Torna al blog

Formazione sul phishing rispettosa della privacy: comitati aziendali, consenso e nozioni fondamentali sul GDPR

Come progettare un programma che sia efficace *e* a misura di dipendente: opzioni di anonimizzazione, conservazione dei dati e avvisi chiari

Di Autophish Team|Pubblicato il 8/24/2025
Cover image for Formazione sul phishing rispettosa della privacy: comitati aziendali, consenso e nozioni fondamentali sul GDPR

⚖️ Questo articolo contiene informazioni generali: per decisioni specifiche relative alla tua organizzazione, consulta un avvocato qualificato nella tua giurisdizione.

TL;DR

Puoi eseguire simulazioni di phishing efficaci nell'UE senza alienarti il personale o rischiare la non conformità:

  1. utilizzando interessi legittimi (non il consenso) come base giuridica primaria e documentando una valutazione di bilanciamento;
  2. coinvolgere i comitati aziendali sin dalle prime fasi e codificare le misure di salvaguardia in un accordo aziendale, ove richiesto;
  3. dare priorità all’anonimizzazione/pseudonimizzazione, alla conservazione breve e alle informative trasparenti; e
  4. eseguire una DPIA se il tuo contesto indica un rischio elevato (ad es. monitoraggio sistematico).

1) Base giuridica: perché gli interessi legittimi di solito prevalgono sul consenso

Nel contesto lavorativo, il consenso è raramente dato liberamente a causa dello squilibrio di potere tra datore di lavoro e dipendente. Le Linee guida 05/2020 sul consenso del Comitato europeo per la protezione dei dati sottolineano che il consenso del dipendente è valido solo in circostanze eccezionali, senza conseguenze negative in caso di rifiuto. Per le simulazioni di phishing, è più appropriato fare riferimento all’articolo 6, paragrafo 1, lettera f) (interessi legittimi), documentato con una Valutazione degli interessi legittimi (LIA) che metta a confronto le tue esigenze di sicurezza con i diritti e le aspettative dei dipendenti.

Buone pratiche per la LIA

  • Definisci l’interesse (sensibilizzazione alla sicurezza; prevenzione delle frodi).
  • Individua le aspettative ragionevoli dei dipendenti (la formazione è normale; la profilazione segreta non lo è).
  • Elenca le misure di mitigazione (vedi sezioni 3–5).
  • Registra perché il consenso sarebbe inappropriato nel tuo contesto.

Riferimenti: Linee guida 05/2020 sul consenso dell’EDPB; considerando 47 del GDPR (aspettative ragionevoli).

2) Comitati aziendali: focus su Germania e Austria

Se operi in paesi con una forte codeterminazione, coinvolgi il comitato aziendale prima dell’implementazione.

  • Germania (BetrVG §87(1) n. 6): il comitato aziendale codecide in merito all’“introduzione e all’uso di dispositivi tecnici progettati per monitorare il comportamento o le prestazioni dei dipendenti.” Anche semplici dashboard possono far scattare questa procedura, quindi è prassi comune stipulare una Betriebsvereinbarung (accordo aziendale) che definisca l’ambito di applicazione, il trattamento dei dati e le garanzie.
  • Austria (ArbVG §96(1) n. 3): le misure di monitoraggio e i sistemi tecnici che possono ledere la dignità umana richiedono il consenso del comitato aziendale (o il consenso individuale se non c’è un comitato aziendale).

Cosa includere nell’accordo/nella politica aziendale
Finalità e ambito di applicazione, base giuridica, dati minimi raccolti, divieto di utilizzo a fini disciplinari dei soli dati, chi vede cosa, calendario di conservazione e anonimizzazione, elenco dei fornitori (responsabili del trattamento/sub-responsabili), diritti dei dipendenti e una clausola di revisione annuale.

Fonti: Germania — BetrVG §87(1) n. 6 (testo ufficiale in inglese); analisi di Luther Law. Austria — sintesi di Eurofound dell'ArbVG §96(1) n. 3; spiegazione di Schoenherr.

3) Anonimizzazione vs. pseudonimizzazione (e cosa significa per i report)

  • Anonimizzazione (GDPR Considerando 26): una volta che i dati sono veramente anonimi, il GDPR non si applica più.
  • Pseudonimizzazione (GDPR Art. 4(5)): i dati sono ancora personali se possono essere ricollegati tramite chiavi separate; trattali di conseguenza.

Modello di reportistica incentrato sulla privacy

  • Imposta come predefinito i dati aggregati per team/sede.
  • Usa ID casuali stabili per l'analisi delle tendenze invece dei nomi; mantieni la chiave separata con un rigoroso controllo degli accessi.
  • Mostra i risultati individuali solo a un piccolo gruppo che ne ha bisogno (ad es. responsabile della sensibilizzazione alla sicurezza + HR) e solo quando necessario per un coaching mirato.
  • Non raccogliere mai password reali; se un utente tenta di inviare credenziali, mostra una pagina di formazione e scarta qualsiasi inserimento.

Per un esempio pratico di come una piattaforma implementa questi concetti, consulta la panoramica sull'anonimizzazione di AutoPhish: https://autophish.io/anonymization

4) Conservazione: più breve è, più è sicuro (ed è richiesto dal principio)

Il principio di limitazione della conservazione del GDPR richiede di conservare i dati personali in forma identificabile non più a lungo del necessario per lo scopo dichiarato. Per i programmi di phishing, molte PMI adottano una finestra a due livelli:

  • Finestra operativa (ad es. 30–90 giorni): dati identificabili disponibili per il coaching e la correzione.
  • Analisi post-campagna: successivamente aggregare/anonimizzare, conservando solo le tendenze non identificabili per il monitoraggio a lungo termine dei KPI.

Documenta tutto questo nei tuoi registri di trattamento ai sensi dell'articolo 30 e nell'informativa sulla privacy per i dipendenti.

5) Informative: sii trasparente e usa un linguaggio semplice (art. 13)

Prima della tua prima campagna, fornisci una breve comunicazione interna (o aggiorna la tua informativa sulla privacy per i dipendenti) che spieghi: la finalità (sensibilizzazione alla sicurezza), la base giuridica (interessi legittimi), quali dati raccogli (ad es. e-mail, reparto, eventi di clic/segnalazione), conservazione, chi può accedere ai dati a livello individuale (ruoli limitati), nessun uso disciplinare di singoli eventi, diritti dei dipendenti (accesso/opposizione) e un contatto (DPO o responsabile della privacy).

Modello da copiare e incollare (adattalo al tuo contesto)

Eseguiamo periodicamente simulazioni di phishing per aumentare la consapevolezza in materia di sicurezza e ridurre il rischio di frodi. Trattiamo il tuo nome, l'e-mail di lavoro, il reparto e le interazioni con le simulazioni (ad es. aperte/segnalate/inviate). La nostra base giuridica è costituita dagli interessi legittimi (GDPR art. 6(1)(f)). I dati a livello individuale sono visibili solo al team di sensibilizzazione alla sicurezza (e alle Risorse Umane, se necessario per un coaching mirato). Conserviamo i dati identificabili per [X giorni] e poi li aggreghiamo/anonimizziamo. Non memorizziamo mai password reali. Puoi esercitare i tuoi diritti sui dati (accesso/opposizione, ecc.) tramite [contatto]. Vedi [link alla tua informativa completa sulla privacy dei dipendenti].

6) Hai bisogno di una DPIA?

Una Valutazione d'impatto sulla protezione dei dati (DPIA) è richiesta quando il trattamento è suscettibile di comportare un rischio elevato per le persone (Art. 35). Le autorità di controllo e l'EDPB sottolineano che il monitoraggio dei dipendenti può richiedere una DPIA, specialmente quando il trattamento è sistematico o coinvolge soggetti vulnerabili. Se il tuo programma introduce nuovi strumenti, metriche su larga scala o trasferimenti transfrontalieri, è meglio optare per una DPIA.

Cosa includere: finalità/necessità, alternative (opzioni meno invasive), flussi di dati, rischi, misure di mitigazione (anonimizzazione, minimizzazione, accesso basato sui ruoli, conservazione breve, coaching non punitivo) e un piano per la revisione periodica.

7) Fornitori e trasferimenti internazionali

Se utilizzi un fornitore di piattaforma, tu sei il titolare del trattamento e lui è un responsabile del trattamento; firma un Accordo sul trattamento dei dati che soddisfi i requisiti dell'Articolo 28 (sicurezza, controlli sui sub-responsabili, assistenza sui diritti relativi ai dati, cancellazione al termine del servizio). Se il fornitore o i suoi sub-responsabili si trovano al di fuori del SEE, implementa le Clausole contrattuali standard ed esegui una valutazione dei rischi di trasferimento.

8) NIS2: se rientri nell’ambito di applicazione, la formazione non è più facoltativa

Per i soggetti coperti dalla Direttiva NIS2, la direzione deve supervisionare le misure di gestione dei rischi di sicurezza informatica (Art. 20) e garantire una formazione adeguata e procedure per gli incidenti (Art. 21). Anche se non rientri nell’ambito di applicazione, lo standard fissato dalla NIS2 è un utile punto di riferimento per le PMI.

9) Un'architettura pratica e incentrata sulla privacy (che funziona ancora)

  • Dati in ingresso: nome, email, team e responsabile (facoltativo). Niente email personali; niente categorie speciali.
  • Durante la campagna: raccogli solo dati sugli eventi (consegnato, cliccato, segnalato, inviato). Se un utente prova a inserire credenziali, mostra la formazione e non acquisire nessuna informazione riservata.
  • Controllo degli accessi: il team di sensibilizzazione può vedere i gruppi e gli ID anonimizzati
  • Conservazione: 30–90 giorni per i dati identificati → anonimizzazione automatica; conserva i dati aggregati per le tendenze anno su anno.
  • Risultati: il report esecutivo mostra tassi e tendenze, non nomi.
  • Governance: LIA + (se necessario) DPIA in archivio; registro ai sensi dell'articolo 30 aggiornato; accordo aziendale approvato.

Considerazioni finali

Una formazione sul phishing rispettosa della privacy non è una contraddizione. Con la giusta base giuridica, una rappresentanza autentica dei lavoratori e misure tecniche di protezione come l'anonimizzazione e la conservazione breve, il tuo programma può proteggere le persone e i loro dati riducendo in modo misurabile il rischio. In caso di dubbio, chiedi una consulenza legale su misura per la tua situazione.

Riferimenti legali (Germania e Austria)

Ulteriori approfondimenti

Torna a tutti gli articoli

Avvia il tuo primo test di phishing in 10 minuti.

Registrazione gratuita — senza carta di credito. Prova Pro per 7 giorni quando sei pronto.

Inizia a simulareVuoi una demo per un team più grande? Parla con noi →