WhatsApp è installata su oltre due miliardi di dispositivi nel mondo. Nelle aziende italiane è diventata di fatto lo strumento di coordinamento più usato tra colleghi, con clienti e con fornitori, spesso senza che l’organizzazione ne abbia mai discusso in sede di governance della privacy o di sicurezza informatica.
Accanto a WhatsApp proliferano Telegram, Signal, Teams in versione personale, applicazioni di task management consumer e decine di altri strumenti che i dipendenti adottano autonomamente perché li trovano comodi, veloci, già installati sul proprio smartphone. Questo fenomeno ha un nome preciso: shadow IT, ovvero l’insieme di sistemi informatici, applicazioni e servizi utilizzati all’interno di un’organizzazione senza esplicita approvazione, supervisione o gestione da parte del reparto IT e della direzione.
Le conseguenze di questa deriva non sono soltanto tecniche. Ogni volta che un dato personale: il nome di un paziente, il numero di telefono di un cliente, il contenuto di una trattativa commerciale transita su un’app non autorizzata, si produce potenzialmente una violazione del Regolamento (UE) 2016/679, un rischio di data breach, una perdita di controllo irreversibile sulle informazioni aziendali. Il titolare del trattamento, ai sensi dell’art. 5, par. 2, del GDPR, è responsabile del rispetto dei principi enunciati al par. 1 e deve essere in grado di comprovarlo (accountability). Questa responsabilità non si sospende quando è un dipendente ad agire spontaneamente.
Indice degli argomenti
Messaggistica aziendale e shadow IT nel quadro GDPR
Il presente articolo affronta il tema con approccio normativo e operativo: analizza il quadro giuridico di riferimento (GDPR, Codice Privacy, Statuto dei Lavoratori, provvedimenti del Garante, orientamenti dell’EDPB), identifica le criticità specifiche dei principali strumenti di messaggistica consumer in ambito aziendale e fornisce alle organizzazioni una guida concreta per governare il fenomeno.
Il Regolamento (UE) 2016/679 pone al centro del sistema di protezione dei dati il principio di accountability (art. 5, par. 2): il titolare non soltanto deve rispettare i principi di liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza (art. 5, par. 1), ma deve essere in grado di dimostrare tale rispetto. Questo significa che l’uso di WhatsApp o di qualsiasi altra app di messaggistica da parte dei dipendenti per finalità lavorative non è una questione che l’azienda può ignorare: essa costituisce un trattamento di dati personali effettuato nell’ambito della sua organizzazione e sotto la sua responsabilità.
La base giuridica (art. 6 GDPR) è il primo nodo da affrontare. I dati trattati tramite messaggistica aziendale rientrano tipicamente in scenari di esecuzione del contratto di lavoro (art. 6, par. 1, lett. b), di adempimento di obblighi legali (lett. c), o di legittimo interesse del titolare (lett. f). Tuttavia, il legittimo interesse richiede il superamento del bilanciamento test previsto dall’art. 6, par. 1, lett. f), e le Linee Guida EDPB 06/2014 (già WP29) e le più recenti Linee Guida EDPB sul legittimo interesse precisano che gli interessi e i diritti fondamentali dell’interessato possono prevalere qualora i dati siano trattati in circostanze in cui l’interessato non possa ragionevolmente attendersi tale trattamento.
Il principio di privacy by design e by default (art. 25 GDPR) impone di integrare le misure di protezione fin dalla progettazione dei processi aziendali. Lasciare che i dipendenti usino spontaneamente app consumer per gestire dati aziendali è la negazione di questo principio: non si progetta nulla, si lascia che la prassi informale si consolidi e si crea un’esposizione al rischio difficilmente rimediabile a posteriori.
Gli artt. 28 e 29 GDPR disciplinano il rapporto con i responsabili del trattamento. Chiunque tratti dati per conto del titolare deve essere designato con un accordo scritto che definisca oggetto, durata, natura e finalità del trattamento, il tipo di dati personali e le categorie di interessati, e gli obblighi e i diritti del titolare. WhatsApp (nella versione consumer) non è un responsabile del trattamento del titolare: è un servizio verso cui l’utente stipula direttamente il contratto. Questo crea un vulnus strutturale: il titolare non ha alcun controllo sul trattamento effettuato dalla piattaforma.
Lavoratori, controlli e uso dei messaggi privati
L’art. 113 del Codice Privacy richiamato espressamente dal Garante nel provvedimento n. 288 del 21 maggio 2025 vieta l’uso di informazioni riguardanti le opinioni politiche, religiose o sindacali del lavoratore e, più in generale, di fatti non rilevanti ai fini della valutazione dell’attitudine professionale, anche se tali informazioni pervengano spontaneamente da terzi. Il provvedimento ha sanzionato con 420.000 euro un’azienda che aveva utilizzato contenuti di post Facebook e messaggi WhatsApp privati di una dipendente per motivare due contestazioni disciplinari.
L’art. 88 GDPR riserva agli Stati membri la facoltà di adottare norme specifiche per garantire la protezione dei diritti e delle libertà dei lavoratori nel contesto del trattamento dei dati personali nel rapporto di lavoro, anche mediante accordi collettivi. Il Codice Privacy italiano ha esercitato questa riserva, e il combinato disposto con lo Statuto dei Lavoratori crea uno scudo normativo particolarmente robusto a tutela della riservatezza dei lavoratori.
L’art. 4 della L. n. 300/1970 (Statuto dei Lavoratori), modificato dall’art. 23 del D.lgs. 151/2015 (Jobs Act), disciplina i controlli a distanza dei lavoratori articolandosi su tre livelli:
- Comma 1 Impianti audiovisivi e strumenti di controllo a distanza: possono essere installati esclusivamente per esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale, previa stipula di accordo sindacale o autorizzazione dell’Ispettorato Territoriale del Lavoro.
- Comma 2 Strumenti di lavoro: gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e i sistemi di registrazione degli accessi e delle presenze non richiedono accordo sindacale, ma devono comunque rispettare le garanzie del GDPR.
- Comma 3 Utilizzabilità delle informazioni: le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro, purché il lavoratore sia informato delle modalità d’uso e venga rispettata la normativa sulla protezione dei dati.
Il Garante, nel Documento di indirizzo n. 364 del 6 giugno 2024 (metadati della posta elettronica), e nel successivo provvedimento n. 243 del 29 aprile 2025 (Regione Lombardia), ha confermato che la raccolta e conservazione sistematica di metadati delle comunicazioni digitali dei dipendenti configura un controllo indiretto dell’attività lavorativa, soggetto alle garanzie del comma 1. Il limite ordinario per la conservazione dei metadati email senza accordo sindacale è fissato in 21 giorni. Lo stesso ragionamento si estende logicamente alla messaggistica aziendale: i log di accesso, i metadati dei messaggi, la cronologia delle chat conservata sui server di un’app consumer costituiscono potenziale materiale di controllo a distanza. Il Garante, nel provvedimento n. 243/2025, ha inoltre ritenuto obbligatoria la DPIA (art. 35 GDPR) per i sistemi di monitoraggio sistematico delle comunicazioni dei dipendenti, in quanto coinvolgono soggetti vulnerabili. La mancata effettuazione della DPIA è autonomamente sanzionabile.
WhatsApp, Telegram, Signal e app consumer in azienda
Nelle analisi comparative dei Garanti europei alcune autorità hanno ritenuto la messaggistica istantanea consumer radicalmente incompatibile con l’uso aziendale perché crea un rapporto contrattuale diretto tra dipendente e gestore del servizio, bypassando l’azienda. Altre hanno ritenuto che l’app sia inidonea perché divulga indiscriminatamente i dati dei partecipanti alle chat (inclusi i metadati della rubrica). L’European Data Protection Board ha adottato nel tempo una serie di strumenti rilevanti per il contesto in esame.
WhatsApp nella versione consumer (non Business) presenta criticità strutturali che la rendono inadatta all’uso aziendale senza un’attenta governance:
Accesso alla rubrica
All’installazione e al primo utilizzo, WhatsApp richiede l’accesso alla rubrica del dispositivo. Questo significa che tutti i contatti presenti nel telefono inclusi numeri di clienti, fornitori, colleghi, dati sanitari memorizzati in agenda vengono caricati sui server di WhatsApp LLC (USA) / WhatsApp Ireland. Come ricorda WhatsApp stessa nella propria documentazione legale, “l’utente è il Titolare del trattamento di tutti i contatti presenti nella rubrica del dispositivo”, il che impone di avere una base giuridica valida ai sensi dell’art. 6 GDPR per ciascun contatto caricato. Per i numeri di telefono di persone che non hanno mai dato il consenso a questo trasferimento, il titolare è in palese violazione degli artt. 6 e 13 GDPR.
Trasferimento verso Paesi terzi
WhatsApp Ireland Limited, soggetto contraente per gli utenti SEE, si avvale del EU-U.S. Data Privacy Framework (DPF) per i trasferimenti verso WhatsApp LLC negli Stati Uniti. Il DPF è stato adottato dalla Commissione Europea il 10 luglio 2023 (Decisione di adeguatezza 2023/1795), ma resta sotto la pressione di potenziali ricorsi giurisdizionali (Schrems III è ritenuto probabile da numerosi osservatori). Vengono utilizzate anche le Clausole Contrattuali Standard (SCC) approvate dalla Commissione come meccanismo alternativo. Il titolare che usa WhatsApp è tenuto a menzionare questi trasferimenti nell’informativa ex art. 13 GDPR e nel Registro dei trattamenti ex art. 30 GDPR, e a valutare la solidità del meccanismo di trasferimento. Il DPF potrebbe essere invalidato dalla CGUE in futuro, come già avvenuto per Safe Harbor (Schrems I, 2015) e Privacy Shield (Schrems II, 2020). Le aziende che basano il trasferimento esclusivamente sul DPF sono esposte a questo rischio sistemico.
Assenza di DPA e impossibilità di audit
L’art. 28 GDPR richiede che il responsabile del trattamento agisca esclusivamente su istruzione documentata del titolare. WhatsApp consumer non offre un accordo di responsabilità del trattamento configurato sulle esigenze del titolare, né consente audit o ispezioni. La versione Business offre i Termini per il trattamento dei dati di WhatsApp Business, ma questi sono contratti standard, non negoziabili, e il titolare non può verificare le effettive misure di sicurezza adottate da WhatsApp o dai suoi sub-responsabili (tra cui Meta Platforms Inc.).
Diritti degli interessati
Quando un dato personale (il numero di telefono di un cliente, il contenuto di una comunicazione) è stato inviato su WhatsApp, il titolare non ha strumenti per garantire il diritto di cancellazione (art. 17 GDPR), il diritto di rettifica (art. 16), né la portabilità (art. 20). I messaggi possono essere recuperati dai destinatari, inoltrati a terzi, conservati nei backup dei dispositivi privati dei dipendenti.
Crittografia end-to-end: una protezione parziale
La crittografia end-to-end (E2EE) implementata da WhatsApp protegge il contenuto dei messaggi in transito: WhatsApp non può leggere i messaggi. Tuttavia, la E2EE non protegge i metadati: chi comunica con chi, quando, per quanto tempo, con quale frequenza, da quale localizzazione. Questi metadati, come ha chiarito il Garante nel Documento di indirizzo 364/2024, sono dati personali a tutti gli effetti e possono rivelare molto sui comportamenti, le relazioni e le abitudini degli interessati. Inoltre, la E2EE non protegge i messaggi una volta ricevuti sul dispositivo di destinazione.
Il canale WhatsApp Business (app) e la WhatsApp Business API (ora denominata Cloud API) presentano una disciplina parzialmente differente. Con la Business API, l’azienda agisce come Titolare del trattamento dei dati dei propri clienti, e WhatsApp Ireland opera come Responsabile del trattamento ai sensi dei Termini per il trattamento dei dati di WhatsApp Business. Sono previste SCC (modulo 3, da responsabile a responsabile) per i trasferimenti verso gli USA. Tuttavia, i termini non sono negoziabili, il sub-responsabile principale è Meta Platforms Inc., e le possibilità di audit rimangono limitate. L’uso della Business API richiede in ogni caso la designazione formale di WhatsApp Ireland come responsabile del trattamento nell’accordo commerciale e la menzione nell’informativa privacy e nel Registro ex art. 30.
Il canale Telegram offre crittografia end-to-end solo nelle chat segrete (non nelle chat normali o nei gruppi). I messaggi in chat normali sono conservati in chiaro sui server di Telegram (Dubai/paesi terzi), senza E2EE. Dal punto di vista del GDPR, il trasferimento verso paesi non adeguati senza garanzie appropriate è una violazione dell’art. 44 e seguenti. Telegram non offre DPA. Per dati particolari (sanitari, sindacali, ecc.) il rischio è elevatissimo.
Il canale Signal offre E2EE per impostazione predefinita su tutti i messaggi. È considerata la soluzione più sicura dal punto di vista della crittografia. Tuttavia, Signal è un’applicazione consumer: non offre strumenti di gestione aziendale, non consente la conservazione dei messaggi sui sistemi dell’organizzazione, non garantisce la tracciabilità delle comunicazioni professionali, e il rapporto contrattuale rimane tra dipendente e gestore. La conformità al GDPR richiede anche la capacità di rispondere alle richieste degli interessati e di dimostrare l’accountability.
Con l’utilizzo di Microsoft Teams (versione consumer) e Google Chat (account personali) attraverso versioni consumer di piattaforme enterprise crea il paradosso peggiore: il dipendente usa uno strumento simile a quello aziendale ma privo delle tutele contrattuali, delle politiche di retention, delle misure di sicurezza e dei DPA previsti dai contratti enterprise. I dati aziendali transitano su tenant non controllati dal titolare.
I rischi organizzativi dello shadow IT
Lo shadow IT non è una questione soltanto tecnologica. È la manifestazione di un divario tra le esigenze operative dei lavoratori e gli strumenti messi a disposizione dall’organizzazione. Quando i dipendenti percepiscono gli strumenti ufficiali come lenti, scomodi o inadeguati, trovano alternative autonome. Questo genera:
- la frammentazione dei dati ossia le informazioni aziendali esistono in formati e piattaforme non controllate, rendendo impossibile l’esercizio dell’accountability e la risposta alle richieste degli interessati.
- perdita di controllo sulla catena del trattamento: il titolare non sa dove si trovano i dati, chi vi ha accesso, per quanto tempo vengono conservati, verso quali paesi vengono trasferiti.
- impossibilità di gestire un data breach: in caso di incidente di sicurezza su un’app non autorizzata, il titolare potrebbe non sapere che il breach è avvenuto e non essere in grado di notificarlo entro 72 ore all’Autorità (art. 33 GDPR) e agli interessati (art. 34).
- responsabilità penale e amministrativa residua: l’art. 167 del Codice Privacy prevede sanzioni penali per il trattamento illecito di dati personali. In sede di ispezione, la documentazione di processi informali di comunicazione può costituire prova a carico.
- rischi NIS2: per i soggetti qualificati come essenziali o importanti ai sensi del D.lgs. 138/2024 (recepimento della Direttiva NIS2), lo shadow IT può configurare una violazione degli obblighi di gestione del rischio informatico e di sicurezza della catena di approvvigionamento (artt. 24 e 25 D.Lgs. 138/2024).
Gli scenari quotidiani nelle organizzazioni
Prima di entrare nella casistica formale dei rischi, è utile fermarsi sui comportamenti concreti che avvengono ogni giorno nelle organizzazioni italiane. Non si tratta di condotte straordinarie o dolose: sono azioni percepite come normali, rapide, comode. Eppure, ciascuna di esse produce un trattamento di dati personali con precise implicazioni di conformità. I seguenti scenari, costruiti su situazioni ricorrenti illustrano dove il confine tra praticità e violazione viene attraversato senza che nessuno se ne accorga.
Ma cosa succede quotidianamente nelle organizzazioni?
Scenario 1 — Il gruppo dei colleghi di reparto
“Il responsabile crea un gruppo WhatsApp con i dieci colleghi del turno per coordinare i cambi, avvisare di urgenze e condividere aggiornamenti operativi. Nessuno ha firmato nulla. I numeri personali di tutti sono ora visibili a tutti gli altri membri del gruppo.”
Profilo di rischio: il numero di telefono personale è un dato personale. La sua comunicazione agli altri membri del gruppo costituisce un trattamento che richiede base giuridica (art. 6 GDPR) e informativa preventiva (art. 13 GDPR). Se un dipendente ha un numero privato che non intende condividere per ragioni lavorative, la sua inclusione forzata nel gruppo viola il principio di minimizzazione (art. 5, par. 1, lett. c) e il diritto alla disconnessione. Ogni messaggio inviato fuori dall’orario di lavoro aggrava l’esposizione, integrando potenzialmente la violazione della normativa sul lavoro agile e delle disposizioni del CCNL applicabile. Il responsabile che crea il gruppo agisce come organo del titolare: la responsabilità ricade sull’organizzazione, non sul singolo.
Cosa fare: fornire ai dipendenti un numero aziendale o uno strumento di messaggistica enterprise (es. Teams su tenant aziendale). Se si usa WA Business, inserire la finalità nell’informativa dipendenti, raccogliere il consenso all’uso del numero personale (o assegnare un numero di lavoro), disciplinare i gruppi nella policy. Non inserire dipendenti in gruppi senza il loro consenso documentato.
Scenario 2 — La foto del documento del cliente
“Un agente commerciale fotografa con il proprio smartphone la carta d’identità e il modulo firmato da un cliente e li invia via WhatsApp all’ufficio amministrativo per velocizzare la pratica. Il documento arriva sul telefono personale di un collega dell’amministrazione.”
Profilo di rischio. La carta d’identità contiene dati anagrafici, luogo e data di nascita, codice fiscale, fotografia: un insieme di dati personali di particolare sensibilità. Il loro transito su WhatsApp consumer comporta: (a) l’upload automatico dell’immagine sui server di Meta/WhatsApp Ireland; (b) la conservazione nella memoria del dispositivo personale del mittente e del destinatario, fuori dal controllo del titolare; (c) l’assenza di DPA con WhatsApp; (d) il trasferimento verso gli USA. Il cliente che ha consegnato il documento al commerciale non ha certamente prestato il consenso a questo flusso. In caso di breach (furto o smarrimento del telefono), la notifica al Garante ex art. 33 GDPR è obbligatoria e il titolare non sa nemmeno dove si trovano quei dati.
Cosa fare: adottare canali sicuri e aziendali per la trasmissione di documenti di identità (portale dedicato, email su tenant aziendale cifrata, applicativo CRM). Vietare espressamente nella policy l’invio di documenti di identità tramite app di messaggistica consumer. Formare la rete commerciale su questo specifico rischio.
Scenario 3 — Le assenze per malattia nel gruppo HR
“Il responsabile HR riceve dal dipendente un messaggio WhatsApp: ‘Non vengo, sto male, ho la febbre a 39 e il medico dice che potrebbe essere una polmonite’. Lo gira al gruppo di coordinamento HR per aggiornare il planning.”
Profilo di rischio. Le informazioni sullo stato di salute sono dati particolari ai sensi dell’art. 9 GDPR: richiedono una delle basi giuridiche tassative dell’art. 9, par. 2, e misure di sicurezza rafforzate. Inoltrarle in un gruppo WhatsApp: (a) diffonde un dato sanitario a soggetti potenzialmente non autorizzati; (b) li deposita su server di terzi (Meta/WhatsApp) senza DPA adeguato; (c) viola il principio di minimizzazione (bastava scrivere “assente per malattia”). Il dipendente che ha inviato il messaggio al responsabile HR non ha autorizzato la sua diffusione al gruppo. La responsabilità del trattamento illecito di dati sanitari — categoria per la quale le sanzioni sono aggravate — ricade interamente sul titolare.
Cosa fare: le comunicazioni relative allo stato di salute devono transitare su canali riservati (email aziendale con accesso limitato, applicativo HR dedicato). Nella comunicazione interna di pianificazione, usare solo lo stato “assente” senza indicare la causa. Formare i responsabili HR sulla non inoltrabilità di messaggi contenenti dati sanitari.
Scenario 4 — Il preventivo con i dati del cliente inviato per approvazione
“Un commerciale invia via WhatsApp al direttore vendite il file Excel del preventivo completo: nome e cognome del cliente, partita IVA, indirizzo, condizioni economiche concordate, sconto riservato. ‘Dammi il via libera rapido’.”
Profilo di rischio. Il preventivo contiene dati personali del cliente (persona fisica o referente dell’azienda) e informazioni commerciali riservate. Il file allegato viene caricato su WhatsApp e conservato nella memoria del dispositivo personale del direttore vendite — fuori dalla gestione aziendale, privo di cifratura garantita dal titolare, non cancellabile in modo centralizzato. Se il dispositivo del direttore viene rubato, smarrito o compromesso, il titolare non ha strumenti per intervenire su quei dati. Dal punto di vista del segreto aziendale (D.Lgs. 63/2018), le condizioni commerciali riservate che escono dal perimetro aziendale tramite app consumer non sono più tutelabili come trade secret.
Cosa fare: i flussi di approvazione commerciale devono avvenire tramite il CRM o il sistema documentale aziendale, non tramite allegati su app consumer. Dove la rapidità è un requisito operativo, adottare strumenti enterprise con workflow di approvazione integrati (es. SharePoint, Teams con canali riservati). Classificare i documenti contenenti dati di clienti come “riservati” e vietarne esplicitamente l’invio via WA nella policy aziendale.
Scenario 5 — Il dipendente che lascia l’azienda
“Un agente di zona si dimette. Sul suo smartphone personale ha due anni di conversazioni WhatsApp con i clienti dell’azienda: nomi, numeri, preferenze, accordi verbali, reclami. L’azienda non può accedere a quei dati né cancellarli.”
Profilo di rischio. È uno degli scenari più critici e più frequenti. I dati personali dei clienti trattati tramite WhatsApp sul dispositivo personale del dipendente cessato rimangono su un dispositivo fuori dal controllo del titolare. Il titolare non può: (a) garantire la cancellazione dei dati al termine del rapporto (art. 17 GDPR per gli interessati che ne facciano richiesta); (b) rispondere a richieste di accesso (art. 15 GDPR) se non sa dove si trovano i dati; (c) notificare correttamente un breach se il dispositivo viene compromesso dopo la cessazione; (d) dimostrare l’accountability (art. 5, par. 2 GDPR) su trattamenti che non controlla. Dal punto di vista del segreto aziendale, il dipendente porta con sé l’intero patrimonio relazionale con i clienti, senza che l’azienda possa fare nulla.
Cosa fare: le comunicazioni con i clienti devono avvenire esclusivamente tramite strumenti aziendali (numero aziendale, CRM, email aziendale) in modo che il patrimonio relazionale resti nella disponibilità dell’organizzazione. Nelle procedure di offboarding, includere la ricognizione e la cancellazione documentata dei dati aziendali sul dispositivo del dipendente cessato. Valutare clausole contrattuali di riservatezza e trattamento dati nei contratti di lavoro e di agenzia.
Scenario 6 — Lo screenshot del messaggio usato in sede disciplinare
“Un collega porta al responsabile HR uno screenshot di messaggi WhatsApp di una dipendente inviati in un gruppo privato, in cui critica le scelte aziendali. L’HR utilizza il contenuto per avviare un procedimento disciplinare.”
Profilo di rischio. È esattamente il caso sanzionato dal Garante con il provvedimento n. 288 del 21 maggio 2025 (sanzione € 420.000). Il titolare che utilizza messaggi WhatsApp privati del dipendente per finalità disciplinari viola: l’art. 5 GDPR (liceità, correttezza, minimizzazione); l’art. 6 (assenza di base giuridica per quel trattamento); l’art. 113 Codice Privacy (divieto di usare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale); l’art. 8 Stat. Lav. (divieto di indagini sulle opinioni del lavoratore). Il Garante ha chiarito che la modalità di acquisizione del dato (spontaneamente segnalato da un terzo) non rende lecito il suo utilizzo. Il nodo è il trattamento successivo, non la raccolta. L’azienda era tenuta a valutare se quei dati potessero essere utilizzati e con quale base giuridica prima di inserirli nella contestazione disciplinare.
Cosa fare: prima di utilizzare qualsiasi contenuto proveniente da social media o app di messaggistica in un procedimento disciplinare, effettuare una valutazione scritta della base giuridica, della pertinenza e della proporzionalità. Coinvolgere il DPO nella valutazione. La regola generale è: ciò che è privato, anche se comunicato spontaneamente da terzi, non è automaticamente utilizzabile. Il confine disciplinare è la pertinenza con l’attitudine professionale, non la semplice disponibilità dell’informazione.
Scenario 7 — L’assistente sociale che aggiorna il caso via WhatsApp
“Un’assistente sociale di un ente del terzo settore aggiorna via WhatsApp i colleghi di equipe su un minore in carico: nome, età, situazione familiare, provvedimento del tribunale. È più rapido che aprire il gestionale.”
Profilo di rischio. È il caso di rischio più elevato in assoluto. I dati di un minore vulnerabile, compresi i provvedimenti dell’autorità giudiziaria, sono dati particolari (art. 9 e art. 10 GDPR per i dati relativi a condanne penali e reati) che richiedono le massime misure di sicurezza. Il loro transito su WhatsApp consumer è: (a) privo di qualsiasi base giuridica adeguata ex art. 9, par. 2 GDPR; (b) in violazione delle Linee Guida del Garante e delle disposizioni del Codice deontologico degli assistenti sociali; (c) potenzialmente in violazione del segreto professionale e degli obblighi di riservatezza verso il tribunale per i minorenni. In caso di violazione (es. screenshot che fuoriesce dal gruppo), le conseguenze per il minore e per la famiglia possono essere gravissime e irreversibili. Il rischio reputazionale per l’ente è altrettanto elevato.
Cosa fare: in ambito socioassistenziale, la condivisione di informazioni su utenti in carico deve avvenire esclusivamente tramite il gestionale certificato e canali cifrati aziendali. Vietare categoricamente l’uso di WA o altre app consumer per comunicazioni relative agli utenti. Adottare strumenti di messaggistica enterprise con cifratura gestita dall’ente. Sottoporre il trattamento a DPIA (art. 35 GDPR) in quanto coinvolge dati particolari di soggetti vulnerabili su larga scala.
Nota trasversale a tutti gli scenari. In nessuno degli scenari descritti c’è dolo o malafede da parte del dipendente. Tutti agiscono in buona fede, cercando di essere efficienti. Il problema è strutturale: l’organizzazione non ha definito strumenti, regole e formazione adeguati. La responsabilità ricade quindi interamente sul titolare del trattamento, a prescindere dall’intenzione del singolo. È questa la ragione per cui la governance della messaggistica aziendale non è una questione tecnica, ma una priorità organizzativa e di compliance.
Dati sanitari, gruppi WhatsApp e marketing
Cosa vogliamo invece scrivere in merito al trattamento di dati relativi alla salute veicolati senza ritegno su piattaforme di messaggistica come WA? Inviare il referto di un paziente, il codice diagnostico di un lavoratore, informazioni su un’assenza per malattia o su una patologia specifica tramite WhatsApp consumer è una violazione doppiamente grave: viola sia l’art. 9 GDPR (assenza di base giuridica adeguata e di misure di sicurezza rafforzate) sia il segreto professionale per le categorie protette (medici, infermieri, assistenti sociali). In ambito sanitario, l’EDPB ha chiarito che i dati relativi alla salute non dovrebbero mai transitare su piattaforme che non garantiscano il controllo del titolare sul trattamento.
La creazione di un gruppo WhatsApp aziendale comporta la comunicazione del numero di telefono personale di ciascun membro a tutti gli altri partecipanti. Se il numero di telefono è fornito dal dipendente per uso professionale su un dispositivo personale, si pone immediatamente il problema della base giuridica: il dipendente ha diritto di opporsi all’uso del proprio numero privato per finalità aziendali (principio di minimizzazione). Il Garante, nei provvedimenti in materia, ha chiarito che la reinserzione non autorizzata di un dipendente in un gruppo WhatsApp dopo la revoca del consenso all’uso del numero personale configura un trattamento illecito. L’azienda deve fornire un dispositivo o un numero aziendale se intende usare la messaggistica come strumento di lavoro.
L’uso di WhatsApp per comunicare con clienti o prospect solleva il problema della base giuridica per il trattamento del numero di telefono e per l’invio di messaggi promozionali. Il mero fatto che il cliente abbia fornito il proprio numero non abilita l’invio di messaggi WhatsApp per finalità di marketing: l’art. 130 del Codice Privacy (e la futura ePrivacy Regulation) richiede un consenso esplicito per le comunicazioni elettroniche a fini promozionali. Il Garante ha sanzionato più aziende per l’invio di messaggi WhatsApp non sollecitati.
Il provvedimento n. 288/2025 del Garante (sanzione € 420.000) ha cristallizzato un principio fondamentale: i messaggi WhatsApp e i post sui social media del dipendente non possono essere utilizzati in procedimenti disciplinari, anche se comunicati spontaneamente da terzi, quando riguardano opinioni o fatti non rilevanti ai fini della valutazione dell’attitudine professionale. L’azienda non può invocare l’assenza di un ruolo attivo nella raccolta: ciò che rileva è l’utilizzo successivo del dato, che deve avere una base giuridica valida e rispettare il principio di proporzionalità. Il titolare avrebbe dovuto, prima di utilizzare quei dati, valutare obiettivamente l’impatto sui diritti, le libertà e gli interessi dell’interessata.
Il trasferimento di informazioni riservate (offerte commerciali, dati finanziari, progetti in corso, segreti industriali) tramite app consumer solleva questioni che vanno oltre il GDPR e attengono alla sicurezza delle informazioni aziendali senso lato. Un dispositivo compromesso, uno screenshot condiviso, un account hackerato possono determinare la perdita irreversibile di informazioni strategiche. La NIS2 e gli standard ISO 27001:2022 richiedono che i rischi relativi alla riservatezza delle comunicazioni siano identificati, valutati e mitigati nell’ambito del sistema di gestione della sicurezza delle informazioni.
Come governare la messaggistica aziendale
In questa seconda parte dell’articolo dopo aver fissato i punti di maggior attenzione. Il primo passo è la conoscenza. Molte organizzazioni non sanno quali app di messaggistica vengono effettivamente usate dai propri dipendenti. Prima di adottare qualsiasi misura, è necessario:
a) Effettuare un’analisi dello shadow IT: interviste ai responsabili di reparto, survey ai dipendenti, analisi del traffico di rete (con le garanzie del caso).
b) Mappare i flussi informativi informali: quali tipi di informazioni transitano sulle app non autorizzate? Dati di clienti? Dati sanitari? Informazioni riservate?
c) Classificare il rischio per tipologia di dato e per piattaforma usata.
d) Aggiornare il Registro dei trattamenti (art. 30 GDPR) includendo i trattamenti individuati, anche quelli non autorizzati ma comunque esistenti, con indicazione delle criticità e delle azioni correttive pianificate.
L’obiettivo non è necessariamente vietare la messaggistica, ma governarla. Le organizzazioni devono valutare quale strumento adottare in funzione del profilo di rischio e delle esigenze operative. I criteri di valutazione includono: il DPA conforme all’art. 28 GDPR ossia lo strumento consente la sottoscrizione di un accordo di responsabilità del trattamento personalizzabile? I dati sono conservati su server europei o in paesi con decisione di adeguatezza? il fornitore consente ispezioni o fornisce reportistica sulla conformità (SOC 2, ISO 27001)? L’organizzazione può controllare gli account, revocare l’accesso, estrarre i dati per rispondere a richieste degli interessati? È possibile configurare la conservazione dei messaggi in linea con le policy aziendali? Il contenuto è cifrato in transito e a riposo?
Soluzioni enterprise come Microsoft Teams (su tenant aziendale), Slack (Business+/Enterprise Grid), Google Chat (Workspace), Threema Work, Wire for Business, o piattaforme on-premise offrono, in misura variabile, queste garanzie. La scelta dipende dal settore, dalla dimensione e dal profilo di rischio dell’organizzazione.
Policy aziendale, informativa e DPA
La policy aziendale sull’uso degli strumenti di comunicazione digitale è il documento centrale di governance. Deve essere redatta, approvata dalla direzione, comunicata a tutti i dipendenti e aggiornata periodicamente. Deve contenere almeno:
- Strumenti autorizzati: elenco degli strumenti approvati per le comunicazioni interne ed esterne, suddivisi per categoria (messaggistica, e-mail, videoconferenza, condivisione file).
- Strumenti vietati: elenco esplicito delle app non autorizzate per comunicazioni professionali.
- Tipologie di dati: quali dati possono transitare su ciascun strumento autorizzato. Es.: su WhatsApp Business API possono transitare solo comunicazioni con clienti che hanno dato consenso; su Teams (tenant aziendale) possono transitare anche dati riservati.
- Gestione dei dispositivi personali (BYOD): se i dipendenti usano dispositivi personali per lavoro, la policy deve disciplinare la separazione dei profili, l’installazione di MDM (Mobile Device Management), la cancellazione remota dei dati aziendali.
- Diritto alla disconnessione: art. 19 del D.Lgs. 81/2017 (lavoro agile) e accordi collettivi: nessun dipendente può essere obbligato a rispondere a messaggi di lavoro fuori dall’orario contrattuale.
- Sanzioni: le conseguenze disciplinari dell’uso di strumenti non autorizzati per la trasmissione di dati aziendali.
- Procedure di segnalazione: come e a chi segnalare un incidente (es. messaggio con dati sensibili inviato per errore su WhatsApp).
La policy deve essere adottata in coerenza con l’art. 4 Stat. Lav., previa (ove necessario) informativa sindacale o accordo con le RSA/RSU, e deve essere allegata al CCNL applicabile o al regolamento aziendale. L’adozione della policy è condizione necessaria per l’eventuale utilizzo delle informazioni a fini disciplinari (art. 4 L. 300/70).
L’art. 13 GDPR impone di fornire ai dipendenti un’informativa completa su tutti i trattamenti che li riguardano nel contesto lavorativo. L’informativa per i dipendenti deve includere una sezione specifica dedicata alle comunicazioni digitali e alla messaggistica, che descriva: quali strumenti di comunicazione sono usati dall’azienda; quali dati vengono raccolti (inclusi metadati) e per quali finalità; per quanto tempo vengono conservati (rispettando il limite dei 21 giorni per i metadati senza accordo sindacale, ex Documento di indirizzo 364/2024); verso quali paesi terzi i dati vengono trasferiti e con quali garanzie; chi sono i destinatari (fornitori di servizi cloud, responsabili del trattamento); quali diritti possono esercitare gli interessati e come.
Se l’azienda usa WhatsApp Business API come strumento ufficiale, il fornitore deve essere citato come responsabile del trattamento con riferimento ai DPA applicabili e ai meccanismi di trasferimento verso gli USA.
Per ogni strumento di messaggistica adottato a livello aziendale, il fornitore deve essere formalmente designato come responsabile del trattamento ai sensi dell’art. 28 GDPR, con un accordo che specifichi: oggetto e durata del trattamento, natura e finalità del trattamento, tipo di dati personali e categorie di interessati, obblighi e diritti del titolare. I DPA standard offerti dai provider enterprise (Microsoft, Google, Slack) coprono questi requisiti. Per provider minori o soluzioni custom, è necessaria la negoziazione del DPA.
I sub-responsabili (sub-processor) del fornitore devono essere identificati e il titolare deve verificare che il fornitore abbia stipulato con essi accordi equivalenti. In caso di aggiunta di nuovi sub-responsabili, il fornitore deve notificare il titolare, che ha diritto di opporsi.
DPIA, data breach e gestione degli incidenti
L’art. 35 GDPR richiede la DPIA per trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche. Il Garante ha individuato tra le categorie di trattamenti soggetti obbligatoriamente a DPIA: il trattamento sistematico di dati relativi a dipendenti e collaboratori, il monitoraggio sistematico di aree accessibili al pubblico e il trattamento su larga scala di categorie particolari di dati.
La DPIA è quindi obbligatoria nei seguenti scenari legati alla messaggistica: introduzione di un sistema di messaggistica aziendale che comporti la conservazione e l’analisi sistematica delle comunicazioni dei dipendenti, uso di WhatsApp Business API su larga scala per comunicazioni con clienti, specialmente se coinvolgono dati sanitari o altri dati particolari, implementazione di sistemi di monitoraggio dei log di messaggistica per finalità di sicurezza informatica o di conformità normativa; adozione di politiche BYOD che comportino l’installazione di MDM su dispositivi personali dei dipendenti.
La DPIA deve essere effettuata prima dell’avvio del trattamento (o, se il trattamento è già in corso, deve essere recuperata con urgenza), con il coinvolgimento del DPO ove nominato, e deve essere aggiornata ogniqualvolta cambiano le condizioni del trattamento.
Uno dei rischi principali dello shadow IT è che un data breach possa verificarsi su un’app non monitorata senza che il titolare ne sia consapevole. È necessario strutturare un processo di segnalazione interna degli incidenti (art. 33 GDPR: notifica al Garante entro 72 ore; art. 34 GDPR: comunicazione agli interessati in caso di rischio elevato) che includa esplicitamente gli incidenti su app di messaggistica.
Gli scenari di breach più frequenti in ambito messaggistica sono: l’invio di file contenenti dati personali al gruppo WhatsApp sbagliato (es. dati di un paziente inviati al gruppo di colleghi di un altro reparto); la perdita o furto del dispositivo personale del dipendente su cui sono memorizzate chat di lavoro; l’accesso non autorizzato all’account WhatsApp di un dipendente (SIM swapping, compromissione del dispositivo) e l’inoltro non autorizzato di messaggi contenenti dati riservati da parte di un dipendente.
Per ciascuno di questi scenari, la procedura di gestione del breach deve essere prestabilita, testata e documentata nel Piano di risposta agli incidenti. La conformità non è uno stato ma un processo.
Check-list operativa per la conformità
Stiliamo una Check-list operativa per la conformità:
A — Mappatura e governance (fase preliminare)
☐ Censimento degli strumenti di messaggistica in uso (autorizzati e non autorizzati).
☐ Aggiornamento del Registro dei trattamenti ex art. 30 GDPR con i trattamenti identificati.
☐ Classificazione del rischio per tipologia di dato e piattaforma.
☐ Valutazione delle soluzioni enterprise alternative allo shadow IT.
B — Documentazione (adempimenti formali)
☐ Redazione/aggiornamento della policy aziendale sull’uso degli strumenti di comunicazione digitale.
☐ Redazione/aggiornamento dell’informativa privacy per i dipendenti (art. 13 GDPR) con sezione specifica sulla messaggistica.
☐ Designazione formale dei fornitori di servizi di messaggistica come responsabili del trattamento (DPA ex art. 28 GDPR).
☐ Verifica dei meccanismi di trasferimento verso paesi terzi per ciascun fornitore.
☐ DPIA per i trattamenti che presentano rischio elevato.
C — Aspetti lavoristici (compliance Statuto dei Lavoratori)
☐ Verifica dell’art. 4 Stat. Lav.: accordo sindacale o autorizzazione INL ove necessari.
☐ Definizione della policy di conservazione dei metadati (max 21 giorni senza accordo sindacale).
☐ Disciplina del BYOD: separazione profili, MDM, cancellazione remota.
☐ Inclusione del diritto alla disconnessione nella policy.
D — Formazione e awareness
☐ Programma di formazione specifica su messaggistica e shadow IT per tutti i dipendenti.
☐ Formazione dedicata per i referenti IT, HR e i responsabili di reparto.
☐ Documentazione degli attestati di formazione.
E — Gestione degli incidenti
☐ Aggiornamento della procedura di gestione del data breach per includere gli incidenti su app di messaggistica.
☐ Test della procedura (Tabletop exercise).
F — Monitoraggio e aggiornamento
☐ Audit periodico sul rispetto della policy.
☐ Monitoraggio dello shadow IT.
☐ Aggiornamento dei DPA e delle informative al mutare delle condizioni dei fornitori.
☐ Monitoraggio dei provvedimenti del Garante e delle Linee Guida EDPB in materia.
Governare la messaggistica significa governare l’impresa
In conclusione, WhatsApp e le app di messaggistica consumer non sono intrinsecamente incompatibili con il GDPR. Ma il loro uso in ambito aziendale, senza governance, senza policy, senza DPA e senza formazione, lo è quasi certamente. Il fenomeno dello shadow IT non è un problema tecnico risolvibile con un firewall: è un problema organizzativo e culturale che richiede una risposta organizzativa e culturale.
Come DPO e consulenti di privacy, il nostro compito è aiutare le organizzazioni a compiere questo percorso con metodo, concretezza e aggiornamento normativo continuo. La messaggistica aziendale non è un dettaglio: è il sistema nervoso informale dell’impresa. Governarla significa governare l’impresa stessa.
