Il Garante per la Protezione dei Dati Personali, mediante le proprie attività ispettive e sanzionatorie, svolge una funzione fondamentale nel bilanciamento tra le esigenze dei datori di lavoro, che utilizzano strumenti tecnologici sempre più sofisticati, e la tutela dei diritti degli interessati e della dignità dei lavoratori.
Le norme di riferimento sono l’Art. 4 dello Statuto dei Lavoratori (Legge 300/1970), il Regolamento Generale sulla Protezione dei Dati (Gdpr – Reg. UE 2016/679) e il Codice privacy (D. Lgs. 196/2003 e successive modifiche e integrazioni). Nel corso del tempo, l’Autorità di controllo si è sempre più concentrata sulle attività che consentono, seppur in via indiretta, il monitoraggio dei lavoratori, come i sistemi di videosorveglianza, gli strumenti di geolocalizzazione e i programmi di gestione/controllo di e-mail e navigazione Internet. Tali strumenti, proprio per la loro invasività, sono sottoposti a una disciplina articolata e trasversale, di difficile interpretazione.
Al fine di non incappare in errori procedurali, il datore di lavoro, prima di tutto, dovrebbe svolgere una Valutazione d’Impatto sulla Protezione dei Dati (Dpia) cioè un’analisi sull’impatto del processo tecnologico sui lavoratori (e su altri soggetti coinvolti) per poi definire misure concrete per mitigare i rischi per la privacy.
Una volta effettuata tale verifica, il datore di lavoro deve evadere gli oneri autorizzatori (accordo sindacale oppure autorizzazione dell’Ispettorato del lavoro) – salvo che la normativa applicabile al caso concreto, in presenza di alcune circostanze esimenti, consenta di procedere senza nulla osta – e può implementare la tecnologia.
Per garantire il principio di trasparenza, quando si introducono o implementano nuove tecnologie, si dovrebbero informare, adeguatamente, gli interessati. Nel caso della videosorveglianza, ad esempio, vanno apposti avvisi (informative di primo livello) prima dell’ingresso nell’area sottoposta a vigilanza e si deve fornire un’informativa estesa (di secondo livello). Altro elemento fondamentale per la compliance è la regolamentazione, da parte del datore di lavoro, dell’accesso ai dati catturati dai sistemi tecnologici che debbono essere segregati in archivi protetti, accessibili solo da personale specificamente autorizzato. Nel passato, spesso, si è abusato di tali strumenti, accedendo, per esempio, alle immagini della videosorveglianza, ai dati di geolocalizzazione o ai dati di navigazione in modo incontrollato e ingiustificato.
I sistemi di geolocalizzazione posti sui veicoli aziendali o sui dispositivi mobili dei lavoratori hanno ingenerato varie controversie. Un recente provvedimento del Garante (n. 135 del 13 marzo 2025) ha sancito l’illiceità del trattamento effettuato da un ente pubblico, per il tramite dell’applicativo Time Relax, dei dati relativi alla posizione geografica della generalità dei dipendenti in lavoro agile e il successivo utilizzo degli stessi per avviare un procedimento disciplinare, comminando una sanzione di 50.000,00 euro.
Un altro tema caldo è quello dei sistemi di controllo della posta elettronica e della navigazione Internet dei dipendenti. Un recente provvedimento dell’Autorità Garante (n. 243 del 29 aprile 2025) ha, finalmente, definito le regole per la gestione e la conservazione dei metadati, fornendo chiarimenti e prescrizioni di particolare interesse per i processi di privacy governance e compliance. Per la verità, già nel 2024, il Garante aveva emanato il “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” con provv. n. 364 del 6 giugno 2024. Tuttavia, il documento aveva suscitato alcuni dubbi interpretativi che l’ultima pronuncia chiarisce definitivamente.
Il Garante sancisce, in via generale, che la raccolta e la conservazione dei metadati di posta elettronica per un lasso di tempo superiore ai 21 giorni – sempre in presenza di esigenze riconducibili alla sicurezza e alla tutela del patrimonio anche informativo del datore di lavoro, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori – impongono l’esperimento delle garanzie previste dall’art. 4, comma 1, della l. 20 maggio 1970, n. 300 (Ndr. la necessità di una procedura autorizzatoria), così come accade per la videosorveglianza e la geolocalizzazione. Solo in presenza di circostanze eccezionali legate alla specifica organizzazione tecnica del datore di lavoro (da valutarsi caso per caso) sarebbe possibile invocare un’esenzione da tale obbligo.
Ai fini della disciplina sul trattamento dei dati personali, tutto quanto già illustrato non è sufficiente a garantire la compliance. Esistono, infatti, altri presidi organizzativi e tecnologici che debbono tutelare non solo i diritti previsti in materia giuslavoristica ma anche quelli derivanti dal Gdpr. A titolo esemplificativo, le nuove attività di trattamento devono confluire nel cosiddetto Registro delle Attività di Trattamento e i fornitori che intervengono nel processo di trattamento dei dati devono essere designati Responsabili del Trattamento ex Art. 28 Gdpr.
Con un approccio consapevole e responsabile, le aziende e gli enti pubblici possono utilizzare tutti gli strumenti tecnologici che consentono l’efficientamento delle risorse, la protezione del proprio patrimonio e garantiscono la sicurezza sui luoghi di lavoro. Ma per poter continuare ad avvalersi di servizi e prodotti all’avanguardia e, soprattutto, sfruttarne a proprio vantaggio le infinite potenzialità – tenuto anche conto dei rischi economici e reputazionali derivanti dalle pesantissime sanzioni irrogate dal Garante per la Protezione dei Dati Personali – le organizzazioni devono, necessariamente, promuovere sempre più la cultura della privacy, investendo nella formazione, nella progressiva riduzione dei dati personali utilizzati, privilegiando l’utilizzo di dati aggregati e anonimizzati e, soprattutto, incentivando la privacy by default e la privacy by design nel momento in cui si introducono nuove tecnologie.
*Beatrice Carbonetto, avvocato esperta in diritto societario, civile e protezione dei dati
© RIPRODUZIONE RISERVATA
