Sanzioni GDPR per il datore di lavoro: cosa rischi davvero, i casi reali del Garante e come evitare di pagarli sulla pelle dell’azienda

Q: Le telecamere installate con permesso dell'Ispettorato del Lavoro sono automaticamente a norma GDPR?

No, è uno degli errori più costosi. L'autorizzazione giuslavoristica copre solo l'articolo 4 dello Statuto dei lavoratori. Resta separato l'obbligo privacy: informativa di primo e secondo livello, valutazione d'impatto se necessaria, periodo di conservazione motivato, principio di minimizzazione. Un'azienda con solo il via libera dell'Ispettorato è esposta a sanzione Garante.

Sanzioni GDPR datore di lavoro casi reali Garante privacy

Sanzioni GDPR per il datore di lavoro: cosa rischi davvero, i casi reali del Garante e come evitare di pagarli sulla pelle dell’azienda

Una guida completa per imprenditori e PMI italiane sulle sanzioni privacy nel rapporto di lavoro: quanto costano davvero gli errori più frequenti, quali casi reali ha colpito il Garante negli ultimi anni e come trasformare il rischio in una postura difensiva che protegge fatturato, amministratore e patrimonio aziendale.

Perché oggi un errore di privacy può costarti più di un accertamento fiscale

C’è un’idea diffusa tra gli imprenditori italiani: il rischio fiscale è il rischio numero uno, e il resto viene dopo. È un’idea che funzionava dieci anni fa. Oggi, con i parametri sanzionatori introdotti dal Regolamento UE 2016/679, la realtà è cambiata in silenzio. Una contestazione del Garante per la protezione dei dati personali può prendere il 4% del fatturato mondiale annuo dell’azienda. Non l’utile, non il margine, non l’imponibile: il fatturato lordo. Una società da dieci milioni di ricavi, se finisce nel mirino per la violazione più grave, si trova davanti a un tetto sanzionatorio di 400.000 euro. Una società da cinquanta milioni si trova davanti a due milioni. Sono cifre che, in molte PMI italiane, mangiano l’intero risultato di esercizio in un solo provvedimento.

Il problema è che la maggior parte degli imprenditori non vede arrivare il rischio. Lo vede arrivare il commercialista quando guarda i conti, lo vede arrivare il consulente del lavoro quando guarda la busta paga, lo vede arrivare l’avvocato quando arriva la lettera di un ex dipendente. Ma il rischio privacy si forma molto prima, dentro le scelte operative quotidiane: l’informativa che hai allegato al contratto di assunzione, il consenso che hai chiesto al posto della base giuridica corretta, l’accesso alla mail dell’ex dipendente fatto in buona fede per rispondere a un cliente, le telecamere installate con l’accordo dei sindacati ma senza informativa privacy, il file con le credenziali dei collaboratori salvato sul drive condiviso senza policy di accesso. Sono dettagli che nessuno discute in consiglio di amministrazione, ma che diventano la materia prima dei provvedimenti del Garante.

C’è un altro elemento che rende il rischio privacy diverso dal rischio fiscale: la modalità con cui il Garante arriva. Una verifica fiscale segue procedure note, tempi prevedibili, criteri di selezione tracciabili. Un’ispezione del Garante può attivarsi su segnalazione di un singolo dipendente, di un ex collaboratore, di un cliente, di un sindacato. E quando si attiva, come spiega l’Avv. Massimiliano Montagner nel webinar BC Formula del 29 aprile 2026, nella migliore delle ipotesi arriva una richiesta di documentazione: nella peggiore, e succede sempre più spesso, arriva la Guardia di Finanza che si siede accanto al server e inizia a copiare le mail. Quel che parte come una piccola cosa, da una segnalazione apparentemente isolata, può ingigantirsi rapidamente fino a toccare anche il piano penale e amministrativo. Per questo l’angolo “compliance privacy” non basta: serve un angolo di rischio aziendale, perché le ricadute sono trasversali su fatturato, responsabilità dell’amministratore, valore d’impresa e tutela del patrimonio personale.

In questo articolo ti porto dentro i casi reali. Tre provvedimenti concreti che il Garante ha utilizzato come esempio negli ultimi due anni e che Montagner ha richiamato puntualmente al webinar, con numeri precisi e dinamiche identiche a quelle che si vedono in centinaia di PMI italiane. Ti mostro perché il sistema sanzionatorio non funziona come ti aspetti, perché il commercialista non basta a coprirti, perché l’avvocato che hai oggi probabilmente non è specializzato sul punto, e perché la giurisprudenza degli ultimi mesi sta rendendo le cose più strette e non più larghe. La domanda finale non è “come faccio a essere conforme”. È un’altra, e suona molto più scomoda: se domattina arriva un’ispezione, quanto pagheresti, chi lo paga, e cosa ti resta in mano dopo.

Quanto può davvero costare una sanzione privacy a un imprenditore italiano: il quadro reale

Iniziamo dal numero che si sente ovunque e che pochi imprenditori sanno leggere davvero. Il GDPR prevede due fasce di sanzioni amministrative. La prima fascia, per le violazioni meno gravi (mancata tenuta del registro dei trattamenti, errori nella nomina del responsabile, violazioni dell’obbligo di cooperazione con l’autorità), arriva fino a 10 milioni di euro oppure, se superiore, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. La seconda fascia, per le violazioni più gravi (assenza di base giuridica, mancato rispetto dei diritti dell’interessato, trasferimenti illeciti di dati, mancato rispetto dei principi fondamentali del trattamento), arriva fino a 20 milioni di euro oppure, se superiore, fino al 4% del fatturato mondiale totale annuo. Il criterio “il maggiore tra i due” significa che il tetto effettivo per una società di media dimensione non è mai i 10 o 20 milioni della soglia minima, ma sempre il 4% del fatturato.

Se la tua azienda fattura 5 milioni di euro l’anno, il tetto massimo che il Garante può applicarti per una violazione grave è 200.000 euro. Se fatturi 15 milioni, è 600.000 euro. Se fatturi 40 milioni, è un milione e seicentomila euro. Questi numeri non sono ipotesi teoriche: sono il riferimento che l’autorità usa concretamente come limite superiore nel valutare la singola sanzione. Il Garante non applica quasi mai il massimo edittale per intero, ma lo usa come griglia. La sanzione effettiva viene parametrata in base a una serie di criteri: gravità della violazione, durata, numero di interessati coinvolti, condotta dolosa o colposa, misure adottate per attenuare il danno, eventuali precedenti violazioni, cooperazione con l’autorità. Il problema, per una PMI, è che la sanzione media sui casi recenti che riguardano rapporti di lavoro si è collocata in una fascia tra 10.000 e 100.000 euro. Non si arriva al massimo, ma si arriva a numeri che per un’azienda di media dimensione equivalgono al margine di esercizio di un anno.

Il punto su cui Montagner insiste durante il webinar è semplice e va riportato senza addolcirlo. Il datore di lavoro non si rende conto che la sanzione del Garante è solo una delle voci del conto totale. Quando un’ispezione si conclude con una contestazione, si accendono in cascata altre tre voci. La prima è il risarcimento del danno chiesto dal dipendente o dall’ex dipendente che ha attivato il reclamo. Se l’accesso alla mail è stato illecito e il dipendente è stato licenziato sulla base di quei dati, oltre alla sanzione amministrativa c’è il licenziamento dichiarato nullo, la reintegrazione o l’indennità sostitutiva, il pagamento delle retribuzioni dovute dal licenziamento alla sentenza, i contributi previdenziali, le spese legali. La seconda voce è la responsabilità dell’amministratore. Una sanzione rilevante è un danno patrimoniale alla società: l’amministratore può essere chiamato a risponderne se l’organizzazione non aveva adottato adeguati assetti organizzativi per prevenire la violazione. La terza voce è la perdita reputazionale e, in alcuni settori, il provvedimento del Garante che diventa pubblico e si traduce in perdita di clienti, di contratti, di valore in sede di due diligence.

Mettiamo i numeri in fila su un caso tipico, partendo da una PMI che fattura 8 milioni di euro e ha 35 dipendenti. Una violazione media (accesso illecito alla mail di un ex dipendente, licenziamento sulla base di quei dati): sanzione amministrativa Garante 60.000 euro, indennità per licenziamento illegittimo 25 mensilità retributive, costo legale del contenzioso giuslavoristico 30.000 euro, costo della rimediazione privacy (revisione informative, policy, formazione) 20.000 euro, costo dell’amministratore citato per danno alla società. Si arriva facilmente sopra i 150.000 euro di esposizione complessiva, su una singola posizione. La cosa interessante è che il costo della prevenzione, su quella stessa PMI, è meno di un decimo: un’analisi privacy preventiva, un aggiornamento delle informative, una policy seria sull’uso degli strumenti aziendali costa una frazione del danno cumulato che si attiverebbe in caso di contestazione. È un calcolo che, una volta visto, rende incomprensibile il fatto che molti imprenditori continuino a rimandare.

C’è poi un elemento aggiuntivo che riguarda specificamente le società sopra una certa soglia o che operano in settori vigilati: la sanzione del Garante non è coperta da polizze D&O standard, e quindi non si scarica sull’assicurazione dell’amministratore senza specifiche estensioni. Anche le polizze che coprono la responsabilità civile per violazioni della privacy spesso escludono espressamente le sanzioni amministrative e coprono solo i danni a terzi. Significa che, in molti casi, il costo della sanzione esce direttamente dalla cassa della società e dal patrimonio personale dell’amministratore in caso di azione di responsabilità. È questo il motivo per cui il tema sanzioni privacy non si chiude con la nomina del DPO o con la stesura del registro dei trattamenti. Si chiude solo quando l’imprenditore ha una visione integrata su tre piani: contenzioso con il lavoratore, sanzione amministrativa Garante, ricaduta sull’amministratore e sul patrimonio aziendale. È la prospettiva su cui BC Formula lavora con i propri clienti e che nessun consulente isolato (commercialista, avvocato giuslavorista, consulente privacy) copre da solo.

Caso 1 — La compagnia assicurativa da 50.000 euro: cosa è successo quando un ex dipendente ha chiesto i suoi dati

Questo è il primo caso che Montagner racconta in apertura del webinar BC Formula del 29 aprile 2026, e lo fa con un tono volutamente didattico, perché contiene tutti gli elementi che si ripetono in centinaia di provvedimenti analoghi a carico di PMI italiane. Il fatto è apparentemente semplice. Una compagnia assicurativa ha chiuso il rapporto di lavoro con un dipendente. Mesi dopo, l’ex dipendente esercita il diritto di accesso previsto dall’articolo 15 del GDPR e chiede al titolare di ricevere tutti i suoi dati personali. È un diritto che spetta a chiunque, dipendente o cliente o utente, e che il titolare ha l’obbligo di soddisfare entro trenta giorni dalla richiesta, prorogabili di due mesi in casi complessi. Il titolare, l’azienda, deve rispondere in modo completo, deve fornire tutti i dati personali trattati e deve farlo con modalità conformi al regolamento.

L’azienda, in buona fede, fa quello che sembra logico. Accede all’ex account di posta elettronica del dipendente, ormai disattivato sul piano operativo ma ancora archiviato sui server aziendali. Esamina le mail una per una. Distingue, sulla base di una valutazione interna fatta da un soggetto aziendale (non dal dipendente, non da un terzo imparziale), le mail che ritiene “personali” da quelle che ritiene “lavorative”. Risponde all’ex dipendente trasmettendogli quello che, secondo la valutazione aziendale, costituisce i suoi dati personali. Il dipendente, però, contesta la procedura. Sostiene che la compagnia non poteva accedere unilateralmente alla casella per filtrare i contenuti, che la separazione tra mail personali e lavorative era una scelta arbitraria fatta dall’azienda stessa, che il diritto di accesso doveva essere garantito su tutti i dati personali e non su un sottoinsieme deciso unilateralmente dal datore di lavoro. Presenta reclamo all’autorità Garante.

Il Garante apre l’istruttoria e arriva a una conclusione che cambia il quadro di riferimento per qualunque PMI italiana. L’accesso alla casella di posta elettronica di un ex dipendente, fatto unilateralmente dal titolare per filtrare i contenuti, viola la segretezza della corrispondenza e il principio del domicilio informatico. Il fatto che la mail fosse aziendale (cioè con dominio della società) non cambia la natura del bene tutelato: la casella nominativa, anche se di proprietà aziendale, gode delle stesse tutele del domicilio fisico. L’azienda, accedendo per “filtrare” le mail, ha commesso una violazione autonoma, distinta dalla questione del diritto di accesso. E quella violazione, in considerazione del fatturato della compagnia, è stata sanzionata con 50.000 euro. Cinquantamila euro, per un singolo episodio, su un singolo soggetto.

Come spiega Montagner, è qui che il caso diventa universale. La compagnia assicurativa aveva un fatturato importante e quindi la sanzione, in proporzione, può sembrare contenuta. Ma il principio applicato è identico per una PMI italiana che fattura un decimo: il provvedimento Garante non si parametrа sul reddito dell’imprenditore o sull’utile, si parametra sul fatturato della società e sulla gravità della violazione. Una PMI da 4 milioni di euro che facesse esattamente la stessa cosa rischierebbe una sanzione proporzionalmente inferiore in valore assoluto, ma comunque a quattro o cinque cifre, su un singolo dipendente. E il punto è che, in una PMI, gli ex dipendenti che ti chiedono di accedere ai loro dati possono essere più d’uno nell’arco di pochi anni. Il rischio si moltiplica.

Cosa avrebbe dovuto fare correttamente l’azienda, secondo l’orientamento ormai consolidato del Garante richiamato da Montagner? La procedura corretta prevede tre passaggi precisi che vanno applicati al momento della cessazione del rapporto, prima ancora che arrivi qualunque richiesta dell’ex dipendente. Primo, disattivare immediatamente l’account di posta dell’ex collaboratore. Secondo, impostare un messaggio di risposta automatica che informi i terzi della cessazione del rapporto e fornisca un indirizzo alternativo per le comunicazioni in arrivo. Terzo, evitare la prassi del redirect automatico, cioè dell’inoltro silenzioso di tutte le mail in arrivo verso un altro account aziendale: questa è una pratica che il Garante ha ripetutamente dichiarato illecita perché viola il diritto del terzo che invia la mail di sapere a chi sta effettivamente scrivendo. Se poi l’ex dipendente esercita successivamente il diritto di accesso, la procedura corretta richiede di non aprire la casella unilateralmente: i dati personali eventualmente presenti vanno gestiti in contraddittorio, eventualmente con l’intervento di un terzo o con modalità tecniche che garantiscano il rispetto della segretezza della corrispondenza.

Il caso ha implicazioni che vanno oltre il singolo provvedimento. Mostra una cosa che molti imprenditori sottovalutano: la responsabilità del titolare non scatta solo quando “controlla” la mail di un dipendente attivo nel tentativo di scoprire un illecito. Scatta anche quando, in completa buona fede, prova a rispondere a una richiesta di accesso di un ex dipendente. Il bene tutelato (la segretezza della corrispondenza, il domicilio informatico) è talmente forte nell’impianto normativo italiano ed europeo che non ammette deroghe nemmeno quando l’obiettivo è soddisfare un altro diritto previsto dal GDPR. Per gestire correttamente questa fase serve una policy aziendale scritta, serve una procedura standardizzata, serve formazione di chi opera nella gestione delle risorse umane. E serve, soprattutto, sapere che il momento giusto per agire non è quando arriva la richiesta dell’ex dipendente: è quando il rapporto di lavoro si chiude, perché in quel momento si chiude anche la finestra utile per fare le cose correttamente senza esporsi.

Per un imprenditore che oggi sta leggendo questo articolo, la domanda concreta è semplice: hai disattivato gli account di posta di tutti gli ex collaboratori? Hai impostato i messaggi di risposta automatica con indirizzo alternativo? Hai una policy scritta su come gestire le richieste di accesso ai dati da parte di ex dipendenti? Se la risposta a una qualunque di queste tre domande è “no” o “non lo so”, sei esattamente nella stessa posizione in cui era la compagnia assicurativa prima di prendere i suoi 50.000 euro di sanzione. La differenza è che tu, dopo aver letto questo passaggio, non puoi più dire di non saperlo. E nella valutazione del Garante, il fatto di sapere e non aver agito pesa sulla determinazione della sanzione molto più di quanto pesi la violazione in sé.

Caso 2 — Accesso illecito alla mail aziendale: come un licenziamento legittimo si trasforma in licenziamento nullo

Il secondo caso che Montagner richiama nel webinar tocca un punto che, in molte PMI, viene gestito con una leggerezza pericolosa. Riguarda l’accesso del datore di lavoro alla mail aziendale di un dipendente ancora in servizio, fatto per cercare elementi che giustifichino un provvedimento disciplinare o un licenziamento. La sequenza tipica è questa: l’imprenditore o il responsabile delle risorse umane ha il sospetto, anche fondato, che il dipendente stia facendo qualcosa di scorretto. Magari sta passando informazioni sensibili a un concorrente, magari sta utilizzando gli strumenti aziendali per finalità personali pesanti, magari sta gestendo doppi lavori durante l’orario di servizio. La tentazione è semplice: il dipendente usa una mail aziendale, su un server aziendale, su un computer aziendale, quindi il titolare può guardare quello che vuole. È una tentazione che porta dritto a un disastro.

La giurisprudenza italiana, e in particolare la Corte d’Appello di Milano e il Tribunale di Roma con sentenze recenti richiamate da Montagner, ha consolidato un orientamento molto restrittivo. Il datore di lavoro può effettuare quelli che si chiamano “controlli difensivi” sulla mail del dipendente, ma solo a determinate condizioni cumulative. Prima condizione: il controllo deve essere mirato, deve concentrarsi su un singolo soggetto o su un gruppo ristretto di soggetti, non può essere massivo né indiscriminato. Seconda condizione: il controllo deve essere avviato solo a seguito di un fondato sospetto preesistente, che deve essere tracciabile e documentabile. Non è ammesso il percorso inverso, cioè il datore che prima accede alla mail in modo generico e poi, dopo aver trovato qualcosa, prova a giustificarsi sostenendo che esisteva un sospetto. Il sospetto deve preesistere all’accesso e deve essere documentato.

Terza condizione, e qui sta il punto che molti imprenditori non vedono: il dipendente deve essere stato preventivamente informato, attraverso l’informativa privacy e una policy aziendale scritta sull’uso degli strumenti aziendali, della possibilità che il datore effettui controlli sui sistemi informatici. Se quella policy non esiste, o esiste ma non è stata consegnata e firmata, il dipendente ha quella che la giurisprudenza chiama “legittima aspettativa di confidenzialità” sulla propria casella. Significa che, anche in presenza di un fondato sospetto, l’accesso fatto in assenza di policy preesistente è illecito. Quarta condizione: una volta acquisito il diritto a fare il controllo difensivo, il controllo deve rispettare i principi generali del GDPR, in particolare il principio di proporzionalità e di minimizzazione. Si possono cercare solo i dati strettamente necessari a verificare il sospetto, non si può fare un’estrazione massiva di tutto il contenuto della casella.

La conseguenza dell’accesso illecito è quella che Montagner descrive con un’espressione chiara: i dati raccolti sono inutilizzabili ai fini disciplinari. Significa che, se l’azienda licenzia il dipendente sulla base delle mail trovate con un accesso non conforme, il licenziamento è nullo. La Corte d’Appello di Milano ha dichiarato nullo proprio un licenziamento di questo tipo, perché l’azienda non aveva potuto dimostrare la preesistenza del fondato sospetto e perché aveva fatto un accesso che, di fatto, era stato motivato a posteriori. Il Tribunale di Roma ha confermato questo orientamento in una sentenza ancora più recente. Il risultato pratico per l’imprenditore è devastante: il dipendente che effettivamente aveva commesso l’illecito (poniamo, aveva passato informazioni a un concorrente) viene reintegrato sul posto di lavoro, riceve le retribuzioni dovute dalla data del licenziamento alla data della sentenza, riceve un risarcimento per il danno alla professionalità, e l’azienda paga le spese legali di entrambi i gradi.

Il calcolo economico è preciso e va fatto a freddo. Un dipendente con retribuzione lorda di 35.000 euro l’anno, licenziato a fine 2024 e reintegrato nel 2026 dopo due gradi di giudizio, costa all’azienda circa 70.000 euro di retribuzioni dovute, oltre ai contributi previdenziali e assistenziali (altri 25.000 circa), oltre alle spese legali per i due gradi (15.000-25.000 euro tra avvocato proprio e spese di soccombenza), oltre al risarcimento del danno alla professionalità (che la giurisprudenza ha collocato in fasce variabili ma raramente inferiori a 10.000-15.000 euro). Siamo già sopra i 120.000 euro. A questo si aggiunge la sanzione amministrativa del Garante, che il dipendente o un sindacato possono attivare in parallelo segnalando la violazione: altra fascia 20.000-80.000 euro a seconda del fatturato della società e della gravità. Si supera tranquillamente la soglia dei 200.000 euro complessivi su un singolo lavoratore. E il dipendente, alla fine, torna in azienda.

Il punto strategico, su cui Montagner insiste, è che il datore di lavoro non può “rimediare” a posteriori. Quando il sospetto è già concreto e l’imprenditore sente l’urgenza di andare a vedere cosa c’è nella mail, è già tardi: a quel punto qualunque accesso fatto senza policy preesistente e senza tracciabilità del sospetto è illecito. L’unico vero rimedio è preventivo. Si costruiscono prima, in tempi non sospetti, la policy sull’uso degli strumenti aziendali, l’informativa privacy aggiornata e firmata, una procedura interna scritta che disciplini le modalità di attivazione di un controllo difensivo (chi può autorizzarlo, su quali presupposti documentali, con quali limiti tecnici, con quale tracciabilità). Quando arriva il momento di doverla usare, la policy è già lì da mesi o anni, e l’azienda può procedere senza esporsi.

C’è un’altra implicazione che tocca direttamente il rischio amministrativo dell’imprenditore e che si lega al tema del D.Lgs. 231. L’accesso illecito alla corrispondenza altrui può configurare il reato previsto dall’articolo 616 del codice penale (violazione, sottrazione e soppressione di corrispondenza). Quando questo reato viene commesso nell’interesse o a vantaggio della società, scatta la responsabilità ex D.Lgs. 231 in capo all’ente, con sanzioni pecuniarie autonome e potenziali misure interdittive. Significa che l’amministratore che autorizza un accesso illecito alla mail di un dipendente non sta solo esponendo la società a un contenzioso giuslavoristico e a una sanzione del Garante: sta potenzialmente attivando una responsabilità penale d’impresa che, in alcuni settori (sanità, finanza, infrastrutture), può portare anche alla sospensione di attività o licenze. È un esempio perfetto di come il rischio privacy non sia un rischio isolato, ma diventi rapidamente un rischio strategico per l’intera struttura aziendale. Su questo tipo di esposizione cumulata BC Formula ha sviluppato un’approccio integrato che lega audit privacy, valutazione 231 e mappatura della responsabilità dell’amministratore, perché nessuno di questi tre piani, preso da solo, restituisce all’imprenditore il vero quadro del rischio.

Caso 3 — Videosorveglianza senza accordo sindacale: cosa accade quando la Guardia di Finanza copia le tue email

Il terzo caso è quello che Montagner ha richiamato come esempio più recente nel webinar, perché contiene un elemento che racconta meglio di qualunque altro la natura non lineare del rischio privacy. È un caso che parte piccolo e si ingigantisce. Un datore di lavoro decide di installare un sistema di videosorveglianza nei locali aziendali. Conosce la procedura per metà: sa che l’articolo 4 dello Statuto dei lavoratori richiede o l’accordo collettivo con le rappresentanze sindacali o, in alternativa, l’autorizzazione dell’Ispettorato Territoriale del Lavoro. L’azienda ottiene l’autorizzazione giuslavoristica e installa le telecamere. Si ferma qui. Considera la pratica chiusa. Non redige un’informativa di videosorveglianza, non aggiorna il registro dei trattamenti, non valuta i tempi di conservazione, non implementa la cancellazione automatica delle registrazioni, non installa la cartellonistica conforme allo standard europeo.

Tempo dopo, in azienda si verifica un incidente grave sul lavoro. Interviene la Polizia Giudiziaria per le indagini ai sensi del decreto 81. Notano le telecamere. Chiedono copia delle registrazioni per ricostruire la dinamica dell’incidente. L’azienda, in buona fede, le consegna. A questo punto la Polizia Giudiziaria, che è intervenuta per un motivo (l’incidente), si trova di fronte a un sistema di videosorveglianza apparentemente non conforme alla normativa privacy. Segnala il caso al Garante. Il Garante apre l’istruttoria. Contesta la mancata informativa, la mancata valutazione di impatto, la mancata fissazione del periodo di conservazione delle registrazioni, la mancata cartellonistica conforme. Sanzione in arrivo. Quel che era cominciato come un’indagine sull’incidente sul lavoro si è trasformato in un secondo procedimento autonomo.

C’è una variante più severa di questa stessa dinamica, che Montagner ha descritto nel webinar e che vale la pena leggere lentamente. Spesso l’autorità che arriva per fare il controllo non è il Garante: è la Guardia di Finanza. La Guardia di Finanza arriva, si siede al fianco del responsabile IT o dell’amministratore, e inizia a copiare tutto. Le mail di determinati soggetti, i log dei sistemi di sorveglianza, i registri di accesso, l’archivio dei contenuti dei dipendenti. Un’attività che, fatta dal datore di lavoro stesso, sarebbe illecita per i motivi visti sopra, diventa lecita quando è la pubblica autorità a farla nell’ambito di un’indagine. Significa che il datore di lavoro che non ha messo a posto le proprie procedure privacy si trova, di colpo, con tutto il suo materiale aziendale (mail, comunicazioni interne, dati sensibili) acquisito da un’autorità pubblica, e ogni elemento di quel materiale può diventare a sua volta materia di accertamenti fiscali, penali, tributari, oltre che privacy. Il rischio privacy si converte in rischio fiscale e penale, con uno scivolo che, dal punto di osservazione iniziale, era completamente invisibile.

L’errore concettuale che porta a questo scenario è uno solo, ma è molto diffuso: la confusione tra le due aree di norme. L’articolo 4 dello Statuto dei lavoratori e il GDPR sono due binari paralleli che corrono sulla stessa identica questione (la videosorveglianza nei luoghi di lavoro) ma con due logiche completamente diverse. L’articolo 4 dello Statuto dei lavoratori si occupa di tutelare il dipendente dal controllo a distanza dell’attività lavorativa e prevede una procedura autorizzatoria (accordo sindacale o Ispettorato). Il GDPR si occupa di tutelare il trattamento dei dati personali (le immagini, i video, i metadati) e prevede una serie di obblighi tecnici e organizzativi (informativa, valutazione d’impatto, retention, sicurezza). Ottenere l’autorizzazione giuslavoristica copre solo metà del lavoro: l’altra metà (la conformità GDPR) va costruita in parallelo, con tempi, documenti e attori diversi.

Nel webinar BC Formula del 29 aprile 2026, Montagner mette in fila i requisiti specifici della conformità GDPR per la videosorveglianza, e vale la pena ripercorrerli con precisione perché sono esattamente i punti che il Garante verifica in caso di ispezione. Primo, l’informativa di primo livello, cioè i cartelli che segnalano la presenza dell’impianto. Devono essere conformi al modello europeo armonizzato (esiste uno standard preciso pubblicato dal Comitato Europeo per la Protezione dei Dati), devono essere posizionati prima che il soggetto entri nell’area videosorvegliata e non dopo, devono essere visibili e leggibili. Secondo, l’informativa di secondo livello, cioè il documento completo che deve essere messo a disposizione di chiunque ne faccia richiesta. Non deve essere obbligatoriamente affisso, ma deve essere fornito su richiesta entro tempi ragionevoli. Terzo, il principio di minimizzazione: le telecamere devono inquadrare solo l’area strettamente necessaria alla finalità dichiarata, non possono riprendere zone destinate alla privacy del lavoratore (spogliatoi, mensa, bagni, aree di pausa) e non possono inquadrare aree pubbliche più ampie del necessario.

Quarto, la limitazione di finalità. Le immagini possono essere utilizzate solo per le finalità per cui l’impianto è stato installato (esigenze organizzative produttive, sicurezza del lavoro, tutela del patrimonio aziendale). L’utilizzo a fini di contestazione disciplinare è ammesso solo se sono stati rispettati tutti i requisiti dell’articolo 4 dello Statuto dei lavoratori. Quinto, il periodo di conservazione. Lo standard, fissato dal Garante, è 24 ore. Si può salire a 72 ore con motivazione documentata. Si può arrivare fino a 7 giorni in casi specifici (rischiosità dell’attività, chiusura per festivi, sicurezza urbana). Oltre 7 giorni serve un’istanza al Garante con motivazione argomentata, e il Garante può concedere periodi anche significativamente più lunghi: Montagner cita il caso delle aziende sanitarie a cui sono stati concessi 20 giorni, e quello di un’azienda del settore alimentare a cui sono stati concessi 30-45 giorni, sempre su motivazione ragionata. Il principio guida è quello dell’accountability: chiunque chieda una deroga deve poterla giustificare per iscritto in un documento privacy, e la giustificazione deve essere sostanziale, non formale.

C’è un’ultima cosa che vale la pena dire su questo caso e che lega tutto al rischio strategico dell’imprenditore. Il punto in cui le cose si rompono non è quasi mai un grande errore visibile: è la somma di molte piccole semplificazioni. L’autorizzazione dell’Ispettorato considerata sufficiente. L’informativa privacy mai aggiornata dopo l’installazione delle telecamere. La policy di conservazione lasciata “a discrezione”. La cartellonistica improvvisata. Il responsabile IT che, in mancanza di indicazioni precise, imposta il sistema sul retention di default del produttore (che spesso è 30 giorni). Quando arriva la verifica esterna, questi cinque piccoli buchi si sommano e diventano una sanzione consistente, perché il Garante considera la mancata accountability nel suo complesso, non i singoli elementi. È per questo motivo che ogni intervento di adeguamento serio non può essere frammentato: deve affrontare il sistema (procedure, documenti, retention, formazione, tracciabilità) in modo unitario. E deve farlo prima che arrivi qualcuno a verificarlo.

Il combinato disposto Statuto dei lavoratori + GDPR + D.Lgs. 231: il rischio cumulato che pochi imprenditori vedono

C’è un livello di analisi che la maggior parte dei consulenti italiani non porta all’imprenditore, e che invece costituisce il vero motivo per cui il rischio privacy va trattato come rischio strategico. È il livello del rischio cumulato. Stiamo parlando di tre piani normativi distinti che, sulla stessa identica questione (il controllo dei dipendenti, l’uso degli strumenti aziendali, la protezione dei dati raccolti), si applicano simultaneamente e generano sanzioni autonome. Il primo piano è quello dello Statuto dei lavoratori, con l’articolo 4 e i suoi corollari sull’autorizzazione preventiva ai controlli a distanza. Il secondo piano è quello del GDPR, con le sanzioni amministrative del Garante. Il terzo piano è quello del D.Lgs. 231/2001 sulla responsabilità amministrativa degli enti, che entra in scena quando la violazione configura un reato presupposto.

Il punto nodale è che ciascuno di questi tre piani ha proprie autorità di controllo, propri criteri sanzionatori, propri tempi procedurali. Una stessa condotta (poniamo, l’accesso illecito alla mail di un dipendente con successivo licenziamento) può attivare in parallelo: un procedimento giuslavoristico avanti al Tribunale del Lavoro (con costi, durata pluriennale, esito potenzialmente di reintegrazione); un procedimento amministrativo davanti al Garante (con sanzione pecuniaria fino al 4% del fatturato); un procedimento penale davanti al Pubblico Ministero (con potenziale responsabilità individuale dell’amministratore ex art. 616 c.p.); un procedimento di responsabilità amministrativa ex D.Lgs. 231 davanti al giudice penale (con sanzione pecuniaria autonoma in capo alla società). Ciascuno di questi procedimenti procede in parallelo, ciascuno produce un esito autonomo, ciascuno produce un costo separato. È il “rischio cumulato” che, in una valutazione preventiva, va sempre mappato per intero.

Una PMI italiana di medie dimensioni che si trovi in questa situazione, su una singola posizione di dipendente, può sommare nel giro di due o tre anni: contenzioso giuslavoristico (120-180.000 euro tra retribuzioni, contributi, risarcimento, legali), sanzione Garante (40-100.000 euro), eventuale responsabilità 231 della società (sanzione pecuniaria da una a mille quote, ciascuna quota da 258 a 1.549 euro a seconda della gravità, per un valore complessivo che può facilmente superare i 50.000 euro), spese legali della difesa penale dell’amministratore (10-30.000 euro), eventuale risarcimento del danno reputazionale a soggetti terzi che si dovessero costituire parte civile. Si supera senza fatica la soglia dei 300-400.000 euro complessivi. Su un dipendente. E la causa scatenante, in molti casi, è un singolo accesso alla mail fatto in buona fede per controllare se quel dipendente stava davvero cercando lavoro altrove.

C’è un secondo elemento del rischio cumulato che riguarda il piano fiscale e che è il principale punto di intersezione con l’attività ordinaria di BC Formula. Una sanzione del Garante non è un costo deducibile dal reddito d’impresa, perché il TUIR e la giurisprudenza tributaria consolidata escludono dalla deducibilità le sanzioni di natura punitiva-afflittiva. Significa che, oltre al costo della sanzione, c’è anche il mancato beneficio fiscale: una sanzione di 80.000 euro non riduce l’imponibile di 80.000 euro, ma rimane un costo pieno fuori conto. Il calcolo, per un’azienda con aliquota effettiva del 24% IRES più 3,9% IRAP, è ulteriore: la sanzione di 80.000 euro “vale” in realtà oltre 100.000 euro di erosione del margine netto, perché la stessa somma, se fosse stata un costo deducibile (poniamo, una consulenza preventiva), avrebbe generato un risparmio fiscale che la sanzione non genera. È un dettaglio che pochi consulenti privacy mettono nei loro report, ma che cambia il calcolo costo-beneficio della prevenzione in modo netto.

Il terzo elemento del rischio cumulato è la responsabilità personale dell’amministratore. La sanzione amministrativa colpisce la società, ma la sanzione genera un danno patrimoniale che l’amministratore può essere chiamato a ripianare. L’art. 2392 del codice civile prevede la responsabilità degli amministratori verso la società per i danni derivanti dall’inosservanza dei doveri imposti dalla legge e dallo statuto. La giurisprudenza ha più volte ritenuto che la mancata adozione di adeguati assetti organizzativi (richiesta esplicitamente dall’art. 2086 c.c. dopo la riforma del Codice della crisi) configura un inadempimento degli amministratori che genera responsabilità nei confronti della società. Una società che subisce una sanzione Garante di 80.000 euro può, attraverso un nuovo amministratore, un curatore in caso di crisi, o per iniziativa di un socio di minoranza, agire contro l’ex amministratore per il recupero del danno. È un rischio che, su un orizzonte di alcuni anni e in caso di passaggi generazionali o cessioni di quote, diventa concreto.

Il quarto elemento è il valore d’impresa. Nelle operazioni di M&A, di cessione di partecipazioni, di ingresso di nuovi soci, la due diligence include sempre più sistematicamente la verifica della compliance privacy. Un’azienda che presenta procedure privacy carenti, un registro dei trattamenti non aggiornato, informative non conformi, o (peggio) un provvedimento pendente o concluso del Garante, viene valutata meno o si vede inserire nel contratto clausole di indennizzo (escrow) per coprire il rischio futuro. È un costo silenzioso che si materializza quando l’imprenditore decide di vendere o di aprire il capitale, e che spesso scopre solo in quella fase. Le PMI italiane con buona compliance privacy si vendono meglio. È un fatto economico, non un’opinione.

L’integrazione di questi quattro elementi (rischio giuslavoristico, rischio amministrativo Garante, rischio 231 e rischio amministratore, rischio fiscale e rischio sul valore d’impresa) è esattamente ciò che nessun consulente isolato può offrire. Il giuslavorista guarda solo al contenzioso col dipendente. Il consulente privacy guarda solo al registro dei trattamenti e alle informative. Il commercialista guarda solo alla deducibilità e all’impatto sull’esercizio. Il legale societario guarda solo alla responsabilità dell’amministratore. Nessuno di loro mette i quattro piani in un unico quadro. E nessuno di loro propone una postura difensiva complessiva. È questo lo spazio in cui BC Formula opera come advisor strategico: non come fornitore di compliance, ma come traduttore del rischio privacy in linguaggio business per chi prende decisioni di investimento, organizzazione e governance.

Le 5 zone di esposizione più frequenti nelle PMI italiane (e perché il commercialista da solo non basta)

Dopo aver analizzato i casi specifici, è utile fare una mappa delle aree in cui le PMI italiane si espongono più frequentemente. Sono cinque zone ricorrenti, che emergono con regolarità nei provvedimenti del Garante degli ultimi due anni e che corrispondono ai punti deboli classici dell’organizzazione aziendale media italiana. Ciascuna di queste zone va trattata in modo specifico, e ciascuna richiede competenze che il commercialista, da solo, non può coprire. Non perché il commercialista non sia bravo: perché il tema è fuori dal suo perimetro tipico, e la confidenza con cui si esprime su questi punti dovrebbe essere proporzionale alla sua specializzazione effettiva sulla materia, non alla fiducia che gli accorda l’imprenditore.

La prima zona di esposizione è quella delle informative privacy ai dipendenti, in particolare quelle consegnate al momento dell’assunzione e mai più aggiornate negli anni successivi. Una informativa fatta nel 2018 o nel 2019, quando il GDPR era entrato in vigore da poco, oggi è probabilmente fuori standard. Le ragioni sono molteplici. Le basi giuridiche citate sono spesso sbagliate (il consenso al posto delle basi corrette, come Montagner ha ribadito con il provvedimento Garante del 2025). I tempi di conservazione sono indicati in modo generico o impreciso. Le categorie di destinatari dei dati non sono aggiornate (mancano spesso i fornitori cloud, i provider HR esterni, i sistemi di paghe in outsourcing). I diritti dell’interessato sono elencati ma non sempre con il livello di dettaglio richiesto dalla giurisprudenza più recente. Una verifica seria delle informative è il primo intervento da fare in qualunque PMI, e raramente costa più di qualche giornata di consulenza qualificata.

La seconda zona è quella della policy sull’uso degli strumenti aziendali. Questa è la “regola di ingaggio” tra azienda e dipendente sull’uso di mail, computer, telefoni, dispositivi mobili, sistemi di messaggistica. Senza policy, come abbiamo visto, il dipendente ha legittima aspettativa di confidenzialità totale: significa che qualunque accesso del datore, anche se motivato, è potenzialmente illecito. Con una policy fatta bene, l’azienda può effettuare controlli mirati nel rispetto delle condizioni viste nei casi precedenti. Una policy ben fatta non è un documento di tre pagine generico scaricato da internet. È un documento di otto-dodici pagine che dettaglia le regole di utilizzo per ciascun tipo di strumento, prevede le ipotesi di controllo, indica chi può autorizzare il controllo e con quali presupposti, regola le ipotesi di cessazione del rapporto e di assenza prolungata, fissa le responsabilità individuali del dipendente che la sottoscrive. La policy va firmata da ogni dipendente, va archiviata insieme al contratto di assunzione, va aggiornata almeno ogni due anni.

La terza zona è quella della videosorveglianza, che abbiamo trattato in dettaglio nel caso 3. Il punto frequente di esposizione, oltre ai requisiti GDPR specifici, è la convivenza tra ambienti aziendali e ambienti aperti al pubblico (negozi, punti vendita, sale d’attesa, aree clienti). Quando in uno stesso ambiente convivono dipendenti e clienti, l’informativa di secondo livello deve essere accessibile a entrambe le categorie, e la cartellonistica di primo livello deve essere posizionata in modo tale che chiunque entri possa vederla prima di essere ripreso. La gestione del periodo di conservazione, in questi casi, va calibrata sulla finalità prevalente. Un negozio che vende elettronica o gioielli può motivare un periodo di conservazione più lungo per finalità di sicurezza, ma deve farlo per iscritto in un documento privacy che, in caso di ispezione, dimostra l’esercizio dell’accountability.

La quarta zona è quella della retention dei dati. Quanto tempo si possono tenere i dati di un dipendente dopo la cessazione del rapporto? Quanto si possono tenere i CV dei candidati che non sono stati assunti? Quanto le registrazioni di videosorveglianza? Quanto i log degli accessi ai sistemi? Quanto le mail archiviate? La regola generale, ribadita da Montagner nel webinar, è che ogni periodo di conservazione deve essere motivato e tracciato in una policy specifica (la “data retention policy”). Per i dati dei dipendenti, il riferimento è normalmente il periodo di prescrizione applicabile al rapporto: decennale per i contenziosi ordinari, quinquennale per le pretese più brevi (come quelle retributive). Per i CV dei candidati, lo standard del Garante è 24 mesi salvo motivazione contraria. Per la videosorveglianza abbiamo visto i limiti. Per i log dei sistemi informatici, il principio è quello della finalità: il tempo di conservazione deve essere proporzionato alla finalità di sicurezza dichiarata. Senza una policy esplicita, il default è “non conservare oltre il necessario”, che in caso di ispezione si traduce in una contestazione di violazione del principio di limitazione della conservazione.

La quinta zona è quella della formazione del personale e della tracciabilità di chi accede ai dati. L’articolo 29 del GDPR prevede che chiunque tratti dati personali per conto del titolare debba aver ricevuto istruzioni precise e formazione adeguata. Significa che ogni dipendente che, nello svolgimento delle sue mansioni, accede a dati personali (di clienti, di colleghi, di fornitori) deve aver ricevuto un’istruzione scritta su quali dati può trattare, per quali finalità, con quali limiti. In molte PMI italiane questa istruzione non esiste o è uno scarabocchio firmato in fretta in fase di assunzione. Quando arriva un’ispezione del Garante, la mancata istruzione del personale e la mancata segregazione degli accessi (cioè il fatto che chiunque in azienda possa vedere qualunque dato) è uno dei rilievi più frequenti e più costosi. La rimediazione richiede tempo: serve mappare le mansioni, definire i ruoli, scrivere le istruzioni, formare il personale, tracciare l’avvenuta formazione, ripetere la formazione periodicamente.

Perché il commercialista non basta su queste cinque zone? Non per una questione di competenza generale, ma per una questione di perimetro. Il commercialista è il primo consulente che l’imprenditore consulta, e su molti aspetti gestionali fa bene a essere il regista. Ma la materia privacy, soprattutto nel suo intreccio con il diritto del lavoro e con il rischio amministratore, richiede una specializzazione mirata. Lo stesso vale per l’avvocato giuslavorista, che spesso vede solo il contenzioso individuale e non il rischio sanzionatorio amministrativo. Lo stesso vale per il consulente del lavoro, che lavora su buste paga e adempimenti, non su valutazioni d’impatto privacy. La domanda corretta non è “il mio commercialista mi tiene tranquillo”: è “chi è in azienda o vicino all’azienda che ha visione integrata sui cinque punti sopra e li mette in un unico piano di gestione del rischio”. Se la risposta non è chiara, il piano non c’è, e il rischio è governato da nessuno.

Questo è esattamente l’angolo su cui BC Formula opera. Non sostituiamo il commercialista, l’avvocato o il consulente del lavoro: integriamo le loro competenze in una vista strategica che lega privacy, fiscale, societario e tutela patrimoniale. Quando un imprenditore arriva da noi con un dubbio sulla videosorveglianza o sull’accesso alla mail di un ex collaboratore, la conversazione non si chiude con un parere singolo: si apre su una mappatura più ampia delle esposizioni dell’azienda, sulla valutazione delle ricadute sull’amministratore, sull’impatto fiscale delle decisioni che si stanno prendendo. È il livello di confronto che, secondo i feedback dei nostri clienti, manca completamente nel rapporto tradizionale con il commercialista o con l’avvocato di fiducia, perché quel livello non rientra nel mandato professionale standard. Per il dettaglio di come l’integrazione fiscale-privacy-societaria si traduce in pratica, può essere utile l’approfondimento parallelo sulla verifica fiscale preventiva che applica la stessa logica al rischio tributario, e l’articolo operativo gemello trattamento dati dei dipendenti — guida operativa che illustra passo per passo la procedura corretta su informative, email e videosorveglianza.

Stress test privacy: come simulare un’ispezione del Garante prima che arrivi davvero

Una delle pratiche più efficaci che si possa adottare in azienda, e che pochissime PMI italiane hanno mai svolto, è la simulazione di un’ispezione del Garante. È un esercizio interno (o, meglio, con il supporto di consulenti esterni specializzati) che riproduce passo per passo le richieste tipiche di un’ispezione reale e misura il livello di prontezza dell’azienda nel rispondere. Lo stress test privacy funziona come uno stress test bancario: serve a fare emergere i punti deboli prima che diventino contestazioni reali, e a costruire un piano di rimediazione ordinato. È un approccio mutuato dal mondo della governance bancaria e finanziaria che, nei prossimi anni, diventerà standard anche nelle PMI italiane di medie dimensioni, soprattutto in quelle che operano in settori vigilati o che hanno aspirazioni di crescita esterna.

Lo stress test privacy si articola tipicamente in tre fasi. La prima fase è la verifica documentale. Si raccolgono tutti i documenti che, in caso di ispezione, sarebbero richiesti dall’autorità: il registro dei trattamenti aggiornato all’ultima versione, le informative consegnate ai dipendenti, le policy aziendali sull’uso degli strumenti, le procedure interne di gestione delle richieste dell’interessato, le valutazioni d’impatto svolte sui trattamenti a rischio elevato, la nomina del responsabile della protezione dei dati (DPO) se obbligatorio, le nomine dei responsabili esterni del trattamento (con i relativi contratti ex art. 28 GDPR), le clausole standard per i trasferimenti di dati extra UE. Per ciascun documento si valutano tre cose: esistenza, attualità, conformità tecnica. Un documento esistente ma vecchio di tre anni, in caso di ispezione, vale meno di un documento ben fatto e attuale. Questa fase serve a costruire la “mappa documentale” dell’azienda, ed è la stessa mappa che un ispettore Garante richiederebbe nelle prime ore di ispezione.

La seconda fase è la verifica operativa. Si esce dal piano dei documenti e si entra nel piano delle pratiche. Si verifica se le procedure documentate corrispondono a quello che davvero accade in azienda. Esempio: la policy dice che le password vengono cambiate ogni 90 giorni, ma i log del sistema mostrano che nessuno le ha cambiate negli ultimi 18 mesi. La policy dice che le mail degli ex dipendenti vengono disattivate entro 7 giorni dalla cessazione, ma controllando il server si scopre che ci sono ancora 12 account attivi di persone uscite due o tre anni fa. Il registro dei trattamenti elenca tre fornitori cloud, ma in azienda si usano in realtà sette piattaforme diverse senza che siano state nominate come responsabili esterni. È in questa fase che emergono gli scostamenti più pericolosi, perché sono quelli che un ispettore identifica facilmente con una semplice ispezione fisica sui sistemi.

La terza fase è la verifica delle persone. Si fanno interviste mirate a un campione di dipendenti, di responsabili HR, di responsabili IT. Si chiede loro, in modo non aggressivo ma puntuale: come gestiresti la richiesta di un ex dipendente che vuole accedere ai suoi dati personali? Come autorizzeresti un controllo sulla mail di un collaboratore sospettato di passare informazioni ai concorrenti? Quanto tempo conserviamo le registrazioni di videosorveglianza? Cosa faresti se ricevessi una telefonata da una persona che si presenta come ispettore del Garante? Le risposte mostrano il livello di consapevolezza interna. Se le persone non sanno rispondere, significa che la formazione non è stata fatta o non è stata efficace, e in caso di ispezione vera ognuna di quelle risposte sbagliate diventa potenziale contestazione di violazione dell’obbligo di formazione del personale.

Lo stress test si chiude con un report che assegna a ciascun rilievo una classificazione di gravità (rosso, giallo, verde) e una priorità di rimediazione. I rilievi rossi sono quelli che, in caso di ispezione, comporterebbero contestazione immediata: vanno chiusi in giorni o settimane. I rilievi gialli sono quelli che configurano un’esposizione potenziale ma non immediata: vanno pianificati in un orizzonte di 3-6 mesi. I rilievi verdi sono area di miglioramento ma non di esposizione: si gestiscono in un orizzonte di 12 mesi o nelle revisioni annuali. Il report di stress test diventa anche un documento di accountability che, in caso di ispezione vera, può essere mostrato all’autorità come evidenza dell’impegno organizzativo dell’azienda a controllare e migliorare i propri processi. È un punto che pesa nella valutazione della sanzione: un’azienda che si autovaluta e rimedia viene trattata diversamente da un’azienda che non ha mai fatto niente.

Quanto costa un stress test privacy serio per una PMI italiana di medie dimensioni? Le tariffe variano in base alla complessità dell’azienda, al numero di sedi, al numero di dipendenti, al settore. In media, per una PMI con 30-100 dipendenti, lo stress test completo si colloca in una fascia tra 8.000 e 25.000 euro. Per un’azienda con 100-300 dipendenti si sale tra 25.000 e 60.000 euro. Sono cifre significative ma vanno confrontate con il rischio cumulato che abbiamo descritto nei paragrafi precedenti. Una singola contestazione del Garante, su una singola posizione, può costare 5-10 volte tanto. E lo stress test fatto bene non si paga una volta: ripaga anno dopo anno, perché la rimediazione costruita su quella base diventa un asset organizzativo permanente.

Per le aziende che non hanno mai svolto un esercizio di questo tipo, BC Formula propone un’attività più leggera ma comunque efficace come primo step: un audit privacy preventivo, mirato sulle cinque zone di esposizione descritte sopra. È un esercizio che si svolge in 2-4 giornate e produce una mappatura iniziale del rischio aziendale con la stessa logica dello stress test, ma su un perimetro più ristretto. Per le aziende che hanno già fatto un audit e vogliono salire di livello, lo stress test completo è il passo successivo. La scelta dipende dalla dimensione dell’azienda, dal settore e dal grado di esposizione percepita. Quello che non cambia, in entrambi i casi, è il principio guida: il momento giusto per fare la verifica è prima che arrivi l’ispezione, non dopo. Dopo, qualunque cosa si faccia, è una rimediazione tardiva che pesa diversamente nel giudizio dell’autorità.

C’è poi una variante particolare dello stress test, mutuata dal mondo dei sistemi di gestione integrati, che si chiama “table-top exercise”. È una simulazione collettiva di scenario in cui i decisori aziendali (amministratore, responsabile HR, responsabile IT, DPO, eventualmente il consulente legale) si siedono insieme e ricevono in tempo reale uno scenario fittizio: “Sono le 10 del mattino. Tre persone in giacca si sono presentate alla reception dicendo di essere ispettori del Garante. Hanno consegnato un verbale di accesso e chiedono di iniziare immediatamente l’ispezione, partendo dal registro dei trattamenti e dai server. Cosa fa l’azienda nei prossimi 60 minuti?”. Il table-top exercise non costa quasi nulla, dura mezza giornata, e fa emergere immediatamente le carenze procedurali (chi ha l’autorità di interfacciarsi con gli ispettori, chi chiama l’avvocato, chi può accedere ai server, chi gestisce la comunicazione interna). È un esercizio che ogni azienda con più di 20 dipendenti dovrebbe svolgere almeno una volta l’anno, e che invece nella stragrande maggioranza dei casi non è mai stato fatto.

L’approccio integrato che proponiamo in BC Formula combina queste tre attività in modo modulare: audit privacy preventivo per partire, stress test per andare in profondità, table-top exercise per testare la prontezza operativa. La progressione costruisce, in 6-12 mesi, un livello di postura difensiva che mette l’azienda in una posizione completamente diversa rispetto al punto di partenza. E che, soprattutto, sposta il rischio privacy fuori dalla zona di “rischio non gestito” verso la zona di “rischio mappato, monitorato e governato”. È la stessa logica che si applica al rischio fiscale (con strumenti come la verifica fiscale preventiva) e al rischio di crisi (con gli adeguati assetti organizzativi previsti dal Codice della crisi). Sono tutti pezzi dello stesso impianto strategico: trasformare il rischio in materia gestionale, sottrarlo all’imprevedibilità, riportarlo dentro il controllo dell’imprenditore.

Cosa cambia se gestisci una holding, un gruppo di imprese o una struttura multi-società

C’è una situazione molto comune nel tessuto economico italiano che merita un approfondimento dedicato: la PMI organizzata come gruppo, con una capogruppo (spesso una holding) e una o più società operative. La domanda che ogni imprenditore in questa configurazione dovrebbe porsi è semplice: il rischio privacy è isolato per ciascuna società o si propaga lungo la catena? La risposta breve è che dipende dalla qualificazione dei rapporti di trattamento tra le entità del gruppo. La risposta lunga è che, in moltissimi casi, il rischio si propaga molto più di quanto l’imprenditore creda.

Il primo punto da chiarire riguarda la qualificazione delle società del gruppo rispetto ai dati dei dipendenti. Se la holding centralizza alcuni servizi (paghe, HR, IT, controllo di gestione) per conto delle operative, deve essere formalmente nominata come responsabile esterno del trattamento o come contitolare, a seconda della natura del rapporto. Senza nomina formale tracciata in un contratto ex art. 28 GDPR, il trasferimento dei dati dalla operativa alla holding è una comunicazione a terzo non autorizzata, sanzionabile autonomamente. È un errore frequentissimo: molti gruppi italiani lavorano con flussi di dati intracompany che, dal punto di vista del GDPR, sono completamente irregolari. La rimediazione richiede la mappatura di tutti i flussi, l’identificazione delle finalità, la stipula dei contratti tra titolare e responsabile, l’aggiornamento delle informative ai dipendenti che devono indicare anche la holding tra i destinatari.

Il secondo punto riguarda la responsabilità in caso di sanzione. Quando il Garante sanziona la società operativa per una violazione, l’eventuale insufficienza patrimoniale della stessa operativa non si trasferisce automaticamente alla capogruppo, ma può attivare meccanismi di responsabilità indiretta: azione del curatore (se l’operativa va in crisi), responsabilità degli amministratori della holding che hanno indirizzato le scelte operative, responsabilità da direzione e coordinamento ex art. 2497 c.c. È il motivo per cui una holding ben strutturata, in caso di sanzione su un’operativa, può trovarsi a sua volta esposta a contestazioni che vanno oltre il perimetro societario diretto.

Il terzo punto riguarda l’opportunità protettiva delle holding. Una struttura societaria correttamente impostata, con separazione patrimoniale tra rischio operativo e patrimonio strategico, riduce significativamente l’esposizione patrimoniale dell’imprenditore in caso di sanzione consistente. È un tema che BC Formula tratta da anni nei propri webinar e nelle proprie consulenze sulla tutela del patrimonio: la holding non serve solo a ottimizzare la fiscalità o a preparare il passaggio generazionale, serve anche a isolare il rischio sanzionatorio dell’attività operativa rispetto al patrimonio personale dell’imprenditore e ai beni strategici detenuti tramite la struttura. Il combinato disposto holding più adeguati assetti organizzativi più audit privacy preventivo è oggi uno degli strumenti più efficaci di tutela patrimoniale dell’imprenditore di medie dimensioni, e costituisce uno dei pilastri dell’approccio integrato che proponiamo.

Il quarto punto riguarda i gruppi con presenza estera. Quando una società italiana del gruppo trasferisce dati di dipendenti a una società del gruppo localizzata fuori dall’Unione Europea (per esempio per servizi HR centralizzati in una filiale americana, asiatica, o anche solo in Regno Unito post-Brexit), si attiva la disciplina dei trasferimenti extra UE prevista dagli articoli 44 e seguenti del GDPR. Il trasferimento è lecito solo se sussistono determinati presupposti: decisione di adeguatezza della Commissione Europea (per gli Stati con cui esiste), clausole contrattuali standard (le SCC aggiornate al 2021), norme vincolanti d’impresa (BCR), eccezioni dell’art. 49 in casi specifici. La violazione delle regole sui trasferimenti rientra nella fascia sanzionatoria più grave (fino al 4% del fatturato). I gruppi italiani con presenza estera che gestiscono i dati HR in modo centralizzato senza aver implementato gli strumenti corretti sono in una posizione di rischio elevato. La rimediazione richiede competenze di diritto comparato e di privacy internazionale che non rientrano nel mandato ordinario del consulente domestico.

Come si svolge concretamente un’ispezione del Garante: cosa aspettarsi nelle prime 48 ore

Una parte significativa dell’ansia degli imprenditori sul tema sanzioni privacy nasce dal non sapere cosa accade concretamente in caso di ispezione. È un’ignoranza comprensibile, perché le ispezioni del Garante non sono pubblicizzate e i provvedimenti sanzionatori pubblicati sul sito dell’autorità descrivono solo il risultato finale, non il processo. Vale la pena ripercorrere lo schema tipico di un’ispezione, perché capire come si svolge cambia completamente la prospettiva sulla preparazione difensiva necessaria.

L’ispezione del Garante può avvenire in tre modalità principali. La prima è l’ispezione ordinaria programmata, che il Garante svolge nell’ambito del proprio piano ispettivo annuale e che riguarda settori scelti sulla base di criteri di rischio (sanità, banking, telco, grandi datori di lavoro). Per la maggior parte delle PMI italiane questa modalità è meno frequente. La seconda modalità è l’ispezione su reclamo, attivata quando un soggetto interessato (dipendente, ex dipendente, cliente, fornitore) presenta una segnalazione formale all’autorità. È la modalità più frequente nel rapporto di lavoro: bastano un licenziamento contestato, una richiesta di accesso non soddisfatta, un sospetto di videosorveglianza non conforme per attivare il procedimento. La terza modalità è l’ispezione su segnalazione di altre autorità (Guardia di Finanza, Ispettorato del Lavoro, Polizia Giudiziaria), che è esattamente la modalità descritta da Montagner nel caso del datore di lavoro che ha installato telecamere senza procedura privacy.

Nella maggior parte dei casi l’ispezione si apre con una richiesta formale di documentazione: il Garante invia all’azienda una raccomandata o una pec con la quale chiede di esibire entro un termine (tipicamente 20-30 giorni) una serie di documenti: registro dei trattamenti, informative, nomine, valutazioni d’impatto, policy aziendali, contratti con responsabili esterni, evidenze dei trasferimenti di dati, log dei sistemi. È la modalità più “garbata” e dà all’azienda il tempo di organizzare la risposta. La modalità più aggressiva è l’ispezione in loco senza preavviso: gli ispettori si presentano fisicamente in sede, esibiscono il provvedimento di accesso, e iniziano l’attività ispettiva immediatamente. Quando arriva la Guardia di Finanza su delega del Garante, la modalità è ancora più immediata, perché la GdF ha poteri di acquisizione documentale diretta e può sequestrare server, supporti informatici e archivi cartacei.

Nelle prime ore di ispezione le richieste tipiche sono prevedibili e standard. Gli ispettori chiedono di vedere il registro dei trattamenti completo e aggiornato. Chiedono l’organigramma privacy aziendale, con identificazione del titolare, del responsabile della protezione dei dati (se presente), dei responsabili esterni del trattamento, degli incaricati. Chiedono le informative ai dipendenti, alle quali allegano la verifica della prova di consegna. Chiedono le policy aziendali sull’uso degli strumenti aziendali. Chiedono evidenza della formazione del personale. Chiedono accesso ai sistemi informatici per verificare la conformità tecnica (cifratura, backup, accessi tracciati, retention automatica). Chiedono evidenza delle valutazioni d’impatto svolte sui trattamenti a rischio elevato. La prima impressione che l’azienda dà nelle prime ore pesa moltissimo sulla determinazione della sanzione: un’azienda che esibisce documentazione ordinata, aggiornata, completa, dimostra di aver esercitato l’accountability; un’azienda che invece improvvisa, che cerca i documenti, che non sa rispondere alle domande operative, dimostra carenza organizzativa che il Garante tratta come aggravante.

Un punto poco noto agli imprenditori riguarda la possibilità di dialogare con l’autorità durante e dopo l’ispezione. Il GDPR e il regolamento procedurale del Garante prevedono il principio del contraddittorio: l’azienda può presentare memorie difensive, può chiedere audizioni, può proporre misure di rimediazione spontanea che, se ritenute adeguate, riducono la sanzione finale. È quello che in giurisprudenza si chiama “ravvedimento operoso privacy”: un’azienda che, riconosciuta la violazione, dimostra di aver immediatamente attivato un programma di rimediazione serio ottiene riduzioni sanzionatorie significative, in alcuni casi fino al 50% rispetto al valore base. Questa leva è efficace solo se l’azienda dispone già di consulenti capaci di costruire un piano di rimediazione credibile in tempi brevi: improvvisare al momento dell’ispezione non funziona, perché l’autorità riconosce la differenza tra una rimediazione strutturata e una rimediazione di facciata.

Una volta concluso il procedimento, il Garante emette il provvedimento finale che può contenere: archiviazione (nessuna violazione accertata), ammonimento (violazione lieve, nessuna sanzione pecuniaria ma obbligo di rimediazione), sanzione pecuniaria, eventuale prescrizione di misure correttive (per esempio l’obbligo di modificare specifici trattamenti entro un termine). Contro il provvedimento sanzionatorio del Garante è ammessa opposizione davanti al Tribunale ordinario entro 30 giorni dalla notifica. Il giudizio si svolge in unico grado di merito e si chiude con sentenza appellabile in Cassazione per soli motivi di legittimità. I tempi del contenzioso sono pluriennali. Vincere in opposizione è possibile, ma richiede argomentazioni tecniche solide e prove documentali che, in molti casi, sono difficili da ricostruire ex post se la documentazione interna era carente al momento dell’ispezione.

C’è un’ultima cosa che vale la pena dire sulla fase ispettiva ed è il tema della comunicazione interna ed esterna. Quando arriva un’ispezione, l’azienda deve gestire contemporaneamente: la relazione con gli ispettori, la mobilitazione interna del team (HR, IT, legale, amministratore), la comunicazione con i dipendenti (che spesso si accorgono dell’ispezione e generano voci e ansia), eventualmente la comunicazione con clienti e fornitori coinvolti nei flussi di dati ispezionati, in alcuni casi la comunicazione mediatica se l’ispezione diventa pubblica. La gestione di tutti questi flussi richiede un coordinamento che, senza un piano preesistente, è quasi sempre caotico. È un altro motivo per cui il “table-top exercise” descritto nel paragrafo precedente vale tanto: serve a costruire prima i flussi di comunicazione che, in caso reale, fanno la differenza.

Perché il momento storico aumenta il rischio: tre tendenze regolatorie che si stanno consolidando

Per chiudere il quadro strategico è utile guardare alle tendenze regolatorie in atto, che stanno alzando progressivamente l’asticella della compliance richiesta alle PMI italiane in materia privacy. Sono tre dinamiche che, nei prossimi 24-36 mesi, renderanno il rischio sanzionatorio significativamente più alto rispetto al livello attuale. Conoscere queste tendenze permette di pianificare gli interventi in anticipo, prima che la pressione regolatoria si materializzi in modo aggressivo.

La prima tendenza è l’aumento dell’attività ispettiva ordinaria del Garante. Il Garante italiano ha annunciato nei propri piani ispettivi annuali una progressiva intensificazione dei controlli, in particolare sui settori dove la sensibilità dei dati trattati è alta (sanità, scuola, finanza, telco) e su quelli dove emergono segnalazioni ripetute (rapporto di lavoro, marketing diretto, videosorveglianza pubblica e privata). L’autorità si sta dotando di personale aggiuntivo e di strumenti tecnici di analisi automatica delle conformità che permetteranno controlli più estesi e più rapidi. In parallelo si sta intensificando la cooperazione con altre autorità (GdF, Ispettorato del Lavoro, ARERA, AGCOM) che attivano segnalazioni incrociate. La probabilità statistica che una PMI italiana subisca un controllo privacy nei prossimi tre anni è in crescita.

La seconda tendenza è la maggiore severità della giurisprudenza italiana ed europea sui temi del controllo dei lavoratori. Le sentenze più recenti della Cassazione, della Corte di Giustizia UE e della Corte EDU stanno consolidando un orientamento che restringe progressivamente lo spazio dei controlli a distanza ammessi, anche per i controlli difensivi. Il principio del “fondato sospetto preesistente” è diventato uno standard probatorio molto stringente: non basta affermarlo, va dimostrato con documentazione contestuale. La Corte di Appello di Milano e il Tribunale di Roma, citati da Montagner, hanno aperto una linea giurisprudenziale che molti studi giuslavoristici considerano la nuova normalità: chi accede alla mail di un dipendente senza presupposti rigorosi, oggi, perde quasi sempre il contenzioso giuslavoristico. È una svolta importante rispetto agli orientamenti più permissivi di qualche anno fa.

La terza tendenza è l’integrazione regolatoria tra GDPR e nuove normative europee in materia di intelligenza artificiale e cybersecurity. Il Regolamento UE sull’intelligenza artificiale (AI Act, in piena fase di applicazione) introduce obblighi specifici per i datori di lavoro che utilizzano sistemi di AI per la selezione, la valutazione, la gestione dei dipendenti. La Direttiva NIS2 sulla cybersecurity introduce obblighi di sicurezza che si sovrappongono con quelli del GDPR e che, in caso di incidente di sicurezza, attivano sanzioni multiple. Il prossimo Regolamento sulla privacy delle comunicazioni elettroniche (ePrivacy) renderà più stringente la disciplina di metadati, cookie, tracker, sistemi di comunicazione aziendale. L’effetto cumulato è che le PMI italiane si troveranno presto a gestire un sistema di compliance più ampio e più interconnesso, con livelli sanzionatori complessivamente più alti e con autorità di controllo più numerose. L’imprenditore che oggi rinvia il tema privacy si troverà tra 24 mesi a dover affrontare un quadro regolatorio significativamente più complesso, con costi di adeguamento esponenzialmente superiori a quelli odierni.

In questo contesto la scelta strategica corretta non è “aspettare e vedere cosa succede”. È costruire da subito una postura difensiva che permetta di assorbire l’evoluzione regolatoria senza shock organizzativi. L’analogia con il tema fiscale è precisa: un’azienda che ha già implementato adeguati assetti organizzativi, controllo di gestione e governance interna sostiene molto meglio l’inasprimento dei controlli tributari rispetto a un’azienda che parte da zero al primo accertamento. Lo stesso vale per la privacy: chi parte oggi con audit, stress test, formazione del personale e revisione della documentazione costruisce un capitale organizzativo che riduce strutturalmente l’esposizione futura. Chi aspetta, paga il conto cumulativo quando l’ispezione arriva, e nel frattempo non beneficia degli effetti positivi sulla valutazione dell’azienda (in sede di due diligence, di accesso al credito, di rapporti con clienti enterprise che richiedono garanzie privacy ai propri fornitori).

Glossario delle sanzioni: i numeri e i concetti che ogni imprenditore deve conoscere

Una delle abilità che distingue l’imprenditore consapevole è la capacità di muoversi con confidenza nel lessico della materia di cui si occupa, anche quando non ha competenza tecnica specifica. In materia di sanzioni privacy l’imprenditore non deve diventare un giurista, ma deve sapere riconoscere e usare correttamente una decina di concetti chiave. Questo glossario mette in fila i termini più importanti, con definizioni operative pensate per chi gestisce un’azienda e non per chi scrive un manuale di diritto.

Sanzione fino al 2% del fatturato. È il tetto della prima fascia sanzionatoria GDPR, applicabile alle violazioni meno gravi (mancata tenuta del registro dei trattamenti, errori procedurali, mancata cooperazione con l’autorità). Il riferimento è il fatturato mondiale annuo dell’esercizio precedente. Si applica la cifra maggiore tra 10 milioni e il 2%: per quasi tutte le PMI italiane il valore di riferimento concreto è il 2%, perché il 2% di un fatturato medio è quasi sempre inferiore ai 10 milioni.

Sanzione fino al 4% del fatturato. È il tetto della seconda fascia sanzionatoria GDPR, applicabile alle violazioni più gravi: assenza di base giuridica, mancato rispetto dei principi fondamentali del trattamento (liceità, minimizzazione, limitazione della conservazione, integrità e riservatezza), mancato rispetto dei diritti dell’interessato, trasferimenti illeciti di dati. Anche qui si applica il maggiore tra 20 milioni e il 4%. Per una PMI italiana il riferimento è quasi sempre il 4%.

Base giuridica del trattamento. È il fondamento di liceità che il titolare deve avere per trattare i dati personali di una persona. Il GDPR prevede sei basi giuridiche all’art. 6: consenso, esecuzione di un contratto, obbligo legale, interesse vitale, interesse pubblico, legittimo interesse. Nel rapporto di lavoro, come ribadito da Montagner nel webinar, le basi corrette sono quasi sempre tre: esecuzione del contratto di lavoro (per le attività ordinarie come busta paga e comunicazioni), obbligo legale (per le finalità fiscali, previdenziali e assistenziali), legittimo interesse (per i controlli difensivi finalizzati a tutelare il patrimonio aziendale). Il consenso non è base valida tra dipendente e datore di lavoro perché manca la posizione paritetica richiesta dal GDPR.

Informativa privacy. È il documento con cui il titolare comunica all’interessato come tratta i suoi dati. Deve indicare titolare, finalità, basi giuridiche, categorie di dati trattati, destinatari, periodo di conservazione, diritti dell’interessato, modalità di esercizio dei diritti, eventuale presenza del DPO. Nel rapporto di lavoro l’informativa va consegnata all’atto dell’assunzione, va aggiornata in occasione di modifiche significative delle finalità o degli strumenti di trattamento, va archiviata con prova della consegna.

Articolo 4 dello Statuto dei lavoratori. Norma cardine del diritto del lavoro italiano che disciplina i controlli a distanza sull’attività dei lavoratori. Prevede che gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possano essere installati esclusivamente per esigenze organizzative produttive, sicurezza del lavoro, tutela del patrimonio aziendale, e previo accordo collettivo o autorizzazione dell’Ispettorato Territoriale del Lavoro. La sua violazione genera responsabilità penale (art. 38 dello Statuto) oltre che sanzione amministrativa.

Controllo difensivo. È il controllo che il datore di lavoro può effettuare sui sistemi e sugli strumenti aziendali nei confronti di uno specifico dipendente, quando ricorrono condizioni cumulative: fondato sospetto preesistente e documentato, finalità mirata, proporzionalità, minimizzazione dei dati raccolti, preesistenza di un’informativa e di una policy sull’uso degli strumenti. Il controllo difensivo conforme è ammesso dalla giurisprudenza recente (Cass. Sez. Lav. e Tribunale di Roma, sentenze 2024-2025); quello non conforme rende inutilizzabili i dati e nullo l’eventuale licenziamento basato su quei dati.

D.Lgs. 231/2001. Disciplina la responsabilità amministrativa degli enti per reati commessi nel loro interesse o vantaggio da persone che ricoprono posizioni apicali o che operano sotto la loro direzione. La violazione della corrispondenza (art. 616 c.p.), in determinate circostanze, può attivare la responsabilità 231 dell’azienda, con sanzioni pecuniarie autonome (calcolate in quote) e potenziali misure interdittive (sospensione di licenze, divieto di contrarre con la pubblica amministrazione). La presenza di un modello organizzativo 231 efficace può escludere o attenuare la responsabilità.

Responsabilità dell’amministratore. Disciplinata dall’art. 2392 c.c., prevede che gli amministratori rispondano verso la società dei danni derivanti dall’inosservanza dei doveri imposti dalla legge e dallo statuto. Dopo la riforma del Codice della crisi (art. 2086 c.c. modificato), tra questi doveri rientra l’obbligo di istituire adeguati assetti organizzativi, amministrativi e contabili. La mancata adozione di misure adeguate a prevenire violazioni privacy può configurare inadempimento, e quindi responsabilità verso la società per il danno (sanzione pagata, costi del contenzioso, danno reputazionale).

Provvedimento Garante 2025 sul consenso. Pronuncia del Garante per la protezione dei dati personali con cui è stato ribadito che il consenso non costituisce base giuridica valida per il trattamento dei dati dei dipendenti nel rapporto di lavoro, perché tra dipendente e datore non sussiste la posizione paritetica richiesta dal GDPR per la libera prestazione del consenso. Le aziende che ancora oggi indicano il consenso come base giuridica nelle informative ai dipendenti sono formalmente non conformi e tracciabili in sede ispettiva.

Retention dei dati. È il periodo per cui i dati personali possono essere conservati. Il GDPR prevede il principio di limitazione della conservazione: i dati vanno conservati solo per il tempo necessario alle finalità per cui sono raccolti. Nel rapporto di lavoro si fa riferimento ai periodi di prescrizione delle pretese che possono derivare dal rapporto (decennale ordinaria, quinquennale per pretese retributive). Per la videosorveglianza lo standard è 24 ore, prolungabile fino a 72 ore con motivazione, fino a 7 giorni in casi specifici, oltre con istanza al Garante. Per i CV dei candidati non assunti lo standard Garante è 24 mesi.

Accountability. Principio fondamentale del GDPR che impone al titolare non solo di rispettare le norme, ma di poter dimostrare di rispettarle. Si traduce concretamente in: tenuta del registro dei trattamenti, redazione delle informative, svolgimento delle valutazioni d’impatto sui trattamenti a rischio elevato, formazione del personale, tracciabilità delle decisioni privacy, motivazione scritta delle scelte fatte (per esempio i periodi di retention adottati). Un’azienda che documenta le proprie scelte privacy ottiene un trattamento sanzionatorio significativamente più favorevole rispetto a un’azienda che ha fatto solo gli adempimenti minimi senza motivarli.

DPO (Data Protection Officer). Responsabile della protezione dei dati, figura obbligatoria nei casi previsti dall’art. 37 GDPR (autorità pubbliche, trattamenti su larga scala di dati particolari o di posizionamento, monitoraggio sistematico su larga scala). Per le PMI italiane è obbligatoria nei settori sanitario, scolastico, banking, telecomunicazioni e in alcuni casi nel settore HR quando si trattano dati biometrici o si fa monitoraggio sistematico. Anche quando non è obbligatorio, può essere nominato volontariamente e in molti casi conviene, perché diventa il punto di contatto tracciabile per le autorità di controllo.

Valutazione d’impatto (DPIA). Analisi preventiva richiesta dall’art. 35 GDPR per i trattamenti che, per natura, contesto, finalità o tecnologie impiegate, possono presentare un rischio elevato per i diritti e le libertà degli interessati. Nel rapporto di lavoro è obbligatoria, ad esempio, per l’installazione di sistemi di videosorveglianza, per il trattamento sistematico di dati biometrici, per il monitoraggio sistematico dei dipendenti tramite strumenti tecnologici. L’assenza di DPIA su un trattamento che la richiedeva è di per sé una violazione sanzionabile.

Domicilio informatico. Concetto giurisprudenziale che assimila la casella di posta elettronica nominativa al domicilio fisico ai fini della tutela della segretezza della corrispondenza. Significa che l’accesso non autorizzato alla casella di un dipendente o ex dipendente configura una violazione potenzialmente penale (art. 615-ter c.p. per l’accesso abusivo a sistema informatico, art. 616 c.p. per la violazione di corrispondenza), oltre che amministrativa (sanzione Garante) e civile (risarcimento del danno).

Accesso illecito. Accesso effettuato senza i presupposti legali (fondato sospetto preesistente, informativa preesistente, policy preesistente, finalità mirata, proporzionalità). Rende i dati raccolti inutilizzabili a fini disciplinari, nullo l’eventuale licenziamento basato su quei dati, espone l’azienda a sanzione Garante e l’amministratore a responsabilità penale individuale.

FAQ: 7 domande sulle sanzioni GDPR datore di lavoro

1. Quanto può costare al massimo una sanzione GDPR per un datore di lavoro?

Il tetto edittale del GDPR per le violazioni più gravi è il maggiore tra 20 milioni di euro e il 4% del fatturato mondiale annuo dell’esercizio precedente. Per una PMI italiana significa che una violazione su dati dei dipendenti può azzerare anni di margine. Non è un’astrazione: il Garante applica il tetto come riferimento reale, e parametra la sanzione sul fatturato concreto della società, non sull’utile né sul reddito d’impresa.

2. Posso accedere alla mail aziendale di un ex dipendente per rispondere a clienti?

No. La casella personale è considerata domicilio informatico. Dopo la cessazione del rapporto va disattivata, con risposta automatica che informa i terzi e fornisce un indirizzo alternativo. Il redirect automatico delle mail in ingresso è anch’esso considerato illecito dal Garante. Una compagnia assicurativa è stata sanzionata 50.000 euro per aver gestito male questa procedura su un singolo ex dipendente.

3. Le telecamere installate con permesso dell’Ispettorato del Lavoro sono automaticamente a norma GDPR?

No, e questo è uno degli errori più costosi. L’autorizzazione giuslavoristica copre solo l’articolo 4 dello Statuto dei lavoratori. Resta separato l’obbligo privacy: informativa di primo e secondo livello, valutazione d’impatto se necessaria, periodo di conservazione motivato, principio di minimizzazione. Un’azienda che ha solo il via libera dell’Ispettorato è esposta a sanzione Garante.

4. Quanto tempo posso conservare le immagini di videosorveglianza?

Lo standard è 24 ore, prolungabile fino a 72 ore con motivazione. Fino a 7 giorni è ammesso per rischiosità dell’attività, chiusure festive o sicurezza urbana, sempre con motivazione scritta in policy. Oltre 7 giorni serve istanza al Garante. Periodi più lunghi sono stati concessi a sanità (20 giorni) e alimentare (30-45 giorni) su motivazione argomentata. Senza motivazione tracciabile il periodo viene contestato.

5. Se licenzio un dipendente sulla base di mail trovate nella sua casella, il licenziamento è valido?

Solo se l’accesso è stato lecito: fondato sospetto preventivo, controllo difensivo mirato, informativa preesistente, policy sull’uso degli strumenti aziendali. Se l’accesso è stato illecito i dati sono inutilizzabili ai fini disciplinari. Corte d’Appello di Milano e Tribunale di Roma hanno dichiarato nulli licenziamenti basati su accessi illeciti, esponendo l’azienda anche a risarcimento del danno e a reintegrazione.

6. Il consenso firmato dal dipendente nel modulo di assunzione mi protegge?

No. Con un provvedimento del 2025 il Garante ha ribadito che il consenso non è base giuridica valida nel rapporto di lavoro: tra dipendente e datore non c’è posizione paritetica, quindi il consenso non può dirsi liberamente prestato. Le basi corrette sono esecuzione del contratto, obbligo legale e legittimo interesse. Un’informativa che usa il consenso è formalmente non conforme e tracciabile in sede ispettiva.

7. La violazione GDPR può ricadere sull’amministratore personalmente?

Sì. Una sanzione amministrativa rilevante è un danno patrimoniale per la società: l’amministratore può essere chiamato a risponderne per violazione dell’obbligo di adeguati assetti organizzativi. Si aggiunge la responsabilità ex D.Lgs. 231 quando la violazione configura reato presupposto. Il rischio non resta sulla persona giuridica: scivola sull’amministratore e arriva al patrimonio personale, oltre a complicare gli scenari di crisi d’impresa e governance.

Checklist anti-rischio: i 5 audit da fare nelle prossime 4 settimane

A questo punto del percorso, dopo aver visto i casi reali, il rischio cumulato, le zone di esposizione e gli strumenti di stress test, è utile chiudere con una checklist operativa che traduce tutto in cinque audit concreti. Sono cinque verifiche che ogni imprenditore può attivare nelle prossime quattro settimane, in autonomia o con il supporto di consulenti specializzati. L’obiettivo non è risolvere tutto subito, ma sapere dove sei oggi. Una mappa chiara delle esposizioni è già metà del lavoro: una volta che sai dove sono i buchi, sai anche cosa chiedere ai tuoi consulenti e quali priorità darti nei mesi successivi.

Audit 1 — Informative privacy ai dipendenti

Recupera la versione attualmente in uso dell’informativa privacy consegnata ai dipendenti all’atto dell’assunzione.
Verifica la data dell’ultima revisione: se è più vecchia di due anni, è da aggiornare.
Controlla le basi giuridiche indicate: se compare il consenso come base per il trattamento dei dati dei dipendenti, è da correggere subito.
Verifica che siano indicati tutti i destinatari attuali dei dati (in particolare i fornitori cloud, i provider HR esterni, i servizi di paghe in outsourcing).
Controlla che i tempi di conservazione siano indicati con precisione (non genericamente “fino alla cessazione del rapporto”).
Verifica la presenza dei diritti dell’interessato e delle modalità di esercizio.
Conserva la prova della consegna firmata da ogni dipendente.

Audit 2 — Procedure su email e strumenti aziendali

Verifica l’esistenza di una policy scritta sull’uso degli strumenti aziendali (mail, computer, telefono, dispositivi mobili).
Controlla che la policy sia stata consegnata e firmata da ogni dipendente.
Mappa gli account di posta elettronica attualmente attivi: identifica quelli di ex dipendenti che dovrebbero essere disattivati.
Verifica che, alla cessazione del rapporto, sia prevista una procedura standard di disattivazione con messaggio di risposta automatica.
Elimina il redirect automatico delle mail in entrata verso altri account aziendali per gli ex dipendenti.
Definisci per iscritto la procedura di attivazione di un controllo difensivo: chi può autorizzarlo, su quali presupposti documentali, con quali limiti.

Audit 3 — Videosorveglianza

Mappa tutti i sistemi di videosorveglianza attivi in azienda, con localizzazione di ciascuna telecamera.
Verifica per ciascun sistema l’esistenza dell’autorizzazione giuslavoristica (accordo collettivo o autorizzazione ITL).
Verifica per ciascun sistema l’esistenza dell’informativa di primo livello (cartellonistica conforme allo standard europeo) e di secondo livello (documento completo accessibile).
Controlla la cartellonistica: deve essere visibile prima dell’area videosorvegliata, conforme al modello europeo armonizzato.
Verifica il principio di minimizzazione: nessuna telecamera deve inquadrare spogliatoi, bagni, aree di pausa, o aree pubbliche non strettamente necessarie.
Verifica il periodo di conservazione delle registrazioni: deve essere documentato per iscritto e tecnicamente impostato sul sistema (cancellazione automatica).
Se il periodo supera 7 giorni, verifica l’esistenza dell’istanza al Garante con autorizzazione.

Audit 4 — Retention dei dati

Definisci per iscritto una “data retention policy” che indichi per ogni categoria di dato il tempo massimo di conservazione e la motivazione.
Mappa i dati dei dipendenti cessati: identifica quelli che possono essere già cancellati o anonimizzati.
Mappa l’archivio dei CV ricevuti: i CV dei candidati non assunti vanno cancellati entro 24 mesi salvo specifica motivazione.
Verifica i log di accesso ai sistemi informatici: il tempo di conservazione deve essere proporzionato alla finalità di sicurezza.
Per ogni categoria di dato, traccia la decisione di retention in un documento privacy interno che dimostri l’esercizio dell’accountability.

Audit 5 — Responsabilità dell’amministratore e adeguati assetti

Verifica che l’organo amministrativo abbia formalmente deliberato sull’implementazione di adeguati assetti organizzativi anche sul piano privacy (verbale del CdA o decisione dell’amministratore unico).
Verifica l’esistenza di un budget annuale dedicato alla compliance privacy.
Verifica l’esistenza di un programma di formazione del personale sui temi privacy, con tracciabilità della partecipazione.
Valuta l’opportunità di un modello organizzativo ex D.Lgs. 231/2001 che includa anche i reati informatici e di violazione della corrispondenza.
Mappa l’esposizione personale dell’amministratore: verifica le polizze D&O attive e le eventuali esclusioni relative a sanzioni amministrative.
Considera l’opportunità di un audit privacy preventivo esterno con cadenza annuale, per costruire una documentazione tracciabile della diligenza dell’amministratore nell’esercizio dei doveri di vigilanza.

Un esempio di calendario operativo realistico

Per chi vuole tradurre la checklist in un piano concreto, ecco un calendario di 4 settimane testato su PMI italiane di medie dimensioni. Settimana 1: raccolta documentale completa (informative attive, policy esistenti, contratti con responsabili esterni, autorizzazioni ITL videosorveglianza, registro trattamenti). In parallelo, mappatura degli account di posta degli ex dipendenti ancora attivi sul server. Settimana 2: verifica operativa sui sistemi (cifratura, retention, backup, log accessi, cartellonistica videosorveglianza fisicamente verificata). Intervista breve a HR, IT, amministratore per misurare la consapevolezza interna. Settimana 3: redazione del report di esposizione con classificazione rosso-giallo-verde, stima del costo della rimediazione per ciascun rilievo, prioritizzazione in base al rischio-costo. Settimana 4: presentazione del report in CdA o all’amministratore unico, delibera formale sull’attivazione del piano di rimediazione, identificazione delle competenze esterne necessarie (privacy specialist, giuslavorista, eventualmente consulente 231). Al termine delle 4 settimane l’azienda non è risolta, ma ha una mappa precisa di dove è esposta e di quanto le costa rimediare. È una posizione di consapevolezza che, in caso di ispezione nei mesi successivi, vale come ammortizzatore significativo: l’evidenza di aver avviato un percorso documentato di adeguamento riduce la sanzione e cambia il tono del confronto con l’autorità.

Questi cinque audit, se svolti con serietà nelle prossime quattro settimane, mettono l’azienda in una posizione di partenza completamente diversa rispetto al 90% delle PMI italiane oggi. Non risolvono tutto: ma identificano dove sei, quanto sei esposto, da dove conviene iniziare. È esattamente il livello di mappatura che, come spiega Montagner nel webinar BC Formula del 29 aprile 2026, fa la differenza tra un imprenditore che subisce una sanzione e un imprenditore che la previene. E che, soprattutto, sposta la conversazione dal piano tecnico-compliance al piano strategico-aziendale, dove vivono davvero le decisioni che valgono.

Se vuoi capire dove sei vulnerabile oggi, parla con il tuo consulente di fiducia o richiedi un audit privacy preventivo con il team BC Formula. Lavoriamo sull’angolo del rischio business strategico, non sulla compliance tecnica isolata: integriamo i tre piani (privacy, responsabilità amministratore, ricadute fiscali e patrimoniali) in un’unica vista che mette l’imprenditore nella condizione di decidere con quadro completo. La nostra esperienza con centinaia di PMI italiane mostra che, su questo terreno, la differenza tra prevenzione e rimediazione tardiva si misura in centinaia di migliaia di euro per ogni episodio. Per chi ha già seguito il webinar del 29 aprile 2026 e vuole approfondire la materia, la pagina dedicata sul sito BC Formula (trattamento dati dipendenti nel rapporto di lavoro) raccoglie i materiali e i prossimi appuntamenti formativi. Per chi vuole entrare nel concreto operativo passo per passo (informative, email, videosorveglianza, retention), l’articolo gemello trattamento dati dei dipendenti — guida operativa completa il quadro sul versante esecutivo. I due articoli sono complementari: questo costruisce la vista strategica del rischio, l’altro fornisce la procedura operativa di adeguamento. Insieme, danno all’imprenditore la mappa completa.

Sanzioni GDPR per il datore di lavoro: cosa rischi davvero, i casi reali del Garante e come evitare di pagarli sulla pelle dell’azienda

Sanzioni GDPR per il datore di lavoro: cosa rischi davvero, i casi reali del Garante e come evitare di pagarli sulla pelle dell’azienda

Perché oggi un errore di privacy può costarti più di un accertamento fiscale

Quanto può davvero costare una sanzione privacy a un imprenditore italiano: il quadro reale

Caso 1 — La compagnia assicurativa da 50.000 euro: cosa è successo quando un ex dipendente ha chiesto i suoi dati

Caso 2 — Accesso illecito alla mail aziendale: come un licenziamento legittimo si trasforma in licenziamento nullo

Caso 3 — Videosorveglianza senza accordo sindacale: cosa accade quando la Guardia di Finanza copia le tue email

Il combinato disposto Statuto dei lavoratori + GDPR + D.Lgs. 231: il rischio cumulato che pochi imprenditori vedono

Le 5 zone di esposizione più frequenti nelle PMI italiane (e perché il commercialista da solo non basta)

Stress test privacy: come simulare un’ispezione del Garante prima che arrivi davvero

Cosa cambia se gestisci una holding, un gruppo di imprese o una struttura multi-società

Come si svolge concretamente un’ispezione del Garante: cosa aspettarsi nelle prime 48 ore

Perché il momento storico aumenta il rischio: tre tendenze regolatorie che si stanno consolidando

Glossario delle sanzioni: i numeri e i concetti che ogni imprenditore deve conoscere

FAQ: 7 domande sulle sanzioni GDPR datore di lavoro

Checklist anti-rischio: i 5 audit da fare nelle prossime 4 settimane

Audit 1 — Informative privacy ai dipendenti

Audit 2 — Procedure su email e strumenti aziendali

Audit 3 — Videosorveglianza

Audit 4 — Retention dei dati

Audit 5 — Responsabilità dell’amministratore e adeguati assetti

Un esempio di calendario operativo realistico

0 commenti

Invia un commento Annulla risposta

Compila il form qui sotto e scegli il Webinar a cui partecipare