Sommario
La più recente newsletter del Garante per la protezione dei dati personali offre uno spaccato approfondito sulle evoluzioni della normativa e della prassi in materia di privacy in Italia, evidenziando come la disciplina europea continui a influenzare le attività delle aziende e degli enti pubblici. Il documento segnala sanzioni rilevanti per l’uso improprio dei dati personali sui social, la gestione dei dati biometrici in ambito lavorativo e la trasparenza nel marketing digitale, oltre a restituire una visione aggiornata sulle strategie internazionali condivise a livello G7. L’analisi delle decisioni e delle motivazioni sottostanti permette di individuare i principi cardine che regolano il trattamento lecito, il ruolo centrale del consenso e i criteri di proporzionalità e minimizzazione, fornendo indicazioni operative per imprese, istituzioni e professionisti della data protection.
Il caso Autostrade: dati personali e social network tra licenziamento e illecito
Il provvedimento sanzionatorio contro Autostrade per l’Italia Spa, che comporta il pagamento di 420.000 euro, segna un nuovo standard nel rapporto tra privacy individuale e dinamiche disciplinari. Il Garante ha rilevato che la società ha utilizzato in modo illecito contenuti tratti dal profilo Facebook e da chat Messenger e WhatsApp di una dipendente per motivare il licenziamento, senza una base giuridica valida e senza rispettare i principi di finalità e liceità previsti dal GDPR. Gli screenshot dei messaggi, ottenuti da colleghi e soggetti terzi presenti tra gli “amici” della lavoratrice, contenevano opinioni ed elementi estranei alla valutazione dell’idoneità professionale e si riferivano a conversazioni private avvenute in contesti digitali a accesso limitato.
L’Autorità sottolinea che anche le informazioni accessibili online o sui social non possono essere utilizzate indiscriminatamente, specialmente in procedimenti disciplinari, dove il rispetto della segretezza e della riservatezza delle comunicazioni rappresenta un limite non superabile senza una specifica legittimazione normativa. Il principio di minimizzazione impone che i dati raccolti siano pertinenti e non eccedenti rispetto allo scopo perseguito, rafforzando la tutela delle libertà fondamentali degli interessati e confermando che la mera visibilità di un dato personale su una piattaforma non equivale a liceità d’uso da parte del datore di lavoro.
Biometria e lavoro: limiti all’uso delle impronte digitali per la rilevazione delle presenze
Il tema della biometria in ambito lavorativo è tornato sotto la lente del Garante con la sanzione a un istituto scolastico di Tropea, obbligato al pagamento di 4.000 euro per l’implementazione di un sistema di riconoscimento tramite impronte digitali finalizzato alla rilevazione delle presenze del personale amministrativo. Il trattamento dei dati biometrici, per natura particolarmente sensibile, è ammesso solo in presenza di una base normativa specifica che garantisca i diritti dei lavoratori e rispetti il principio di proporzionalità rispetto alle finalità perseguite.
Secondo il Garante, non è legittimo l’uso sistematico e generalizzato di sistemi biometrici nelle pubbliche amministrazioni, anche se il personale ha espresso il proprio consenso, in quanto l’asimmetria del rapporto di lavoro rende il consenso inefficace come fondamento giuridico. Il precedente orientamento espresso nel 2019 viene così ribadito e rafforzato, imponendo alle organizzazioni pubbliche e private la necessità di verificare attentamente la sussistenza di una specifica normativa prima di procedere all’adozione di strumenti invasivi per la gestione delle presenze o per altre finalità organizzative.
Sanzioni per e-mail promozionali senza consenso e controllo insufficiente sui partner
Il tema del marketing digitale torna al centro dell’attenzione con la sanzione di 45.000 euro inflitta dal Garante a un rivenditore di auto online per invio illecito di e-mail promozionali e mancata vigilanza sulla filiera dei partner pubblicitari. Il procedimento ha origine dal reclamo di un cliente che aveva ricevuto numerose comunicazioni indesiderate da indirizzi sempre diversi, riconducibili a società terze che operavano come partner, in assenza di adeguate misure organizzative e tecniche atte a garantire il rispetto del Regolamento europeo.
Il Garante ha accertato che la società non aveva disciplinato correttamente i rapporti con i soggetti terzi, permettendo la gestione incontrollata dei dati dei clienti e la prosecuzione delle attività promozionali nonostante l’opposizione dell’interessato. In particolare, viene ribadita l’importanza di adottare il sistema double opt-in nell’acquisizione dei consensi: solo la conferma ripetuta della volontà di iscriversi a contenuti pubblicitari offre una garanzia effettiva di tutela per gli interessati e dimostra il rispetto dei principi di accountability e trasparenza richiesti dalla normativa.
Il caso mette inoltre in evidenza come il mancato riscontro alle richieste di esercizio dei diritti, e l’errata qualificazione dei ruoli tra titolare e partner, possa vanificare le opposizioni manifestate dagli utenti, rendendo inefficace la cancellazione o l’inserimento in black list se non adeguatamente comunicata e condivisa tra tutti i soggetti coinvolti nel trattamento dei dati personali.
Strategie internazionali e cooperazione G7: dati, innovazione e tutela dei minori nel digitale
Sul fronte internazionale, la newsletter documenta la partecipazione attiva del Garante italiano al vertice G7 Privacy di Ottawa, dove i rappresentanti delle Autorità di protezione dei dati dei Paesi più industrializzati hanno ribadito l’impegno comune per un ambiente digitale più sicuro. Il G7 2025 ha portato all’approvazione di una dichiarazione congiunta che invita sviluppatori, innovatori e policy maker a progettare i trattamenti dati per servire l’umanità, ponendo particolare attenzione all’innovazione responsabile e alla protezione dei minori nel contesto digitale.
I lavori dei gruppi G7 hanno affrontato temi strategici come la libera circolazione dei dati tra giurisdizioni diverse (Data Free Flow with Trust – DFFT), le sfide poste dalle tecnologie emergenti e dall’intelligenza artificiale, la cooperazione per la definizione e l’applicazione di regole comuni. La dichiarazione sottolinea il diritto dei bambini a essere cittadini digitali attivi, richiedendo una protezione rafforzata e una particolare attenzione ai loro interessi nel quadro normativo.
Durante il vertice, sono state approfondite anche le prospettive future della regolamentazione e dell’enforcement, con il contributo di esperti e componenti del Collegio del Garante italiano su privacy enhancing technologies (PETs), strategie per il trasferimento sicuro dei dati e approcci condivisi per la tutela della riservatezza e della sicurezza nell’era digitale.
Approfondimento tecnico: principi di liceità, minimizzazione e accountability nel trattamento dati
Dal punto di vista tecnico, la newsletter ribadisce l’importanza dei principi di liceità, minimizzazione e accountability nell’adozione di ogni trattamento di dati personali, sia esso finalizzato alla gestione del personale, al marketing, alla sicurezza o all’innovazione. Le organizzazioni sono chiamate a dimostrare non solo la conformità normativa ma anche l’effettiva efficacia delle misure implementate, con particolare riferimento alla trasparenza delle informative, alla tracciabilità dei consensi e alla gestione delle opposizioni.
La diffusione di tecnologie come la biometria e l’intelligenza artificiale richiede una valutazione preventiva dell’impatto sulla privacy, l’adozione di policy aggiornate e la formazione costante del personale. Solo attraverso un approccio proattivo e multilivello è possibile garantire un bilanciamento tra innovazione e diritti fondamentali, evitando il rischio di sanzioni e di danni reputazionali sempre più frequenti in caso di violazioni.
