo, riuscirà a bloccare solo l’uso dei dati pubblicati dopo la data dell’opposizione. I dati già raccolti fino a quel momento resteranno a disposizione di Meta per l’addestramento dei suoi sistemi.

Va inoltre  tenuto presente che anche i dati dei non utenti e dei minori sono a rischio: anche chi non è registrato a Facebook o Instagram potrebbe vedere i propri dati coinvolti, se ad esempio appaiono in foto o testi pubblicati da altri. In questo caso si può usare il modulo per i non utenti.

Privacy dei dati e intelligenza artificiale: cosa sta facendo il Garante

Nel frattempo, l’Autorità italiana per la privacy sta collaborando con le altre autorità europee per valutare la legittimità del comportamento di Meta. 

Si punta a capire se esistano le basi legali per un uso così esteso dei dati personali, e se il diritto di opposizione sia davvero garantito in modo semplice, effettivo e completo. In particolare, è stato richiesto a Meta di chiarire anche l’uso delle immagini di minorenni postate da adulti.

In sintesi: chi utilizza Facebook, Instagram o anche solo ha la propria immagine o informazioni online, dovrebbe valutare con attenzione se desidera che i propri dati alimentino i sistemi di intelligenza artificiale. Se la risposta è no, è fondamentale agire entro fine maggio 2025.

Ricordiamo che sul tema  già nel 2023  il Garante aveva  avviato una indagine conoscitiva  e l'anno scorso ha deliberato un provvedimento sui rischi e i possibili interventi per la tutela dei dati.

Lo alleghiamo  qui per maggiore informazione: Web scraping ed intelligenza artificiale generativa: nota informativa e possibili azioni di contrasto

Nell'ordinanza della Corte di Cassazione n. 807 del 13 gennaio scorso vengono chiariti ulteriormente i vincoli  che la normativa del lavoro e il Regolamento sulla privacy  pongono ai datori di lavoro in merito all'utilizzo   dei dispositivi elettronici aziendali . La nuova pronuncia si occupa in particolare di un caso di  licenziamento a seguito  di indagini sul pc di un dipendente a causa di fondati sospetti di attività illecita , nel quale la Suprema corte  conferma la decisione di merito sottolineando   che il  controllo  sui  periodi precedenti il sospetto, è vietato,  per cui le eventuali  informazioni  acquisite non sono  utilizzabili a fini  di una contestazione disciplinare verso il dipendente.

Controllo posta elettronica : i limiti dello Statuto dei lavoratori e Jobs At

La Cassazione afferma ancora una volta come , i controlli tecnologici sugli strumenti digitali aziendali, sebbene ammessi dallo Statuto dei lavoratori modificato dal Jobs Act del 2015, devono rispettare specifici parametri di bilanciamento tra  il rispetto della privacy del lavoratore e le esigenze di tutela degli interessi aziendali.

 In particolare, le verifiche sono ammesse:

• solo in presenza di un fondato sospetto  di attività illecite e 
•  devono limitarsi ai dati raccolti successivamente al suo insorgere .

 Qualsiasi verifica retrospettiva, come quella effettuata nel caso analizzato, viola l’articolo 4 dello Statuto dei lavoratori, che consente controlli unicamente ex post.

 Inoltre, viene precisato che l’informativa sulla privacy  regolarmente visionata e accettata dal dipendente , non può sanare l’illegittimità di controlli eseguiti in violazione delle norme, poiché tale adempimento ha finalità diverse. 

La sentenza sottolinea   che l’azione disciplinare può basarsi solo su dati raccolti nel rispetto di questi limiti, impedendo al datore di lavoro di utilizzare prove raccolte in modo improprio o di cercare conferme di un sospetto esplorando dati archiviati precedentemente.