L’avvento dell’intelligenza artificiale agentica impone una profonda riflessione giuridica sulla nozione di identità, sempre più frammentata tra dimensione analogica e molteplici rappresentazioni digitali. In ambienti virtuali in cui ogni individuo si moltiplica in profili, dati e comportamenti predittivi governati da algoritmi, emerge dunque l’urgenza di ridefinire tutele, responsabilità e modelli di governance. Il diritto, chiamato a ricondurre questa complessità a principi generali che si pongano a tutela dei diritti fondamentali, si confronta tuttavia con un quadro normativo europeo frammentato tra GDPR, eIDAS e AI Act che rischia di complicare la compliance senza offrire risposte (e garanzie) concrete.

Di tutto questo ha parlato l’Avv. Andrea Lisi nella sua Newsletter di Linkedin, “Appunti di ICT Law”, sottolineando con forza la necessità di qualificare i soggetti coinvolti (dai fornitori di sistemi di IA agli utilizzatori) e di sviluppare strumenti come forme di “identificazione” e tracciabilità dei modelli agentici capaci di garantire trasparenza, accountability e tutela effettiva dell’identità umana nell’universo digitale.

Alla ricerca di un’identità nel caos dei bit

“Quanto l’interessato di un’identità analogica è tutelato nel trattamento multistrato di “sue” identità digitali? Questo ricco ecosistema di identità analogiche e soprattutto digitali che coesistono in maniera diversificata, generando informazioni ed effetti giuridici, andrebbe invece vigilato e ricondotto a ruoli, funzioni e responsabilità in capo a fornitori in grado di gestire le delicatissime attività di custodia dell’esistenza altrui. Per non soffermarci peraltro sul problema di profili totalmente IA e non riconducibili direttamente (o indirettamente) a una persona fisica… Da una parte ci sono i fornitori di sistemi e modelli agentici, dall’altra gli utilizzatori (deployer di tali strumenti) e, infine, i modelli stessi in grado di gestire dati e informazioni profilatissime e in continuo, predittivo divenire. In tutto questo caos identitario, il diritto dovrebbe procedere per astrazioni, ancorando la complessa e dinamica trasformazione che riguarda la nostra più profonda intimità a principi generali del diritto, a tutela di nostri diritti e libertà fondamentali. E invece c’è la pericolosa tendenza UE a parcellizzare e verticalizzare normative che si interessano di digitale in diversi aspetti, generando una ipertrofia regolamentativa che sembra burocratizzare l’adempimento piuttosto che facilitare la consapevolezza (e quindi la risoluzione del problema).”

Per leggere il contenuto completo:

La recente sentenza statunitense che ha condannato Meta e Google al pagamento di una multa per essere stati all’origine di una dipendenza di una (allora) minorenne, rappresenta un passaggio cruciale nel rapporto tra diritto e piattaforme digitali, con particolare riferimento alla tutela dei minori online. Il caso apre scenari rilevanti anche in Europa, confermati dalle recenti prese di posizione di Spagna, Francia e Regno Unito che hanno introdotto limiti e nuove regole per l’accesso ai social da parte dei più giovani.

Sul punto è intervenuto l’Avv. Andrea Lisi, che in un’intervista curata da Fondazione Leonardo ha analizzato le implicazioni giuridiche del caso, offrendo una chiave di lettura interpretativa utile per comprendere le possibili ricadute nel contesto europeo e italiano.

Il caso e l’opinione dell’esperto

Gli USA hanno condannato Meta e Google a risarcire con 3 milioni di dollari una donna, oggi ventenne, che aveva accusato i due big player di essere all’origine della sua dipendenza dai social network sviluppata in giovane età. Secondo l’accusa, alcune caratteristiche dei social sono state progettate consapevolmente per creare dipendenza e mantenere gli utenti attivi in piattaforma il più a lungo possibile. Sono stati indicati come dannosi, inoltre, anche strumenti come i filtri per modificare le foto, responsabili di amplificare i problemi legati al rapporto con il proprio corpo e il proprio aspetto. Nonostante la difesa abbia sostenuto che i social media sono progettati per creare semplice engagement e non dipendenza patologica, l’epilogo del caso ha segnato una svolta epocale nell’uso delle piattaforme da parte dei minori. Come sostenuto dall’Avv. Andrea Lisi, in realtà la vicenda è lo specchio di qualcosa di molto più profondo, specialmente sotto il profilo della responsabilità, che riconduce alla teoria del “contatto sociale qualificato”. Secondo Lisi, nelle relazioni in cui una parte “forte” genera affidamento (come nel caso delle piattaforme social nei confronti degli utenti, soprattutto minori) emerge un dovere rafforzato di protezione, trasparenza e tutela. Sottolinea, inoltre, che sarebbe opportuno aprire un dibattito sulla possibilità di attribuire ai gestori dei social una responsabilità che prescinda dalla violazione diretta di norme o contratti, fondandosi invece sull’obbligo di prevenire fenomeni come la dipendenza digitale.

Possibili scenari e soluzioni

Alla luce di quanto emerso, non sono escluse conseguenze sul piano normativo: l’Avv. Lisi, infatti, richiama l’attenzione sul rischio di una frammentazione normativa in Europa e sulla necessità di evitare che la tutela dei minori venga strumentalizzata per legittimare forme di “capitalismo della sorveglianza”. Una regolamentazione più rigida, come ad esempio l’introduzione di limiti d’età (da parte di Spagna e Francia), per quanto condivisibile, può risolvere i problemi solo in parte: diverso sarebbe investire nell’alfabetizzazione digitale di genitori e minori, per accrescere consapevolezza fin dalla radice. Senza considerare un altro aspetto fondamentale: sentenze di questo tipo, da sole, non sono sufficienti a incidere sui modelli di business delle grandi piattaforme che tendono a cambiare solo in presenza di forti pressioni economiche.
L’augurio, dunque, è che una decisione di questo tipo possa generare un effetto domino, dal quale, forse, potrebbe derivare il vero cambiamento.

Per approfondire, leggi l’articolo completo:

Una recente pronuncia della Corte di Cassazione ha acceso nuovamente i riflettori sulle attività del Garante per la protezione dei dati personali, già esposto a diverse gogne mediatiche a causa dei presunti illeciti che hanno coinvolto alcuni componenti del Collegio. A distanza di settimane, l’Autorità si trova ora ad affrontare una fase di forte pressione in seguito alla decisione presa sul caso Armando Siri da parte della Suprema Corte, relativamente ai termini del procedimento sanzionatorio, tema cruciale per l’operatività dell’Authority.

Tuttavia, la posizione della Cassazione sembrerebbe essere affetta da vizi logici che rischia di paralizzare l’attività del Garante su procedimenti complessi e provocare instabilità sia dal punto di vista contenzioso sia sotto un profilo amministrativo. Lo confermano gli Avv.ti Andrea Lisi, Carola Caputo e Martina Chiriatti in un’attenta analisi pubblicata sulle pagine di Filodiritto.

 

Il caso e la posizione della Cassazione

La pronuncia della Corte ha confermato la decisione del Tribunale di Roma in merito all’annullamento di un provvedimento dell’Autorità nei confronti della RAI su un reclamo presentato da Armando Siri nel 2020, ritenendolo tardivo. I giudici di legittimità hanno ribadito la distinzione tra la fase preistruttoria del procedimento e la fase sanzionatoria in senso stretto: secondo la Corte, una volta conclusa la fase preliminare e notificata la contestazione della violazione al titolare del trattamento, l’Autorità avrebbe dovuto esercitare il proprio potere sanzionatorio entro il termine di 120 giorni previsto dal Regolamento n. 2/2019 del Garante. Tale termine, pur non qualificato espressamente come perentorio, sarebbe comunque vincolante per ragioni di certezza giuridica e di tutela del diritto di difesa, con la conseguenza che il suo superamento comporterebbe l’esaurimento della potestà sanzionatoria dell’Autorità.

 

Errori interpretativi e i possibili rimedi

Secondo gli autori l’interpretazione della Cassazione presenterebbe, tuttavia, diversi vizi logici: tra questi, rientra il termine di 120 giorni previsto dal Regolamento del Garante che si riferirebbe all’avvio della fase sanzionatoria e non alla conclusione del procedimento con l’adozione della decisione finale. Assimilando la contestazione dell’illecito a un momento sostanzialmente definitorio del procedimento, la Corte finirebbe per comprimere eccessivamente i tempi necessari allo svolgimento del contraddittorio tra le parti. L’applicazione generalizzata di questo principio potrebbe quindi determinare l’annullamento di numerosi provvedimenti già adottati e rendere particolarmente difficoltosa la gestione di istruttorie complesse. Tra le possibili soluzioni prospettate potrebbe essere valutato un intervento interpretativo dello stesso Garante sul proprio Regolamento o in alternativa una determinazione di interpretazione autentica che costituisca un riferimento per i successivi procedimenti dinanzi al Garante.

 

Per approfondire:

L’uso quotidiano di strumenti IT e soluzioni di Intelligenza Artificiale negli studi professionali e nelle organizzazioni pubbliche e private pone oggi questioni centrali in termini di tutela del patrimonio aziendale, sicurezza informatica e protezione dei dati personali. La necessità di disciplinare in modo affidabile questi strumenti si intreccia sempre più con i profili giuslavoristici, con l’evoluzione della giurisprudenza e con i più recenti interventi del Garante per la protezione dei dati personali.

Su questi temi si concentrerà il convegno “Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private”, in programma mercoledì 19 febbraio 2026, dalle ore 15:00 alle 19:00, presso la Sala Teatrino dell’Ex Convitto Palmieri di Lecce.

Il convegno intende offrire un momento di confronto e approfondimento su questioni sempre più centrali per professionisti, imprese e pubbliche amministrazioni, in un contesto normativo in continua evoluzione, caratterizzato dall’impatto delle nuove tecnologie, dall’attenzione crescente alla cybersecurity e alla data protection, nonché dalle più recenti pronunce giurisprudenziali in ambito giuslavoristico. Sul tavolo dei relatori si alterneranno alcuni dei maggiori esperti del settore in Italia, tra cui Stefano Marzocchi, DPO di Agenzia per la Cybersicurezza nazionale (ACN), e Agostino Ghiglia, componente del Garante per la protezione dei dati personali, coordinati da Andrea Lisi, tra i massimi esponenti italiani in materia di diritto applicato all’informatica.

L’incontro è organizzato da Digitalaw, in collaborazione con Studio Legale Lisi e ANORC, ed è gratuito e aperto al pubblico. Si inserisce nel percorso di approfondimento avviato con la prima edizione del DIGEAT Festival, l’evento internazionale dedicato all’innovazione digitale che si è svolto a Lecce dal 27 al 29 novembre 2025, in collaborazione con la Regione Puglia.

“Vengo dopo il DIGEAT” non è solo un titolo, ma un manifesto: il Festival non si esaurisce nei giorni del suo svolgimento, ma genera un percorso di riflessione e approfondimento continuo che accompagna professionisti, istituzioni e cittadini nella comprensione delle sfide e delle opportunità dell’innovazione digitale. Il convegno del 19 febbraio rappresenta la prima tappa 2026 di questo cammino, che culminerà nella prossima edizione del DIGEAT Festival, prevista per l’autunno prossimo.

Particolare attenzione sarà dedicata all’utilizzo dei sistemi di Intelligenza Artificiale nei diversi contesti lavorativi, ai profili giuslavoristici connessi all’uso delle tecnologie, nonché alle misure di tutela necessarie per garantire sicurezza informatica e protezione dei dati nelle organizzazioni pubbliche e private.

L’incontro è rivolto ai principali Ordini professionali – Avvocati, Ingegneri, Commercialisti, Architetti e Consulenti del lavoro – con l’obiettivo di stimolare il dibattito e favorire una corretta divulgazione delle tematiche legate all’innovazione digitale e alla sua regolamentazione.

 

Per approfondire

Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private

 

[Comunicato stampa a cura di Azzurra De Razza]

Da fonti di stampa risultano essere state appena concluse delle ispezioni congiunte, da parte del Garante per la protezione dei dati personali e dell’Ispettorato Nazionale del Lavoro, presso alcune sedi logistiche di Amazon. Tali ispezioni sarebbero legate a un’indagine in corso circa l’utilizzo di software e sistemi informatici aziendali idonei a controllare a distanza le prestazioni dei lavoratori.

Pertanto, risulta sempre di estrema attualità il tema dell’utilizzo di soluzioni e sistemi informatici aziendali, come anche degli account di posta elettronica aziendale, soprattutto in uno scenario in cui tali strumenti possono essere integrati con soluzioni di IA che aggregano e rielaborano i dati acquisiti per analisi finalizzate a incrementare i livelli di cybersecurity aziendale, o anche solo per rendere più efficienti alcuni processi.

Come trovare, dunque, il giusto equilibrio tra protezione dei dati personali, esigenze di sicurezza aziendale e corretta gestione dei documenti?

La questione impone un’analisi complessa che bilanci il diritto del datore di lavoro di tutelare il patrimonio aziendale e di organizzare l’attività d’impresa con i diritti fondamentali del lavoratore alla riservatezza, oltre che alla segretezza della corrispondenza, nel caso dell’account e-mail aziendale. In particolare, il tema della gestione della posta elettronica aziendale dei dipendenti – e, più in generale, dell’utilizzo di software e sistemi informatici aziendali – è un tema delicato che richiede un attento bilanciamento tra le prerogative datoriali di organizzazione e tutela del patrimonio aziendale e i diritti fondamentali dei lavoratori alla riservatezza e alla segretezza delle comunicazioni.

Il quadro normativo di riferimento

La materia è governata da un complesso di fonti normative nazionali ed europee che devono essere lette in modo coordinato.

L’architrave del sistema di tutele è rappresentato dall’articolo 15 della Costituzione, il quale sancisce l’inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione. Tale garanzia fondamentale, estesa dalla giurisprudenza costituzionale e di legittimità anche alla corrispondenza elettronica, si innesta nel contesto specifico del rapporto di lavoro attraverso le disposizioni dello Statuto dei Lavoratori (Legge n. 300/1970).

Tale tutela trova un bilanciamento nel riconosciuto potere direttivo e organizzativo del datore di lavoro, sancito dagli artt. 2086 e 2104 del Codice Civile, da leggersi avendo riguardo anche dell’art. 41 della Costituzione.

In tema, lo Statuto dei Lavoratori (Legge n. 300/1970) pone limiti precisi al potere di controllo del datore di lavoro:

• L’art. 4, come modificato dal D.Lgs. n. 151/2015, stabilisce che gli strumenti dai quali derivi anche la possibilità di un controllo a distanza dell’attività dei lavoratori (come i software di gestione della posta elettronica che raccolgono sistematicamente dati) possono essere impiegati solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Se tali strumenti risultano indispensabili per rendere la prestazione lavorativa o integrano strumenti per rilevare accessi e presenze, è sufficiente informare i lavoratori, ai sensi dell’art. 13 GDPR e dello stesso art. 4 St. Lavoratori; diversamente, la loro installazione è subordinata a un accordo collettivo con le rappresentanze sindacali o, in mancanza, all’autorizzazione dell’Ispettorato Nazionale del Lavoro;
• L’art. 8 vieta al datore di lavoro di effettuare indagini, anche tramite terzi, sulle opinioni del lavoratore e su fatti non rilevanti ai fini della valutazione della sua attitudine professionale: in tal senso, ad esempio, l’eventuale analisi massiva dei metadati della posta elettronica può facilmente condurre alla violazione di tale divieto.

Ovviamente, occorre considerare anche il Regolamento (UE) 2016/679 (GDPR) che impone al datore di lavoro, in qualità di titolare del trattamento, l’obbligo di rispettare – anche relativamente ai trattamenti relativi agli account di posta elettronica aziendale e ad altre soluzioni informatiche – i principi di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione del trattamento e limitazione della conservazione.

In tal senso, anche il c.d. Decreto Trasparenza (D.Lgs. n. 104/2022) ha introdotto ulteriori obblighi informativi a carico del datore di lavoro qualora utilizzi sistemi decisionali o di monitoraggio automatizzati, imponendo di specificare finalità, logica di funzionamento e parametri utilizzati

I controlli difensivi del datore di lavoro

A tali temi risulta strettamente legata la questione dei c.d. “controlli difensivi” da parte del datore di lavoro che, in determinate circostanze, può avere il legittimo interesse a esercitare controlli sull’attività dei lavoratori, anche tramite le evidenze e le indagini informatiche, al fine di evitare danni all’organizzazione aziendale o la commissione di illeciti.

La Giurisprudenza ammette i cosiddetti “controlli difensivi” da parte del datore di lavoro esclusivamente in presenza di un fondato sospetto di illecito, purché siano mirati, successivi all’insorgere del sospetto e non invasivi. Controlli generalizzati o preventivi restano vietati e possono esporre il datore di lavoro anche a responsabilità penali.

Nello specifico, la Giurisprudenza[1] è solita operare la distinzione tra controlli sull’adempimento della prestazione (c.d. “controlli difensivi in senso lato”, soggetti all’art. 4 St. Lav.) e controlli per accertare illeciti (“controlli difensivi in senso stretto”). Questi ultimi, pur ritenuti esterni al perimetro dell’art. 4, sono legittimi solo a condizioni rigorose:

• Sussistenza di un fondato sospetto: il controllo deve essere attivato solo a seguito di un fondato sospetto che un illecito sia stato commesso;
• Principio di posteriorità (“ex post”): il controllo deve riguardare dati acquisiti successivamente all’insorgere del sospetto;
• Principio di proporzionalità e minimizzazione: l’accesso deve essere mirato e limitato a quanto strettamente necessario. Un accesso massivo, come lo scaricamento di centinaia di messaggi, è stato ritenuto sproporzionato;
• Bilanciamento degli interessi: deve essere sempre assicurato un corretto bilanciamento tra le esigenze di protezione aziendale e la dignità e riservatezza del lavoratore.

Pertanto, per essere legittimo, il controllo “difensivo in senso stretto” dovrebbe quindi essere mirato, nonché attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto. Peraltro, l’assenza di tali presupposti rende il trattamento illecito e le prove così raccolte inutilizzabili in giudizio^[2].

Sul punto, inoltre, occorre porre la massima attenzione anche ai profili penali. In effetti, l’accesso non autorizzato a una casella di posta elettronica protetta da password può integrare il delitto di accesso abusivo a un sistema informatico (art. 615-ter c.p.) e quello di violazione di corrispondenza (art. 616 c.p.), in relazione alla presa di cognizione del contenuto delle e-mail, anche se contenuta nell’account di posta elettronica aziendale.

In ogni caso, l’adozione di una policy aziendale chiara e dettagliata, portata a conoscenza di tutti i dipendenti, e una completa informativa sulla protezione dei dati personali del dipendente, ai sensi dell’art. 13 GDPR, costituisce un adempimento propedeutico e imprescindibile per la liceità di qualsiasi forma di controllo. In assenza di tali presidi di trasparenza, si consolida una legittima aspettativa di riservatezza del lavoratore.

I metadati della posta elettronica aziendale: cosa fare in concreto

Di particolare rilievo sono i recenti documenti di indirizzo del Garante (Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati) in materia di metadati della posta elettronica (mittente, destinatario, oggetto, orari, indirizzi IP). L’Autorità ha chiarito che la raccolta e conservazione generalizzata e preventiva di tali dati, spesso abilitata per impostazione predefinita dai software, costituisce un trattamento non conforme ai principi di finalità e minimizzazione. In tal senso, il Garante ha ritenuto congrua una conservazione dei metadati per un periodo non superiore a 21 giorni: una conservazione più prolungata, potendo configurare un controllo indiretto sull’attività del lavoratore, deve essere assistita dalle garanzie di cui all’art. 4 St. Lav. È onere del datore di lavoro, in ossequio ai principi di privacy by design e by default (art. 25 GDPR), configurare i sistemi informatici in modo da limitare la conservazione a tali ristretti termini.

Inoltre, l’eventuale conservazione per un termine ancora più ampio rispetto ai 21 giorni indicati è possibile, ma potrà essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.

Tuttavia, occorre evidenziare che, nelle organizzazioni pubbliche e private, la gestione dei metadati della posta elettronica aziendale deve essere trattata unitamente ad altri temi fondamentali, tra cui la corretta gestione documentale (si vedano le Linee guida AgID in tema di formazione, gestione, conservazione dei documenti informatici) e la cybersecurity (rilevante, ad esempio, anche ai sensi dell’art. 32 GDPR o di obblighi derivanti dalla Direttiva NIS 2). In effetti, se da un lato la loro analisi a breve termine è essenziale per rilevare minacce (phishing, malware, accessi anomali), la loro conservazione prolungata deve essere bilanciata con i diritti e le libertà fondamentali degli interessati.

Pertanto, occorre ricordarsi che:

• i metadati sono dati personali a tutti gli effetti;
• possono essere conservati, di regola, non oltre 21 giorni;
• è obbligatoria una policy aziendale chiara sull’uso degli strumenti informatici;
• l’obbligo di conservazione decennale riguarda solo la corrispondenza commerciale rilevante, non l’intera mailbox.

Obblighi di conservazione documentale Vs Conservazione della mailbox

È fondamentale distinguere l’obbligo civilistico e fiscale di conservazione decennale della corrispondenza commerciale (art. 2220 c.c.) dalla gestione della casella di posta elettronica. Tale obbligo si applica al singolo documento rilevante (es. un contratto, un ordine), non all’intera mailbox del dipendente. È pertanto illecita la prassi di conservare l’intero archivio di posta di un lavoratore per 10 anni con la generica motivazione degli obblighi di conservazione, in quanto viola palesemente i principi di minimizzazione e limitazione della stessa. Su questo punto, è fondamentale operare una distinzione netta:

1. e-mail come documento commerciale/legale: Se un’e-mail ha il valore di un contratto, un ordine, etc., essa deve essere conservata per il tempo previsto dalla legge;
2. la casella di posta elettronica nel suo complesso: L’obbligo di conservazione si applica al singolo documento rilevante, non all’intera casella di posta elettronica del dipendente, che contiene un flusso indistinto di comunicazioni, molte delle quali prive di rilevanza legale o fiscale.

Il datore di lavoro deve quindi implementare sistemi di gestione documentale che permettano di estrarre e archiviare in un sistema separato solo copia delle e-mail con rilevanza legale/fiscale, per il tempo necessario.

Cessazione del rapporto di lavoro: cosa fare e cosa non fare

Il momento della cessazione del rapporto di lavoro rappresenta un frangente di particolare criticità. I diversi Provvedimenti del Garante[3] hanno delineato una procedura rigorosa per contemperare l’esigenza di continuità aziendale con la tutela della riservatezza dell’ex dipendente.

Nello specifico, è fatto obbligo al datore di lavoro di:

1. Disattivare immediatamente l’account di posta elettronica individuale alla data di cessazione del rapporto, inibendo la ricezione di ulteriori messaggi;
2. Attivare contestualmente un sistema di risposta automatica che informi i terzi della disattivazione dell’indirizzo e fornisca contatti alternativi per le comunicazioni di carattere lavorativo;
3. Rimuovere definitivamente l’account dopo un periodo di tempo limitato e ragionevole, commisurato esclusivamente alle esigenze tecniche per la migrazione dei dati e l’efficacia della risposta automatica, e non a generiche esigenze commerciali.

È pertanto da considerarsi illecita la prassi di mantenere attivo l’account di un ex dipendente, così come l’impostazione di un reindirizzamento automatico dei messaggi verso un altro account aziendale, poiché tali operazioni consentono una presa di cognizione indebita di comunicazioni che potrebbero avere carattere personale. Inoltre, l’eventuale necessità di recuperare informazioni di natura professionale dovrebbe essere gestita, ove possibile, in contraddittorio con il lavoratore prima della cessazione del rapporto.

Breve vademecum operativo per la gestione degli applicativi IT e dell’account e-mail aziendale

Alla luce delle considerazioni innanzi esposte in relazione all’articolato quadro normativo e giurisprudenziale, di seguito si riporta un breve schema riepilogativo con le misure da adottare e le azioni non consentite.

COSA FARE

1.  Adottare policy chiare e fornire informative complete: predisporre e consegnare personalmente a ogni dipendente una policy sull’uso degli strumenti informatici e un’informativa privacy (art. 13 GDPR ). Tali documenti devono specificare chiaramente:
   – Le finalità e modalità dei possibili controlli.
   – I tempi di conservazione dei dati e dei metadati, in linea con le indicazioni del Garante (es. 21 giorni per i metadati).
   – La procedura di gestione dell’account alla cessazione del rapporto.
2. Configurare i sistemi in ottica “Privacy by default”: verificare e modificare le impostazioni dei sistemi di posta elettronica per disattivare la raccolta non necessaria di dati e per impostare i tempi di conservazione dei metadati al minimo indispensabile (es. 21 giorni).
3. Implementare un sistema di gestione documentale: adottare procedure tecniche e organizzative per identificare, estrarre e archiviare in un sistema dedicato (diverso dalla casella di posta) solo le e-mail con rilevanza legale/fiscale, per il periodo di conservazione obbligatorio (10 anni).
4. Alla cessazione del rapporto di lavoro:
   – Disattivare immediatamente l’account: alla data di cessazione, l’account individuale del dipendente deve essere immediatamente disattivato, inibendo l’invio e la ricezione di messaggi;
   – Impostare una risposta automatica: attivare un messaggio automatico che informi i terzi della disattivazione dell’indirizzo e fornisca contatti alternativi per le comunicazioni lavorative;
   – Rimuovere definitivamente l’account: dopo un breve e ragionevole periodo tecnico, necessario per le operazioni di backup e migrazione dei soli dati aziendali (da effettuarsi preferibilmente in contraddittorio con l’ex dipendente), l’account e il suo contenuto devono essere definitivamente cancellati.

COSA NON FARE

1. Non effettuare controlli preventivi e massivi: evitare la raccolta e l’analisi sistematica e generalizzata delle email o dei metadati dei dipendenti in assenza delle garanzie previste dall’art. 4 St. Lav.
2. Non conservare i metadati oltre i termini stretti: non conservare i log e i metadati della posta elettronica per periodi prolungati (a seconda delle giustificate esigenze di sicurezza) senza una base giuridica adeguata e il rispetto delle norme applicabili.
3. Non mantenere attivo l’account dell’ex dipendente: è illecito mantenere attiva la casella di posta di un ex dipendente, anche per “non perdere contatti”.
4. Non reindirizzare automaticamente le e-mail: è vietato impostare un reindirizzamento automatico delle email dall’account dell’ex dipendente a un altro account aziendale.
5. Non confondere la conservazione documentale con la conservazione della mailbox: non utilizzare l’obbligo di conservazione decennale della corrispondenza commerciale come pretesto per conservare l’intera casella di posta elettronica del dipendente. Le due finalità richiedono trattamenti e sistemi di archiviazione distinti.

 

 

Scopri di più: Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private

Per approfondire: Protezione dei dati personali e controllo dei lavoratori in azienda

 

---

NOTE

^[1] Cass. Pen., Sez. 5, n. 23158 del 20-06-2025.

^[2] Corte di Appello Di Milano, Sentenza n.1147 del 8 Gennaio 2025: “In caso di controlli illeciti, in mancanza d’un fondato sospetto o con modalità illegittime, i relativi risultati sono “inutilizzabili”“.

^[3] Cfr. ex multius i Provvedimenti dell’Autorità Garante per la protezione dei dati personali 364/2025, 754/2025, 140/2024.

Nell’era dell’economia digitale e dell’Intelligenza artificiale, non sono più solo i nostri dati a essere scambiati ed elaborati, ma intere identità, con i loro tratti comportamentali, biometrici e comunicativi. Il recente caso che ha coinvolto il famoso content creator Khaby Lame in merito alla decisione di autorizzare la creazione di un suo “gemello digitale” come parte integrante di una maxi-operazione societaria, segna un punto di svolta epocale nel panorama digitale attuale: l’identità personale entra a pieno titolo tra i beni aziendali del futuro. Una prospettiva che apre scenari avanguardistici ma anche profondamente inquietanti, e che impone una riflessione urgente su diritti, limiti e responsabilità in un mondo sempre più onlife.

Ne ha parlato l’Avv. Andrea Lisi nel suo nuovo intervento sul suo Blog ospitato presso Il Fatto Quotidiano, spiegando l’importanza dei professionisti e delle scelte strategiche che dovranno essere effettuate nei prossimi anni per impedire scenari distopici.

Il caso dell’avatar di Khaby Lame

La riflessione prende spunto da un recente caso di attualità che ha coinvolto il content creator Khaby Lame, il quale ha ceduto le quote della propria società autorizzando l’utilizzo di sistemi di intelligenza artificiale per la creazione di un suo “gemello digitale”. Con questo passaggio, l’influencer ha accettato il trasferimento dei propri dati identitari (inclusi quelli comportamentali e biometrici) finalizzati alla realizzazione di un avatar capace di operare senza interruzioni per attività di comunicazione e marketing su una grande piattaforma di streaming ed e-commerce. Un episodio che sembra andare oltre qualsiasi scenario distopico finora immaginato dalla fantascienza e che pone interrogativi cruciali non solo in materia di protezione dei dati personali, ma anche di diritto d’autore e, più in generale, sulla possibilità che le nostre identità diventino veri e propri asset aziendali trasferibili.
Cosa aspettarsi, dunque, nel prossimo futuro? Nulla di necessariamente allarmante, a condizione che il presidio di questi fenomeni sia affidato a figure professionali in grado di integrare competenze giuridiche, etiche e tecnologiche.

Per leggere il contenuto completo:

Quanto siamo davvero liberi oggi online? È una domanda che ritorna con forza in un’epoca in cui la digitalizzazione, da promessa di emancipazione, mostra sempre più chiaramente le sue zone d’ombra. Da tempo si intravedono i rischi di un ecosistema digitale governato da logiche algoritmiche, oggi ulteriormente amplificate dall’Intelligenza Artificiale generativa e “agentica”, e in questo contesto le dimissioni di un Membro del Collegio dell’Autorità garante per la protezione dei dati personali, maturate a seguito delle note indagini avviate dalla trasmissione Report, rappresenta un potente spunto di riflessione: non solo sul piano istituzionale e personale, ma soprattutto su quello culturale e democratico. Un episodio che ci costringe a interrogarci sul valore della responsabilità pubblica, sulla presunzione di innocenza e sul clima digitale in cui opinione pubblica, odio e giudizio si intrecciano, spesso in modo distorto, sotto la spinta dei bit.

Di questo e molto altro ha parlato l’Avv. Andrea Lisi nella sua Newsletter di Linkedin, “Appunti di ICT Law”, provando ad accrescere consapevolezza su tali temi, affrontati anche all’interno del volume “Anabasi: nel labirinto dell’intelligenza in digitale”, realizzato in collaborazione con Marcello Moscara e Chiara Saurio, e nel nuovo numero della Rivista DIGEAT, da lui diretta.

La consapevolezza come ultima difesa contro gli algoritmi

“Viviamo in un contesto dominato dagli algoritmi, dove l’odio viene premiato e amplificato, e proprio su questo tema il messaggio video diffuso da Guido Scorza è stato senz’altro apprezzabile, perchè ha toccato un nervo scoperto che riguarda la nostra evoluzione (o involuzione) digitale dettata dai bit. In proposito, consiglio di ascoltare con attenzione il podcast di Eta Beta – Radio1 Rai condotto da Massimo Cerofolini in compagnia di Barbara Carfagna. Barbara sta conducendo un’incredibile e utilissima analisi in giro per il mondo sull’uso dei sistemi di intelligenza artificiale generativa e agentica nelle ricostruzioni post belliche. Ciò che emerge dalla sua indagine è inquietante e conferma in modo planetario ciò che continuo a sottolineare da tempo e ho provato a descrivere anche attraverso le sequenze fotografiche e i disegni di Marcello Moscara e Chiara Saurio presenti nel volume “ANABASI nel labirinto della memoria in digitale”: il potere dei dati oggi, confluito nei modelli e sistemi di intelligenza artificiale, è in grado di manipolare e controllare intere popolazioni e la gestione di questo potere non è in Europa, ma altrove. Rischiamo quindi una strisciante sconfitta culturale proprio noi europei che avremmo una storia incredibile da raccontare, semplicemente perché finiremo per subire sistematiche iniezioni di dati altrui, insieme a tutti gli altri Paesi che non posseggono i codici di gestione di questo incredibile potere. Ascoltate il podcast e magari leggete anche il volume ANABASI che ho curato perché quello che sta accadendo è pericoloso per la nostra democrazia e, forse, la consapevolezza è l’ultima speranza per fare qualcosa. Di questi delicatissimi temi ragioneremo nel nuovo numero della Rivista Digeat, interamente dedicato ai “segni di vita digitale” che ci riguardano tutte e tutti.”

Per leggere il contenuto completo:

Siamo felici di annunciare che è online l’ottavo numero della Rivista DIGEAT, il trimestrale del Progetto di slow food culturale diretto dall’Avv. Andrea Lisi e supportato scientificamente da Studio Legale Lisi che ha come obiettivo quello di riflettere, senza fretta, sui principali temi del digitale. 

La Rivista DIGEAT, insieme alla piattaforma DIGEAT+ e alla sezione dedicata alla Formazione Digitalaw, fa parte di un ambizioso progetto di divulgazione scientifica pensato come percorso di conoscenza attraverso i principali temi del digitale quali l’intelligenza artificiale, la gestione di documenti e archivi digitali, le firme elettroniche, la protezione dei dati, la sicurezza informatica, l’innovazione tecnologica, l’ehealth, l’e-gov e la cultura digitale. L’intuizione del Direttore responsabile è stata quella di procedere in direzione contraria, rallentando, così da sganciarci dalla corsa alle nuove tecnologie e stimolare una riflessione critica, lenta e attenta sull’attualità per cogliere la vera essenza di ciò che ci circonda.

DIGEAT può inoltre contare sul coinvolgimento di un Comitato scientifico e di redazione altamente qualificati, di numerosi contributors, sul supporto di importanti partner come Bucap, CSA Documents, Google, Ladybet e TNotice e su prestigiose collaborazioni scientifiche come quelle con ANORC, Costituente Terra, Assoutenti, CUIRIF, DigitaLaw Department, Oikos Mediterraneo, Società italiana di Telemedicina (SIT) e UNINFO.

Online il Numero 8 “Signs of (digital) life”

Questa nuova uscita tesse con un filo invisibile un legame tra il successo del DIGEAT Festival e la prossima edizione, in programma nell’autunno 2026. In uno scenario che si preannuncia dominato dal rapporto uomo-macchina, la vera sfida sarà trovare dei segni di vita umana nel contesto digitale, ormai sempre più automatizzato e vittima delle mode tecnologiche.
Il numero si contraddistingue per il suo carattere altamente interdisciplinare, composto da 19 contributi a cui fanno da cornice l’Editoriale di presentazione scritto a quattro mani dal Direttore del Progetto editoriale, Avv. Andrea Lisi, e dalla Vice direttrice, Avv. Antonella D’Iorio, dalle Conclusioni del Direttore e da una nuova riflessione dell’Art Director Marcello Moscara che per l’occasione ha curato un progetto fotografico incentrato sul significato del filo che attraversa i dispositivi digitali che usiamo quotidianamente.

Alcuni episodi di attualità che si sono susseguiti in queste settimane – dalla dittatura di Maduro, al “caso Signorini” fino al più noto “scandalo” che ha coinvolto il Garante privacy – seppur profondamente diversi tra loro per natura, contesto e gravità, hanno acceso i riflettori su elementi comuni sempre più ricorrenti: le gogne mediatiche e la rabbia online. Fenomeni esplosi negli ultimi anni e ulteriormente amplificati nell’era social, che finiscono per mettere in discussione i presupposti stessi della democrazia, il rispetto dei principi fondamentali, la tutela dei diritti e la centralità di un giudizio fondato su regole, garanzie e processi equi.

Sono tempi strani e complessi per gli addetti ai lavori, come sottolinea l’Avv. Andrea Lisi nella sua Newsletter di Linkedin, “Appunti di ICT Law”, ma la speranza non è solo accendere un faro su un tema scomodo e delicato, ma anche provare a smuovere le coscienze e offrire qualche strumento per orientarsi tra le insidie del Far Web, dove la legge del più forte (o del più seguito) rischia di sostituirsi allo Stato di diritto.

Come evitare le “giustizie private” online

“Report e Corona sono ovviamente lontanissimi nel loro modus operandi e senz’altro il giornalismo di inchiesta (quello serio) va sempre rispettato. E Maduro è senz’altro un dittatore, c’era un mandato d’arresto USA che pendeva su di lui (mentre per Putin e Netanyau effettivamente ce ne sarebbe uno internazionale della CPI…). C’è, però, un ragionamento di fondo che accomuna questi differenti episodi: sono stati tutti amplificati dalla rabbia social, dove il pettegolezzo è ormai negli ingranaggi del pervasivo controllo degli algoritmi (insieme alle nostre identità). Qui tutto è manipolato e manipolabile. E qui, in questi ingranaggi caratterizzati da una pericolosa liquidità digitale, di fatto, stiamo legittimando la legge del più forte. Di chi ha più armi o ha più like (con il suo esercito di follower). Nel Far West si giustiziava per emozione, in preda all’ira o alla sensazione. Il diritto moderno, basato su ordinamenti democratici, servirebbe invece a placare la cieca rabbia, al fine di tutelare diritti e libertà fondamentali di tutte e tutti noi, che sono stati calpestati per secoli e che ci siamo conquistati negli ultimi decenni. Li stiamo sbriciolando sotto l’impeto del rancore, inseguendo giustizie personali, certezze acquisite leggendo tre righe su chatgpt e i racconti di un minuto di video su TikTok […]. Davvero siamo pronti a scagliarci contro qualcuno con odioso pregiudizio? Davvero vogliamo meritarci l’abisso di una giustizia fai da te? È pericolosissimo quanto mi/ci accade intorno. E provo da giurista sgomento. Quindi, va benissimo, sia chiaro, il giornalismo d’inchiesta, ma per stimolare giudizi che devono essere e rimanere rigorosi. Va benissimo informarsi, leggere, approfondire, criticare con coraggio, riflettendo, articolando indagini per stimolare dibattiti e fare avviare inchieste. Ma poi ci deve essere la fase di un giudizio affidato a una parte terza fidata. E se ne attende l’esito e quindi l’applicazione di una sentenza (che si rispetta). Altrimenti salta tutto.”

Per leggere il contenuto completo:

Si chiude un anno particolarmente denso per il panorama digitale, segnato (come da previsione) dall’avanzata ormai strutturale dei sistemi di IA, dall’intensificarsi delle normative di settore e da un proliferare di riflessioni e ipotesi, spesso distopiche e/o drammatiche, su ciò che ci attende nei prossimi anni. A fare da apripista a questi scenari è il primo grande trend emergente: il Quantum computing, destinato a definire nuovi equilibri tecnologici e giuridici. In questo contesto, sensibilizzare e accrescere la consapevolezza su opportunità e rischi delle nuove tecnologie si conferma una sfida senza tempo: la prima e l’ultima anche del nuovo anno, in cui ai professionisti spetterà ancora una volta il compito di interpretare, guidare e illuminare le coscienze, per evitare di lasciarsi “affabulare” dall’ennesima tendenza del momento.

In questa direzione si inserisce così l’intervento dell’Avv. Andrea Lisi che nella sua Newsletter di Linkedin, “Appunti di ICT Law”, ha tracciato un bilancio di ciò che è stato il 2025 e spiegato cosa dobbiamo aspettarci dal nuovo anno. Un’analisi lucida, orientata a mantenere ben saldi ragione e senso critico, le uniche vere armi a disposizione per orientarsi (e sopravvivere) nel crescente caos del web e continuare a tutelare le nostre informazioni.

La vera sfida del 2026? Proteggere la qualità dei nostri dati

“La narrazione sull’IA oggi è divisiva e flaccida. Si alterna tra tecnoentusiasti e intransigenti eticisti. In mezzo c’è un vuoto pneumatico da colmare. Ma non con proposte tecnologiche che a loro volta “correggano” la tecnologia. In questi giorni, infatti, leggo (o ascolto) “illuminanti” ricette, tipo: non conosco l’algoritmo ed è troppo potente e allora lo limito con un altro algoritmo!  L’IA cattiva che si combatte con un’altra IA buona, proprio come nel film the Age of Ultron degli Avengers (2015). Il rischio reale è che si vada avanti così a suggestionare su scenari inattuali, suggerendo una polverizzazione di responsabilità che non ha un punto di partenza coerente fondato sull’unica testa pensante (che è la nostra). Queste narrazioni inconcludenti e sbagliate portano inevitabilmente a discutere a vanvera anche politicamente. E le discussioni grossolane in politica poi hanno come inevitabile conseguenza la produzione o di proposte normative ridicole (come purtroppo si è rivelata essere la legge 132/2025) o di strategie di (impossibile) sovranità tecnologica, senza mai arrivare alla radice del problema.
E il vero problema siamo evidentemente noi, con i nostri dati.
L’Italia e l’Europa, se davvero vogliono proporre una propria “sovranità” in un ambiente che è a-nazionale come quello del web e del social web (ormai disseminato di sistemi e modelli di IA), allora (ri-)partano dalle nostre radici culturali, dai nostri dati, preservandone (e pretendendone) una qualità.
Oggi servirebbero disperatamente strategie, modelli, metodi, procedure, competenze per custodire con efficacia dati di qualità.“

Per leggere il contenuto completo: