BYOD e GDPR: quando l’uso del dispositivo personale diventa illecito
Data protection
Il 13 aprile 2026 l’Agencia Española de Protección de Datos (AEPD) ha inflitto una sanzione di 200.000 euro alla Ares Capital, società di noleggio veicoli con conducente (NCC), per aver imposto ai propri lavoratori il modello noto come BYOD (“bring your own device”), ossia l’uso del telefono personale come strumento di lavoro. Sebbene la decisione provenga dall’autorità spagnola, essa assume rilievo anche nell’ordinamento italiano, poiché applica disposizioni del GDPR pienamente vigenti in Italia, dove si aggiunge inoltre la tutela dell’art. 4 dello Statuto dei lavoratori in materia di controlli a distanza.
Il reclamo era stato presentato da un conducente che lamentava l’obbligo di utilizzare il proprio dispositivo e di installare app che monitoravano posizione, messaggi e attività anche fuori orario. Le applicazioni raccoglievano dati del tutto eccedenti – geolocalizzazione continua, foto, video, contatti, registrazioni vocali, perfino informazioni sullo stato fisico – e il lavoratore non poteva modificarne i permessi senza autorizzazione aziendale.
L’Autorità ha individuato tre profili di illecito. Il primo, e più rilevante, riguarda la base giuridica del trattamento: in linea con la posizione dell’EDPB, nel rapporto di lavoro il consenso non è quasi mai libero. Quando il BYOD è presentato come volontario ma mancano reali alternative aziendali, la scelta diventa obbligata e il consenso non può costituire una valida base giuridica.
Il secondo profilo concerne il principio di minimizzazione: l’art. 5, par. 1, lett. c) GDPR impone che i dati siano limitati allo stretto necessario, mentre l’art. 25 richiede misure di privacy by design e by default. L’AEPD ha rilevato che le app accedevano a informazioni eccedenti – tracciamento continuo, contatti, foto, video, registrazioni audio e messaggistica privata – senza giustificazione operativa. Il terzo profilo riguarda la violazione dell’art. 13 GDPR: il datore non aveva fornito un’informativa chiara su dati trattati, finalità, modalità e tempi di conservazione, in contrasto anche con il principio di correttezza di cui all’art. 5, par. 1, lett. a).
Un modello BYOD strutturato in questo modo violerebbe, in Italia, non solo il GDPR ma anche l’art. 4 dello Statuto dei lavoratori: gli strumenti dai quali può derivare anche solo la possibilità di un controllo a distanza richiedono, salvo eccezioni, accordo sindacale o autorizzazione dell’Ispettorato del lavoro, oltre a un’informativa completa e trasparente. Il BYOD che comporta geolocalizzazione o tracciamento rientra pienamente in questo perimetro.
Il punto non è vietare il BYOD, ma governarlo attraverso misure tecniche, organizzative e giuridiche adeguate: uso del dispositivo personale realmente facoltativo, con disponibilità di dispositivi aziendali alternativi; applicazioni e dati trattati limitati allo stretto necessario, senza tracciamenti continui o fuori orario; informativa chiara e policy BYOD aggiornata; verifica degli adempimenti ex art. 4 Statuto dei lavoratori; netta separazione tra sfera personale e professionale, assicurando che foto, contatti e messaggi privati restino inviolati.
Intelligenza artificiale e affective computing nei luoghi di lavoro: l’avvertimento del Garante a una start-up italiana
Artificial Intelligence
Il Garante per la protezione dei dati personali, con il provvedimento n. 342 del 14 maggio 2026, ha affrontato i profili di conformità multi-normativa legati all’utilizzo di sistemi di c.d. sentiment analysis (quale forma di affective computing) applicati alle comunicazioni dei dipendenti.
L’intervento ha riguardato un componente plug-in, sviluppato da una start-up italiana, progettato per analizzare la semantica dei messaggi scambiati dai lavoratori sulle piattaforme Slack e Teams al fine di stimarne il livello di benessere o stress psicologico. Dall’attività istruttoria è emerso che il sistema funziona come un servizio acquistato dal datore di lavoro a beneficio del proprio personale ed erogato in regime di titolarità autonoma dalla start-up direttamente nei confronti dei singoli dipendenti che scelgono liberamente di attivarlo: i dati personali dei dipendenti non vengono condivisi con l’ente che acquista il plug-in, se non in forma statistico-aggregata mediante un apposito report.
Per mitigare i rischi data protection e impedire l’identificazione dei lavoratori da parte del datore di lavoro, la start-up ha implementato specifiche misure, tra cui: (i) l’attivazione del plug-in tramite un identificativo univoco (ID) che non consentirebbe di risalire all’identità reale dell’utente; (ii) la generazione di report aziendali sul livello di stress subordinata alla presenza di almeno 10 utenti attivi su base settimanale, per evitare il rischio di single-out, cioè di isolamento e re-identificazione per inferenza; (iii) la fornitura del report al datore in sola visualizzazione, senza accesso a dati grezzi idonei a identificare i lavoratori.
Nonostante l’architettura tecnica sia stata strutturata per operare su dati aggregati e statistici nei confronti del datore di lavoro, il Garante ha ricordato che l’osservanza della disciplina di protezione dei dati deve essere assicurata fin dalla fase della progettazione (privacy by design), anche mediante misure che impediscano al datore di accedere alle informazioni sul livello di stress dei dipendenti e nel rispetto delle norme poste a tutela del lavoratore. Sotto quest’ultimo profilo rilevano il divieto di raccogliere informazioni non pertinenti sul lavoratore ai sensi dell’art. 113 del Codice Privacy e dell’art. 8 dello Statuto dei lavoratori – divieto nel quale rientrano pienamente le informazioni sulla sfera emotiva e sullo stress psicologico – nonché il divieto di porre in essere accertamenti sanitari autonomi, trattandosi di competenze riservate per legge esclusivamente al medico competente in qualità di titolare autonomo di quei dati sanitari. Rileva inoltre l’art. 5, par. 1, lett. f) del Regolamento (UE) 2024/1689 (AI Act), che vieta espressamente l’uso di sistemi di AI volti a inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro, considerate anche le problematiche connesse (bias, opacità algoritmica, fitting inadeguato).
Il Garante, pur non avendo ravvisato una violazione effettiva in essere, ha individuato un rischio potenziale futuro: le specificità dimensionali o organizzative di alcune aziende e gli effetti potenziali e imprevedibili dei sistemi di machine learning potrebbero consentire, anche indirettamente, di risalire all’identità di chi usa il plug-in. L’Autorità ha pertanto avvertito la start-up della verosimile violazione del quadro normativo qualora vengano messi a disposizione dei datori di lavoro report che consentano, anche per via inferenziale, di conoscere i dati derivanti dal sistema.
Sistemi di AI ad alto rischio: la Commissione europea pubblica le bozze di linee guida sulla classificazione ex art. 6 AI Act
Artificial Intelligence
La Commissione europea ha pubblicato il 19 maggio 2026, per consultazione degli stakeholder, le bozze di linee guida sulla classificazione dei sistemi di intelligenza artificiale ad alto rischio (le “Linee Guida“) ai sensi dell’art. 6 del Regolamento (UE) 2024/1689 (AI Act). Le Linee Guida – predisposte ai sensi dell’art. 6(5) AI Act e non vincolanti – sono pubblicate sull’AI Act Single Information Platform e si articolano in tre sezioni:
- Documento n. 1 – Principi generali. Il primo documento chiarisce che un sistema di AI è ad alto rischio in due ipotesi: (i) quando è un componente di sicurezza, o esso stesso un prodotto, soggetto alla normativa di armonizzazione richiamata nell’Allegato I dell’AI Act (art. 6(1)); oppure (ii) quando rientra in uno dei casi d’uso dell’Allegato III (art. 6(2)). Presupposto comune è che si tratti di un “sistema di AI” ai sensi dell’art. 3(1) AI Act. Centrale è la finalità prevista del sistema (art. 3(12)), desumibile da istruzioni d’uso, materiali promozionali e documentazione tecnica: per i sistemi multifunzione e general-purpose, una presentazione ampia che non delimiti in modo chiaro e coerente gli usi ad alto rischio può comportarne la classificazione come tali, non essendo sufficiente una mera esclusione nei termini di servizio.
- Documento n. 2 – Allegato I AI Act. Il secondo documento sviluppa l’art. 6(1) sulla base di due condizioni cumulative: il sistema deve essere un prodotto regolato dall’Allegato I, oppure un suo componente di sicurezza, e il prodotto deve essere soggetto a una valutazione di conformità di terza parte. La nozione di “componente di sicurezza” (art. 3(14)) è autonoma e opera secondo due criteri alternativi: (i) la funzione di sicurezza, basata sulla finalità definita dal fornitore; oppure (ii) il rischio derivante da guasto o malfunzionamento che possa mettere in pericolo salute, sicurezza o proprietà. La Commissione chiarisce inoltre che la maggior parte degli elettrodomestici smart resta fuori da tale perimetro.
- Documento n. 3 – Allegato III AI Act. Il terzo documento declina l’art. 6(2) nelle otto aree dell’Allegato III (tra cui biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, attività di contrasto, migrazione e giustizia), all’interno delle quali rilevano solo i casi d’uso tassativamente elencati. Assume particolare rilievo il meccanismo di filtro dell’art. 6(3), che consente al fornitore, previa autovalutazione, di escludere la classificazione al ricorrere di una delle quattro condizioni previste (compito procedurale limitato, miglioramento di un’attività umana già completata, rilevamento di schemi decisionali senza sostituire la revisione umana, compito preparatorio), purché il sistema non effettui profilazione e ferma restando un’interpretazione restrittiva dell’eccezione.
La Commissione raccoglie i contributi degli stakeholder fino al 23 giugno 2026 tramite l’AI Act Single Information Platform, in vista dell’adozione della versione definitiva. Sono inoltre richiamate le nuove scadenze derivanti dal c.d. “AI Omnibus”: le regole per i sistemi ad alto rischio ex art. 6(2) AI Act si applicheranno dal 2 dicembre 2027, mentre quelle relative ai sistemi ex art. 6(1) dal 2 agosto 2028.
Violazione del Digital Services Act: sanzione di 200 milioni di euro a Temu da parte della Commissione europea
Digital Services & Platforms
Il 28 maggio 2026 la Commissione europea ha annunciato una sanzione di 200 milioni di euro nei confronti della piattaforma di e-commerce Temu. La decisione costituisce uno dei più rilevanti precedenti applicativi del Digital Services Act (DSA) e si fonda sull’accertata inadeguatezza della valutazione dei rischi effettuata dalla piattaforma in relazione alla presenza e alla diffusione di prodotti illegali o non conformi all’interno del proprio marketplace, con conseguente esposizione dei consumatori europei a potenziali pregiudizi per la loro sicurezza e i loro diritti.
La rilevanza del caso deriva dalla natura degli obblighi imposti dal DSA alle Very Large Online Platforms (VLOP), categoria nella quale rientra Temu in ragione del numero di utenti attivi nell’Unione europea. Per tali operatori il Regolamento prevede un sistema di responsabilizzazione rafforzata, fondato sulla prevenzione e gestione dei rischi sistemici connessi al funzionamento dei servizi digitali. La controversia ruota attorno agli obblighi sanciti dagli articoli 34 e 35 DSA: il primo impone alle piattaforme di individuare e valutare in modo concreto i rischi derivanti dalla propria attività, tenendo conto della probabilità e della gravità dei possibili effetti negativi; il secondo richiede l’adozione di misure efficaci e proporzionate, che possono riguardare anche l’architettura del servizio, le interfacce digitali e i sistemi algoritmici di raccomandazione.
Secondo la Commissione, la valutazione dei rischi predisposta da Temu nel 2024 sarebbe risultata insufficiente poiché basata prevalentemente su dati generali riferiti al settore dell’e-commerce e non sul funzionamento effettivo della piattaforma, con conseguente sottostima del rischio di commercializzazione di prodotti illegali o non conformi. Le verifiche svolte nel corso dell’istruttoria, condotta anche tramite la pratica del c.d. mystery shopping (acquisti sotto copertura), hanno evidenziato criticità significative in diverse categorie merceologiche: sono stati individuati, ad esempio, caricabatterie non conformi ai requisiti essenziali di sicurezza e giocattoli con rischi elevati, come la presenza di sostanze chimiche oltre i limiti consentiti o pericoli di soffocamento per i bambini piccoli. La Commissione ha inoltre valorizzato il ruolo dei sistemi di raccomandazione algoritmica e dei programmi di promozione tramite influencer affiliati, ritenuti fattori potenzialmente idonei ad amplificare la visibilità e la diffusione di prodotti irregolari.
La decisione, adottata ai sensi degli articoli 73 e 74 DSA, conferma che il Regolamento non si limita alla regolazione dei contenuti online, ma si estende ai rischi connessi alla circolazione di beni illegali attraverso i marketplace digitali, e chiarisce che la valutazione del rischio non costituisce un mero adempimento formale, bensì il presupposto essenziale dell’intero sistema di governance previsto per la prevenzione dei rischi sistemici. Anche l’architettura dei software delle piattaforme e i meccanismi algoritmici assumono rilevanza giuridica qualora contribuiscano ad accrescere o perpetuare situazioni di rischio.
Ai sensi dell’art. 74 DSA, le VLOP possono essere sanzionate sino al 6% del fatturato totale mondiale: l’importo richiesto a Temu corrisponde a circa lo 0,25% di tale soglia. La sanzione rappresenta peraltro solo l’avvio dell’iter di adeguamento: Temu dovrà presentare un piano d’azione entro il 28 agosto 2026 ai sensi dell’art. 75 DSA, circostanziando le misure idonee a porre rimedio alla violazione. Entro il mese successivo il Comitato europeo per i servizi digitali – organo istituito dal DSA, composto dai Coordinatori dei servizi digitali degli Stati membri e presieduto dalla Commissione – dovrà esprimere un parere, in base al quale la Commissione adotterà la decisione finale cui Temu dovrà conformarsi per non incorrere in ulteriori sanzioni.
La Corte di Giustizia UE conferma la compatibilità del diritto all’equa remunerazione degli editori con il quadro normativo europeo
Intellectual Property & Technology
Con la sentenza del 12 maggio 2026 nella causa C-797/23, la Corte di Giustizia dell’Unione europea ha confermato che la normativa italiana sul diritto a un’equa remunerazione a favore degli editori di pubblicazioni di carattere giornalistico, per l’utilizzo online delle loro pubblicazioni, è compatibile con la Direttiva (UE) 2019/790 (la “Direttiva“).
Il caso origina dal ricorso proposto da Meta Platforms Ireland Limited avverso la delibera n. 3/23/CONS dell’AGCOM (la “Delibera“) che, in attuazione dell’articolo 43-bis della legge n. 633/1941 (“LDA“), ha definito i criteri per la determinazione dell’equa remunerazione degli editori, disciplinando altresì i poteri dell’AGCOM. Il Tribunale amministrativo regionale per il Lazio, investito del ricorso, ha adito la Corte in via pregiudiziale per lo scrutinio della compatibilità della legge attuativa italiana con (i) l’articolo 15 della Direttiva, che sancisce diritti di natura esclusiva e non anche un espresso diritto di remunerazione, e (ii) la libertà contrattuale e l’esercizio della libertà d’impresa tutelati dagli articoli 16 e 52 della Carta dei diritti fondamentali dell’Unione europea.
Quanto agli obblighi previsti dall’articolo 43-bis LDA – in particolare quello, a carico dei prestatori di servizi della società dell’informazione, di avviare trattative con gli editori, quello di non limitare la visibilità delle pubblicazioni nei risultati di ricerca durante tali trattative e quello di comunicare i dati necessari per la determinazione dell’equo compenso – la Corte li ha ritenuti compatibili con il diritto UE, in quanto consentono di garantire che gli editori siano in grado di decidere liberamente, e sulla base di tutte le informazioni pertinenti, se e a fronte di quale remunerazione concedere l’autorizzazione ai prestatori, in linea con l’obiettivo di protezione degli editori perseguito dall’articolo 15 della Direttiva.
Quanto ai poteri attribuiti all’AGCOM dalla Delibera – tra cui la definizione dei criteri di remunerazione, la determinazione dell’importo in caso di mancato accordo e l’irrogazione di sanzioni fino all’1% del fatturato – la Corte ha ritenuto tali modalità di attuazione pienamente compatibili con la Direttiva, posto che le parti (editori e prestatori) restano libere di non stipulare un contratto che consenta l’utilizzo delle pubblicazioni di carattere giornalistico. Pur riconoscendo che tali obblighi e poteri sanzionatori costituiscono una restrizione alla libertà d’impresa, la Corte ha ritenuto la restrizione giustificata e proporzionata, all’esito di un bilanciamento con i diritti di proprietà intellettuale e con il diritto alla libertà e al pluralismo dei media, quest’ultimo espressamente qualificato come fondamento essenziale di una società democratica.
