Avvocato in Firenze, consulente di imprese e autore di libri, commenti, note a sentenze e altri contributi, impegnato nei settori del diritto e della procedura civile, della normativa in materia di protezione dei dati personali e sulla responsabilità amministrativa degli enti e delle persone giuridiche.
La sentenza della Corte di Giustizia dell'Unione Europea del 4 settembre 2025 ha invalidato la pronuncia del Tribunale dell’Unione europea del 26 aprile 2023 nella causa C-413/23-P, promossa dal Garante europeo della protezione dei dati (GEPD) contro il SRB (Single Resolution Board, agenzia dell'Unione Europea per la gestione delle crisi bancarie).
Non può sfuggire la rilevanza dell'indagine condotta da Ivanti su oltre 6.000 impiegati e 1.200 professionisti IT (di cui dà conto il rapporto "2025 Technology at Work: Reshaping Flexible Work", indagine di cui questo sito ha tempestivamente riportato la notizia), stando alla quale il 32% dei dipendenti ricorre a sistemi di AI generativa all'insaputa del proprio datore di lavoro.
Un giovane d'oggi è un nativo digitale, ed ha molta dimestichezza con la tecnologia. Ma quanta consapevolezza ha per ciò che concerne l'impiego di dati personali? un aspetto su cui porre l'attenzione, è il confine tra attività di trattamento di dati che assumono rilevanza "domestica" e "non domestica", in particolare quando riguardo all'uso dei social network.
Il Codice di condotta per il settore delle Agenzie per il Lavoro, emanato ai sensi dell'art. 40 del GDPR, riguarda soggetti imprenditoriali iscritti nell'apposito albo che è articolato in cinque sezioni: agenzie di somministrazione di tipo generalista, di tipo specialista, agenzie di intermediazione, agenzie di ricerca e selezione del personale, agenzie di supporto alla ricollocazione professionale.
Salutata da molti con comprensibile scetticismo, la decisione di adeguatezza adottata dalla Commissione UE lo scorso 10 luglio intende riportare un cielo sereno sopra i trasferimenti dei dati verso le imprese titolari/responsabili stabilite negli USA, trasferimenti 'funestati' tre anni fa e per la seconda volta da una sentenza della Corte di Giustizia dell'Unione Europea, la c.d. “Schrems II” del 16 luglio 2020, che invalidò il Privacy Shield.
La recente sentenza della terza sezione penale della Corte di Cassazione (la 13102 del 14 marzo 2023), di cui oggi scriviamo, consentirà di ribadire criteri certo non nuovi ma ancora abbondantemente sottovalutati o ignorati.
Non sono mancate in dottrina (e sussistono, tuttora) opinioni formatesi nel senso di sostenere come, con l'innesto della tutela del patrimonio aziendale tra le finalità tipiche ex art. 4, comma 1, Legge 300/1970 (c.d. Statuto dei Lavoratori), entro le quali, a condizione di un accordo sindacale o della autorizzazione amministrativa, è concesso al datore di lavoro di installare impianti dai quali possa derivare il controllo a distanza dell’attività dei lavoratori, la categoria dei controlli difensivi, di fonte giurisprudenziale, non ha/avrebbe più ragione di esistere.
Con la nota n. 2572 del 14 aprile 2023 l'Ispettorato Nazionale del Lavoro ha fornito una serie di indicazioni in merito ai provvedimenti con cui sono autorizzate, ai sensi dell'art. 4, Legge n. 300/1970 (d'ora in poi solo 'art. 4'), le installazioni di impianti/strumenti da cui derivi anche la possibilità di controlli a distanza dei lavoratori. L'espresso riferimento agli orientamenti del Garante per la protezione dei dati personali è frutto della convergenza tra norme giuslavoristiche e norme data protection.
In principio (si fa per dire) fu la sentenza C-311/18 della Corte di Giustizia dell'Unione Europea (c.d. “Schrems II”, del 16 luglio 2020) che invalidò di colpo (pur non essendo il classico fulmine a ciel sereno) lo Scudo Privacy (Privacy Shield), gettando milioni di operatori pubblici e privati in Unione Europea nelle ambasce di trasferimenti di dati personali 'senza rete' verso operatori stabiliti negli USA.
Il proposito di questo articolo è precisare la relazione tra il regolamento interno (aziendale) che abbia ad oggetto l'uso di beni e strumenti di lavoro (ed il controllo a distanza, se del caso), da un lato, e il codice disciplinare, dall'altro. La fissazione da parte datoriale di regole mirate a stabilire limiti e modalità d'uso di beni/strumenti in dotazione ai lavoratori per lo svolgimento delle mansioni è cruciale rispetto agli obiettivi di efficienza e di sicurezza delle attività, ovviamente anche di trattamento dei dati personali.
