Data Loss Prevention DLP: analizziamo l'equilibrio tra la sicurezza informatica e i diritti dei lavoratori, con focus sulle normative legali e i controlli a distanza.

DLP e controlli difensivi

A cura di:Vito Sinforoso 19 Marzo 202520 Marzo 2025

Questo articolo è l’ultimo della serie sul tema della DLP (Data Loss Prevention) elaborata da Vito Sinforoso. L’autore esplora le implicazioni legali e pratiche dell’implementazione di soluzioni DLP, con particolare attenzione al bilanciamento tra la sicurezza aziendale e i diritti dei lavoratori.

Tutela della privacy del dipendente e implementazione della Data Loss Prevention (DLP)

Corre l’obbligo di interrogarsi se l’implementazione di una soluzione di Data Loss Prevention possa confliggere con normative a tutela della privacy del dipendente. Il potere di controllo del datore di lavoro, in altre parole, deve trovare un giusto contemperamento tra la sua esigenza di evitare condotte illecite da parte del dipendente ed il diritto di quest’ultimo alla propria riservatezza.

La norma chiamata in causa è la Legge 20 maggio 1970, n. 300 c.d. “Statuto dei lavoratori”, che all’art. 4 contempla le disposizioni relative ai cosiddetti “controlli a distanza” dei lavoratori.

Nell’attuale formulazione, detta norma prevede che «gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per:

esigenze organizzative e produttive;
la sicurezza del lavoro;
la tutela del patrimonio aziendale,

e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali».

In mancanza di accordo, gli impianti e gli strumenti possono essere installati previa autorizzazione dell’Ispettorato del Lavoro.

Dalla lettura della norma emerge quindi che per attivare dei dispositivi di vigilanza o altri tipi di strumenti di controllo, in grado di poter anche controllare a distanza l’attività dei lavoratori, è indispensabile il verificarsi di due condizioni, ossia un’esigenza aziendale qualificata e l’esercizio con esito positivo della procedura in sede sindacale o amministrativa (autorizzazione dell’Ispettorato del Lavoro), quest’ultima in mancanza di rappresentanze sindacali.

Il secondo comma del citato art. 4 liberalizza il ricorso «agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze», sottraendoli all’applicazione del 1° comma.

Il terzo comma, infine, prevede la facoltà di impiegare le risultanze dei controlli compiuti, a condizione che sia stato esperito il preventivo adempimento, ad opera del datore, dell’onere di informativa sulle «modalità d’uso degli strumenti e di effettuazione dei controlli» e del rispetto della normativa sulla privacy.

Quanto alla ratio, la giurisprudenza della Corte di Cassazione[1] ha evidenziato che la disposizione in parola è diretta a contenere, analogamente ad altre norme, “le manifestazioni del potere organizzativo e direttivo del datore di lavoro che, per le modalità di attuazione incidenti nella sfera della persona, si ritengono lesive della dignità e della riservatezza del lavoratore, sul presupposto … che la vigilanza sul lavoro, ancorché necessaria nell’organizzazione produttiva, vada mantenuta in una dimensione umana, e cioè non esasperata … eliminando ogni zona di riservatezza e di autonomia nello svolgimento del lavoro”.

In tale contesto, la procedura autorizzativa sindacale (nonché amministrativa) da esperire antecedentemente all’installazione di “impianti ed apparecchiature ricollegabili ad esigenze produttive contempera l’esigenza di tutela del diritto dei lavoratori a non essere controllati a distanza e quello del datore di lavoro, o, se si vuole, della stessa collettività, relativamente alla organizzazione, produzione e sicurezza del lavoro”.

L’attuale formulazione dell’art. 4 dello Statuto dei Lavoratori è frutto delle modifiche apportate dal D.Lgs. 14 settembre 2015, n. 151 (c.d. Jobs Act), che ha aggiunto, in sintesi e per quanto di interesse per questo elaborato, le ragioni della “tutela del patrimonio aziendale” tra le finalità per cui è possibile installare impianti audiovisivi, previo accordo con le rappresentanze sindacali.

Controlli difensivi: evoluzione giurisprudenziale e applicazione pratica

Prima della modifica normativa, la tutela del patrimonio aziendale veniva collocata nell’ambito di applicazione dei cosiddetti “controlli difensivi”, i quali trovano la loro origine in un concetto elaborato dalla giurisprudenza, appunto in epoca antecedente alla menzionata modifica.

Secondo tale indirizzo, “esulano dall’ambito di applicazione dell’art. 4, comma 2, St. lav. e non richiedono l’osservanza delle garanzie ivi previste, i “controlli difensivi” da parte del datore se diretti ad accertare comportamenti illeciti e lesivi del patrimonio e dell’immagine aziendale, tanto più se disposti ex post, ossia dopo l’attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa”[2].

Secondo la giurisprudenza, quindi, i controlli a distanza, predisposti dal datore di lavoro e detti “difensivi”, non rientravano nel campo di applicazione del previgente art. 4 se fossero state sussistenti due condizioni necessarie ed una eventuale: la finalità del datore di lavoro di accertare comportamenti illeciti del lavoratore; che gli illeciti da accertare fossero lesivi del patrimonio aziendale; che i controlli fossero stati disposti ex post, ossia dopo l’attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull’esecuzione della prestazione lavorativa [3]. Tale ultimo presupposto era, tuttavia, considerato come eventuale dalla giurisprudenza vigente, poiché ritenuto un fattore avente funzione meramente confermativa della effettività del controllo difensivo[4].

Le novità introdotte nel 2015 non riuscirono a chiarire il quadro all’interno del quale inserire i controlli difensivi e le divisioni dottrinarie e giurisprudenziali continuarono a permanere[5]: “da un lato, c’è chi ritiene che i controlli difensivi siano stati ormai pienamente assorbiti nella nuova regolamentazione legale, con la conseguenza che gli stessi sono consentiti solo tramite impianti debitamente autorizzati, quando necessario, e comunque nel rispetto degli obblighi informativi. Dall’altro chi, invece, propone un aggiornamento del concetto di controllo a distanza al fine di sostenerne la sopravvivenza, in deroga all’art. 4 dello Statuto, in una prospettiva di ineliminabile bilanciamento dei contrapposti interessi”[6].

La sentenza della Corte di Cassazione n. 25732

Sul punto, ossia sulla sopravvivenza dei controlli difensivi, è intervenuta la sentenza della Corte di Cassazione n. 25732 del 22 settembre 2021, già citata in nota, che introduce un duplice concetto di controlli difensivi, in senso lato ed in senso stretto.

I primi sono quelli posti a tutela del patrimonio aziendale e “riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto di tale patrimonio”. I secondi invece sono quelli “diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro”.

La suprema Corte ritiene che i controlli difensivi in senso stretto si collochino, indipendentemente dagli strumenti con cui vengono effettuati, in continuità con il passato “all’esterno del perimetro applicativo dell’art. 4” e ciò in quanto non hanno “ad oggetto la normale attività del lavoratore”[7].

La sentenza prosegue fornendo alcune avvertenze per l’applicazione dei controlli difensivi definiti in “senso stretto”; il controllo difensivo:

non può degenerare in un annullamento dei margini di riservatezza del lavoratore;
deve rispettare i principi di proporzionalità e di minimizzazione;
deve essere un controllo a posteriori, dovendo fondarsi su un ragionevole sospetto della commissione di un illecito da parte del lavoratore.

La sentenza in esame chiarisce, inoltre, che il controllo:

“non dovrebbe riferirsi all’esame ed all’analisi di informazioni acquisite in violazione delle prescrizioni di cui all’art. 4 St.lav., poiché, in tal modo opinando, l’area del controllo difensivo si estenderebbe a dismisura, con conseguente annientamento della valenza delle predette prescrizioni.

Il datore di lavoro, infatti, potrebbe, in difetto di autorizzazione e/o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo ed ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame ed analisi di quei dati.

In tal caso, il controllo non sembra potersi ritenere effettuato ex post, poiché esso ha inizio con la raccolta delle informazioni; quella che viene effettuata ex post è solo una attività successiva di lettura ed analisi che non ha, a tal fine, una sua autonoma rilevanza”.

In definitiva, la sentenza in commento si pone in linea di sostanziale continuità rispetto alla giurisprudenza che l’aveva preceduta, rendendo peraltro cogente un presupposto, quello della posteriorità del controllo rispetto all’illecito (rectius: al ragionevole sospetto della commissione di un illecito[8]).

Il quadro viene poi completato dalla sentenza n. 25731/2021, che condivide l’interpretazione del nuovo art. 4 dello Statuto e afferma il principio della inutilizzabilità dei dati/informazioni, acquisiti attraverso i sistemi e dispositivi indicati dal primo e secondo comma, «a tutti i fini connessi al rapporto di lavoro» (e quindi anche ai fini disciplinari) in assenza della previa informazione dei dipendenti circa le modalità di registrazione dei dati.

Conflitto tra obblighi di sicurezza DLP e garanzie sindacali

Alla luce di quanto fin qui argomentato e considerata la tipologia di controlli posti in essere con l’adozione di soluzioni di Data Loss Prevention nell’ambito di un’organizzazione (sia essa pubblica o privata), tra cui il costante monitoraggio del sistema informativo, non possa prescindere dall’attivazione delle garanzie sindacali previste per quei sistemi in grado di costituire una qualsiasi forma di controllo a distanza dell’attività dei lavoratori.

Così concepita, una soluzione DLP deve ritenersi inclusa nella cosiddetta categoria dei controlli difensivi in senso lato, rivolgendosi ad una pluralità di lavoratori e proprio per questo necessitanti di garanzie collettive che l’ordinamento individua nelle prerogative sindacali ovvero nell’autorizzazione amministrativa.

In ogni caso, secondo quanto previsto dal 3° comma dell’art. 4 dello Statuto dei lavoratori, affinché le informazioni, raccolte nel contesto autorizzativo e secondo i presupposti indicati nel comma 1 dello stesso articolo (riassumendo, esigenze organizzative e produttive, sicurezza del lavoro, tutela del patrimonio aziendale, regime autorizzativo sindacale o amministrativo), siano utilizzabili a tutti i fini connessi al rapporto di lavoro, comprese le finalità disciplinari, è necessario che sia stata “data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”[9].

Le stesse soluzioni di DLP potrebbero essere di supporto al datore di lavoro per provare un comportamento illecito da parte di un dipendente, purché il controllo sia effettivamente realizzato a posteriori, ossia a seguito del sorgere, in capo al datore, di un fondato sospetto circa la commissione di illeciti ad opera del lavoratore, e il datore stesso provveda, solo da quel momento, alla raccolta delle informazioni.

Tuttavia, appare poco realistico che una soluzione di DLP, per la sua complessità applicativa, possa essere approntata all’occorrenza e cioè al sorgere di un ragionevole sospetto di commissione di un illecito lesivo del patrimonio aziendale.

È più agevole ipotizzare che detta soluzione venga adottata come sistema di controllo a distanza del lavoratore e che, all’insorgere del fondato sospetto, le sue risultanze vengano utilizzate dal datore di lavoro a sostegno delle proprie ragioni, sempre che siano state assicurate le garanzie di cui all’art. 4.

Appare evidente, inoltre, un sostanziale contrasto di norme relative all’adozione delle soluzioni di DLP, atteso che da una parte vi sono disposizioni di carattere amministrativo (la Delibera del Presidente del Consiglio dei Ministri e la circolare AgID 2/2017) che impongono alle pubbliche amministrazioni di adeguarsi a standard minimi di sicurezza informatica, tra cui appunto anche l’implementazione di soluzioni DLP; dall’altra vigono disposizioni, quali il più volte citato art. 4 dello Statuto dei lavoratori, che condizionano l’installazione di sistemi da cui possa derivare il controllo a distanza dei lavoratori ad un accordo sindacale ovvero ad un’autorizzazione amministrativa.

Si rileva come non ci si trovi dinanzi ad una mancanza formale di coordinamento tra le norme; trattandosi di disposizioni avente un diverso rango nella gerarchia delle fonti, il contrasto si risolverebbe facilmente a favore della norma di rango superiore, ossia la Legge 300/1970.

Tuttavia, ci si potrebbe trovare nella situazione in cui il mancato accordo sindacale (o la mancata autorizzazione da parte dell’Ispettorato del Lavoro) sarebbe di ostacolo all’attivazione di soluzioni di tutela informatica, la cui importanza è di assoluto rilievo sia per l’organizzazione, che per gli stessi dipendenti.

Per assurdo, il confronto sindacale potrebbe giungere, nel momento in cui si ponga in posizione ostativa all’accordo con il datore di lavoro, ad impedire l’attivazione di sistemi idonei non solo a tutelare il patrimonio aziendale (o dell’amministrazione pubblica) ma anche i diritti e gli interessi degli stessi lavoratori, venendo meno alla sua funzione primaria di tutela di questi ultimi. È fuori di dubbio, infatti, che la perdita di dati potrebbe riguardare informazioni degli stessi dipendenti, ponendo a repentaglio il loro diritto alla riservatezza.

Ove, invece, l’implementazione di soluzioni di DLP venga interpretata come obbligo discendente dalle disposizioni dettate dal GDPR, il coordinamento tra le norme vedrebbe prevalere quest’ultimo, con buona pace delle garanzie previste dall’art. 4 dello Statuto dei lavoratori.

Sul punto, tuttavia, non sono ancora disponibili contributi giurisprudenziali né auspicabili chiarimenti da parte del Legislatore o dell’Autorità di Governo.

È ipotizzabile che, in tale situazione, un datore di lavoro, sia esso pubblico o privato, si attivi in ogni caso per conseguire un accordo con le rappresentanze sindacali, adducendo tra le motivazioni per l’installazione dei sistemi anche quelle legate al rispetto di norme di carattere europee e nazionale oltre che all’esigenza di tutela del patrimonio aziendale (o dell’amministrazione).

Nuove disposizioni e linee guida per la sicurezza informatica DLP nella PA

Un’ulteriore disposizione di interesse con riferimento ai controlli in tema di sicurezza sui sistemi informatici e telematici può essere rinvenuta in una norma di recente adozione. Il DPR nr. 81 del 13.06.2023, entrato in vigore il 14 luglio 2023, aggiorna il Regolamento recante il “Codice di comportamento dei dipendenti pubblici”, introdotto dal DPR 16 aprile 2013, n. 62, ricomprendendo al suo interno norme per l’utilizzo delle tecnologie informatiche, attraverso l’aggiunta dell’art. 11- bis[10].

Detta disposizione prevede, tra l’altro, che “L’amministrazione, attraverso i propri responsabili di struttura, ha facoltà di svolgere gli accertamenti necessari e adottare ogni misura atta a garantire la sicurezza e la protezione dei sistemi informatici, delle informazioni e dei dati. Le modalità di svolgimento di tali accertamenti sono stabilite mediante linee guida adottate dall’Agenzia per l’Italia Digitale, sentito il Garante per la protezione dei dati personali”.

La facoltà di cui parla l’art. 11-bis appare non del tutto in linea con le disposizioni del GDPR, norma di rango superiore, in cui le organizzazioni (tecnicamente, il titolare del trattamento e il responsabile del trattamento) sono tenute a mettere in atto (quindi non una facoltà) misure tecniche e organizzative adeguate, per garantire un livello di sicurezza adeguato al rischio.

L’art. 32 del Regolamento, nell’indicare alcune di queste misure, menziona tra le altre, anche la previsione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (procedure che ben possono coincidere, almeno parzialmente, con soluzioni di DLP); l’obbligo in questione è peraltro sanzionato dall’art. 83 dello stesso Regolamento.

Il citato art. 11-bis, inoltre, rimanda a linee guida da adottare a cura dell’Agenzia per l’Italia Digitale, sentito il Garante per la protezione dei dati personali per individuare “le modalità di svolgimento di tali accertamenti”.

Al momento di redazione del presente elaborato, le suddette linee guida non sono state ancora adottate. In merito, si ritiene possa essere utile che le stesse ribadiscano anche la necessità di prevedere l’adozione, da parte dei datori di lavoro o delle amministrazioni, di un disciplinare riportante indicazioni chiare, aggiornate ed efficaci a favore dei lavoratori.

Già nel 2007, il Garante per la Protezione dei Dati Personali, aveva emanato “le linee guida del Garante per posta elettronica e internet”, in cui affrontava la tematica delle misure che ogni organizzazione deve attuare e far rispettare ai propri dipendenti, nella gestione della posta elettronica d’ufficio e nella navigazione nella rete Internet.

In tal senso, le linee guida prevedevano che: “Grava quindi sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò, tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali”.

La disposizione del Garante[11] prevede che il disciplinare debba essere redatto in modo semplice e senza formule generiche e sottoposto a continuo aggiornamento; inoltre, è riportato un dettagliato elenco di avvertenze che il documento dovrebbe riportare come indicazione minima. La sua utilità starebbe tutta nella sua capacità di rappresentare al lavoratore le migliori pratiche da seguire e nel contempo i comportamenti vietati, nonché avvisarlo delle modalità e le tempistiche con cui vengono effettuati i controlli da parte del datore di lavoro o dell’amministrazione.

Gestione della posta elettronica aziendale: le nuove indicazioni del Garante

Infine, di recente il Garante è tornato sul tema della gestione della posta elettronica aziendale con un documento di indirizzo[12] del 21 dicembre 2023, avente ad oggetto “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Nel documento, è stato evidenziato come la conservazione dei metadati delle mail aziendali (giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail) va limitata a un massimo di sette giorni che in caso di “comprovate esigenze” possono essere estesi di ulteriori 48 ore.

Secondo il Garante, i datori di lavoro che abbiano l’esigenza di trattarli per più tempo dovranno attivare le procedure di garanzia previste dall’art. 4 dello Statuto dei lavoratori, passando per un accordo sindacale o per l’autorizzazione dell’Ispettorato del lavoro.

Il Garante, partendo dall’analisi di alcuni software di gestione della posta aziendale, ha rilevato che gli stessi conservano i metadati delle mail, ossia informazioni parallele quali l’ora, il giorno, la dimensione, il destinatario ecc. dalla cui analisi, per un periodo di conservazione non giustificato, può derivarne un “indiretto controllo a distanza” dell’attività del lavoratore, con possibile acquisizione di informazioni sulle sue opinioni politiche, religiose o sindacali. Detti software non consentirebbero al momento la possibilità per il datore di impostare diversamente i tempi di conservazione dei dati.

Il Garante si rivolge, quindi, sia ai datori di lavoro che ai produttori di servizi di gestione della corrispondenza elettronica aziendale; ai primi impone di “adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore. In particolare, si rende necessario verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti … consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore”.

I produttori dei servizi e delle applicazioni, a loro volta, sono invitati in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte.

Il documento del Garante indica poi chiaramente che:

“diversamente, i datori di lavoro pubblici o privati, in qualità di titolari del trattamento, dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici.

Resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati.

In ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento”.

Conclusioni

In questo elaborato, sono state analizzate le disposizioni normative e gli standard che raccomandano/impongono alle organizzazioni di adottare soluzioni di Data Loss Prevention (DLP). Conseguentemente, sono state approfondite le implicazioni dovute all’adozione di tali soluzioni e il loro impatto sulle normative sulla privacy nonché sui controlli a distanza effettuati in ambito lavorativo, come da indicazioni dell’art. 4 dello Statuto dei Lavoratori.

Ne emerge come l’implementazione di soluzioni DLP, nella loro funzione di tutela dei dati trattati dalle organizzazioni, debba tuttavia trovare un equilibrio tra la necessità di prevenire comportamenti illeciti da parte dei dipendenti e il rispetto del diritto di questi ultimi a che la vigilanza sul lavoro, ancorché necessaria nell’organizzazione produttiva, venga mantenuta in una dimensione umana e non esasperata.

Il riferimento a responsabilità dei dipendenti in situazioni di attacchi alla sicurezza cyber deriva dalla constatazione che il fattore umano costituisce una delle vulnerabilità più importanti nei sistemi di prevenzione della perdita dei dati.

È stato, quindi, necessariamente trattato il tema dei “controlli difensivi”, introdotti dalla giurisprudenza, e la cui sopravvivenza post Jobs Act, è stata confermata dalla sentenza della Corte di Cassazione n. 25732 del 2021, che ha delineato un doppio concetto di controlli difensivi, differenziando quelli in senso lato, rivolti ad una pluralità di lavoratori nella loro quotidiana attività lavorativa, da quelli in senso stretto, mirati a comprovare specifiche condotte illecite e giustificati da fondati sospetti.

Si è giunti alla conclusione che le soluzioni DLP devono essere collocate nella cosiddetta categoria dei controlli difensivi in senso lato, potendo interessare una pluralità di lavoratori; affinché la loro adozione non violi le disposizioni dello Statuto dei lavoratori, si ritiene indispensabile attivare le garanzie collettive sindacali o amministrative. In ogni caso, affinché le informazioni raccolte possano essere utilizzabili a tutti i fini connessi al rapporto di lavoro, comprese le finalità disciplinari, è necessario che sia stata data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.

Le stesse soluzioni DLP potrebbero in ogni caso essere di supporto al datore di lavoro per provare un comportamento illecito da parte di un dipendente, purché il controllo sia effettivamente realizzato a posteriori, a seguito cioè del sorgere del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, e sempre che si provveda, da quel momento, alla raccolta delle informazioni.

È stato fatto, inoltre, riferimento al DPR n. 81 del 13 giugno 2023, che aggiorna il Codice di comportamento dei dipendenti pubblici includendo norme sull’utilizzo delle tecnologie informatiche. Emerge la necessità di garantire la sicurezza e la protezione dei sistemi informatici, delle informazioni e dei dati, stabilendo modalità di accertamento tramite linee guida che dovranno essere adottate dall’Agenzia per l’Italia Digitale.

Infine, è stato sinteticamente analizzato un documento di indirizzo di recente adozione del Garante per la Protezione dei Dati Personale, in cui viene affrontato il tema della conservazione dei metadati delle mail aziendali; il Garante dispone che la conservazione va limitata a un massimo di sette giorni che in caso di “comprovate esigenze” possono salire a nove. I datori di lavoro che abbiano, invece, l’esigenza di trattarli per più tempo hanno l’onere di attivare le procedure di garanzia previste dall’art. 4 dello Statuto dei lavoratori, passando per un accordo sindacale o per l’autorizzazione dell’Ispettorato del lavoro.

In definitiva, la complessità delle tecnologie che animano quotidianamente la nostra vita necessità di un approccio a tutto tondo e scevro da condizionamenti mentali. Se da un lato si pone l’adozione obbligatoria e precauzionale di politiche e di tecniche che mirano ad innalzare il livello di sicurezza degli utenti e dei loro dati, allo stesso tempo, se non adeguatamente analizzate sotto altri aspetti, le stesse possono introdurre ulteriori elementi di aggressione ai diritti. È proprio quanto emerso da questo lavoro che ha avuto modo di evidenziare gli indiscutibili vantaggi di soluzioni DLP, ma anche le problematiche che ne potrebbero derivare da una applicazione non in linea con le norme poste a tutela degli utenti-lavoratori.

In questo elaborato, sono state analizzate le disposizioni normative e gli standard che raccomandano/impongono alle organizzazioni di adottare soluzioni di Data Loss Prevention (DLP). Conseguentemente, sono state approfondite le implicazioni dovute all’adozione di tali soluzioni DLP e il loro impatto sulle normative sulla privacy nonché sui controlli a distanza effettuati in ambito lavorativo, come da indicazioni dell’art. 4 dello Statuto dei Lavoratori.

Per approfondire ulteriormente questo argomento e scoprire tutti i dettagli tecnici e strategici legati al tema DLP, ti invitiamo a scaricare il white paper completo redatto da Vito Sinforoso “Data Loss Prevention: Privacy e Diritti dei Lavoratori“.

Note bibliografiche

[1] In tal senso, la Sent. Cass. Civ. Sez. Lav. del 22-09-2021, n. 25732 che richiama anche le Sentenze Cass. Civ. Sez. Lav. 17 luglio 2007, n. 15892 e 17 giugno 2000, n. 8250.

[2] Sent. Cass. Civ. Sez. Lav. n. 25732/2021 cit. che riporta la Sent. Cass. Civ. Sez. Lav. 28 maggio 2018, n. 13266 (nella fattispecie, veniva ritenuta legittima la verifica successivamente disposta sui dati relativi alla navigazione in Internet di un dipendente sorpreso ad utilizzare il computer di ufficio per finalità extralavorative), la Sent. Cass. Civ. Sez. Lav. 23 febbraio 2012, n. 2722 (che ha ritenuto legittimo il controllo effettuato da un istituto bancario sulla posta elettronica aziendale del dipendente accusato di aver divulgato notizie riservate concernenti un cliente e di aver posto in essere, grazie a tali informazioni, operazioni finanziarie da cui aveva tratto vantaggi propri).

[3] In merito, vedasi Sent. Cass. Civ. Sez. Lav. 5 ottobre 2016, n. 19922, che ha ritenuto illegittimo il controllo effettuato mediante GPS installato sulle vetture in uso ai lavoratori, in quanto predisposto ex ante ed in via generale ben prima che si potessero avere sospetti su una eventuale violazione da parte del lavoratore licenziato.

[4] Esso poteva mancare, essendo sufficiente il mero sospetto circa l’esecuzione di illeciti, quale ulteriore requisito di legittimità del controllo difensivo, senza che la natura difensiva del controllo venisse meno. Fonte: https://www.diritto.it/la-sopravvivenza-del-controllo-difensivo-nel-rapporto-di-lavoro-e-lutilizzabilita-dei-dati-acquisiti-dal-datore-di-lavoro/ (consultato in data 24/02/2024).

[5] R. Romei, Il “ragionevole sospetto” in Cassazione, in Riv.n.dir.lav. n. 1/2023, 1 ss. Fonte: https://www.lavorodirittieuropa.it/dottrina/principi-e-fonti/1283-il-ragionevole-sospetto-in-cassazione (consultato in data 18/02/2024).

L’autore, a sua volta, cita C. Colapietro, A. Giubilei, Controlli difensivi e tutela dei dati del lavoratore: il nuovo punto della Cassazione, in Labour law issues, 2021, 187 ss.; P. Tullini (a cura di), Controlli a distanza e tutela dei dati personali dei lavoratori, Giappichelli, 2017; stessa autrice, I controlli aziendali per finalità difensive nella giurisprudenza, in Riv.it.dir.lav., 2022, I, 221; C. Colosimo, La moderna declinazione del potere di controllo, in P. Curzio, L. Di Paola, R. Romei (a cura di), Diritti e doveri nel rapporto di lavoro, Giuffrè, vol. II, 2018,75 ss.;

A. Sitzia, Personal computer e controlli ‘‘tecnologici’’ del datore di lavoro nella giurisprudenza, in Arg.dir.lav., 2017, 804; A. Maresca, Controlli tecnologici e tutele del lavoratore nel nuovo art. 4 dello Statuto dei lavoratori, in Riv.it.dir.lav., 2016, I, 513; R. Del Punta, La nuova disciplina del controllo a distanza sul lavoro (art. 23 D.Lgs. n. 151/2015), in Riv.it.dir.lav., 2016, I, 77 ss.; A. Ingrao, Il controllo a distanza sui lavoratori e la nuova disciplina privacy: una lettura integrata, Cacucci, 2018.; A. Bellavista, Controlli tecnologici e privacy del lavoratore, in A. Bellavista, R. Santucci (a cura di), Tecnologie digitali, poteri datoriali e diritti dei lavoratori, Giappichelli, 2022, p. 99, ss.

[6] R. Romei, Il “ragionevole sospetto” cit. in cui l’autore cita M. Marazza, I controlli a distanza del lavoratore di natura “difensiva”, in P. Tullini (a cura di), Controlli a distanza cit.

[7] Nella citata Sent. Cassazione, n. 25732 del 22 settembre 2021, la posizione assunta dalla Suprema Corte in relazione alla “sopravvivenza dei “controlli difensivi”, sotto il profilo della sua compatibilità con la tutela della riservatezza di cui all’art. 8 della Convenzione Europea dei diritti dell’uomo, trova conforto nella giurisprudenza della Corte Europea dei diritti dell’uomo che, in particolare nella sentenza di Grande Camera del 17 ottobre 2019, nel caso Lòpez Ribalda e altri c. Spagna.

Si trattava di una fattispecie nella quale il gestore di un supermercato, dopo aver riscontrato discrepanze tra le scorte di magazzino e gli incassi di fine giornata, e sospettando che ciò dipendesse da illecite condotte appropriative di beni e/o denaro aziendale poste in essere da uno o più dipendenti, aveva installato all’interno del negozio dei dispositivi di videoripresa all’insaputa dei lavoratori, in posizione utile alla sorveglianza generalizzata ed indistinta di tutto il personale di volta in volta addetto al bancone di cassa, in tal modo appurando che le condotte sospettate si verificavano effettivamente.

La Corte Europea ha ritenuto la legittimità dell’iniziativa datoriale, in quanto proporzionata rispetto al fine (in sé legittimo) di tutelare l’interesse organizzativo-patrimoniale del datore di lavoro, ritenendo quindi che le corti nazionali avessero correttamente valutato che le misure adottate a tutela della privacy dei ricorrenti erano appropriate”.

[8] Non si ritiene pertinente, con lo spirito del presente elaborato, l’approfondimento sulle perplessità che il concetto di “ragionevole sospetto” ha destato nella dottrina; vedasi sul punto R. Romei, Il “ragionevole sospetto” cit.

[9] Sent. Cass. Civ. Sez. Lav. n. 25732/2021 cit.

[10] Il provvedimento prevede anche l’inserimento dell’art. 11 ter con indicazioni sui comportamenti prescritti per i dipendenti pubblici nel rapportarsi con i social media.

[11] Le linee guida sono da ritenersi ancora in vigore nonostante i riferimenti ad un “Codice in materia di protezione dei dati personali” (il D.Lgs. 30 giugno 2003, n.196) che nel frattempo è stato fortemente modificato a cura del GDPR. La loro vigenza è peraltro confermata dal richiamo che ne fa lo stesso Garante in altri provvedimenti, l’ultimo dei quali del 21.12.2023, in tema di “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

[12] Consultabile all’indirizzo: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb- display/docweb/9978728 (consultato in data 24/02/2024).

Profilo Autore

Vito Sinforoso

Vito Sinforoso è dipendente presso una pubblica amministrazione centrale, nell’ambito della quale ha svolto vari incarichi, dedicandosi negli ultimi anni alla gestione di alcuni degli aspetti relativi al settore telematico della p.a., con particolare riferimento a quelli delle telecomunicazioni.

Laureato in giurisprudenza presso l’Università Tor Vergata di Roma, ha seguito nel 2023 un Master di 2° livello dal titolo “Informatica giuridica, nuove tecnologie e diritto dell’informatica” presso l’Università Sapienza di Roma.

Condividi sui Social Network:

Termini di Cancellazione dei Dati Personali: Conformità al GDPR

A cura di:Massimo Ippoliti Pubblicato il28 Aprile 202527 Marzo 2025

Il contenuto è parte di una serie approfondita sul Registro dei Trattamenti in conformità al GDPR. Il presente contenuto esaminerà i termini di cancellazione dei dati personali in conformità alle regole espresse nel GDPR, analizzando gli obblighi dei titolari del trattamento e i diritti degli interessati. La conservazione dei dati personali deve avvenire per il…

Chief Information Security Officer (CISO) discutendo strategie di cybersecurity con il top management in sala riunioni, presentando dashboard di rischio e metriche di sicurezza a un Consiglio di Amministrazione attento

La comunicazione efficace tra il CISO e il top management

A cura di:Redazione Pubblicato il24 Aprile 202523 Aprile 2025

In un contesto aziendale sempre più digitalizzato e interconnesso, la sicurezza informatica è diventata un pilastro strategico. Tuttavia, il valore di una solida postura di cybersecurity dipende non solo dalla tecnologia impiegata, ma anche e soprattutto dalla capacità del Chief Information Security Officer (CISO) di comunicare efficacemente con il top management. Il dialogo tra chi…

Articolo 48 del GDPR: trasferimento dati o comunicazione Non Autorizzati

Articolo 48 del GDPR: trasferimento o comunicazione Non Autorizzati

A cura di:Massimo Ippoliti Pubblicato il24 Aprile 202527 Marzo 2025

Il presente focus esaminerà l’articolo 48 del GDPR che disciplina i casi in cui il trasferimento di dati personali verso un paese terzo non è consentito senza un accordo internazionale tra il paese richiedente e l’Unione Europea o uno Stato membro. Il contenuto è parte di un white paper dedicato ad una serie di approfondimenti…

Il CISO e la conformità normativa: strategie per garantire la sicurezza informatica e il rispetto delle leggi sulla cybersecurity

Il CISO e la conformità normativa: gestire le leggi sulla cybersecurity

A cura di:Redazione Pubblicato il19 Aprile 202515 Aprile 2025

La sicurezza informatica è diventata una priorità strategica per le aziende di ogni settore, indipendentemente dalle dimensioni e dall’industria in cui operano. Il Chief Information Security Officer (CISO), oltre a compiere attività nella gestione del cyber risk, svolge un ruolo peculiare nel rispetto della conformità normativa, assicurando che l’organizzazione rispetti le leggi e i regolamenti…

"Implementation Framework per la Compliance Normativa in Cybersecurity: metodologie di assessment, security awareness training, policy di sicurezza e monitoraggio continuo

Implementation framework della compliance normativa

A cura di:Redazione Pubblicato il2 Maggio 202528 Aprile 2025

Nel contesto attuale della Cybersecurity, il concetto di compliance normativa assume un ruolo sempre più centrale per le organizzazioni, siano esse pubbliche o private. Il rispetto delle leggi in materia di tutela delle informazioni non rappresenta solo un obbligo legale, ma è anche un vantaggio competitivo e una dimostrazione concreta di affidabilità nei confronti di…

tutela dei dati personali nel Fascicolo Sanitario Elettronico e trattamento durante l’emergenza Covid-19 secondo il GDPR

Dissertazioni su fascicolo sanitario, tutela dei dati personali post covid, propaganda elettorale e altro

A cura di:Maurizio Lucca Pubblicato il30 Aprile 202524 Aprile 2025

La disciplina di protezione dei dati personali prevede che i soggetti pubblici possono trattare i dati personali degli interessati (ex art. 4, n. 1, del Regolamento UE 2016/679, Regolamento Generale sulla Protezione dei Dati, RGPD/GDPR) se il trattamento è necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento», oppure «per…

Vito Sinforoso

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine