GARANTE DELLA PRIVACY: OBBLIGHI E LIMITI NELLE ATTIVITÀ DI DIGITAL FORENSICS
Con il provvedimento del 4 marzo 2026, il Garante Privacy ha chiarito che le attività di digital forensics svolte nell’ambito di indagini interne aziendali costituiscono trattamento di dati personali e devono quindi rispettare pienamente la normativa privacy.
Nel caso esaminato – relativo all’acquisizione e analisi forense della casella e-mail e degli spazi di archiviazione di soggetto apicale, avviata a seguito di una segnalazione anonima – il Garante ha ritenuto illecito il trattamento, rilevando:
- la mancanza di un’informativa preventiva all’interessato;
- l’assenza di una valida nomina del responsabile del trattamento;
- la violazione dei principi di minimizzazione, limitazione delle finalità e conservazione dei dati.
Il provvedimento ribadisce che il sospetto di illeciti non giustifica controlli generalizzati, che il ruolo apicale non riduce le tutele privacy e che acquisizioni forensi estese e non circoscritte risultano sproporzionate. Ne derivano indicazioni operative rilevanti per le imprese, chiamate a strutturare le indagini interne nel rigoroso rispetto delle regole in materia di protezione dei dati personali.
