RECLAMI E CONTROVERSIE ALL’ORDINE DEL GIORNO 

Nel contesto lavorativo, i reclami rivolti alle Autorità competenti in materia di data protection sono estremamente comuni, soprattutto in seguito al licenziamento / alla cessazione del rapporto lavorativo. In molti casi è l’insufficiente tutela dei diritti degli interessati a svolgere un ruolo chiave: spesso a determinare il reclamo contribuisce in maniera determinante il mancato riscontro del datore di lavoro alle richieste del dipendente / ex dipendente di accesso ai propri dati personali (ex art. 15 del GDPR). Le istruttorie svolte dal Garante per la protezione dei dati personali, in seguito ai reclami e alle segnalazioni ricevute, hanno frequentemente portato alla luce ulteriori violazioni della normativa, determinanti in fase di commisurazione della sanzione economica da comminare.

Parallelamente, si registra un ricorso sempre più frequente alla tutela giudiziaria da parte di ex dipendenti. In questi casi, l’ammissibilità in giudizio dei dati raccolti attraverso gli strumenti comportanti un potenziale controllo a distanza dell’attività lavorativa (ad esempio, le immagini del lavoratore che ruba) è determinata dal diritto del lavoro e dal rispetto delle garanzie normative previste.

I CONTROLLI SUL LAVORO E L’ATTIVITÀ DEL GARANTE

Il Garante italiano ha ribadito in più occasioni che l’utilizzo di strumenti che consentono un controllo, anche potenziale, dell’attività lavorativa deve rispettare le garanzie previste dall’art. 4 della Legge 300/1970 (Statuto dei Lavoratori), come modificato dal Jobs Act. Salvo casi specifici, in mancanza di accordo sindacale o di autorizzazione dell’Ispettorato del Lavoro (ITL/INL), l’uso di questi strumenti non può ritenersi legittimo.

Interessante notare come, in funzione dell’evoluzione tecnologica, gli strumenti comportanti un potenziale controllo a distanza rientrino, sempre più spesso, in categorie diverse dalla videosorveglianza e dall’impiego di sistemi GPS (pensiamo, ad esempio, alla conservazione dei metadati di posta elettronica, all’utilizzo di piattaforme digitali per il controllo dei dispositivi aziendali o per lo svolgimento del lavoro a distanza). Ciononostante, i trattamenti svolti mediante impianti di videosorveglianza continuano ad essere nel mirino delle Autorità di vigilanza.

LA LETTERA DEL GARANTE A CONFCOMMERCIO 

Di recente, proprio l’utilizzo abusivo di sistemi di videosorveglianza, all’interno di negozi di prossimità e imprese del commercio di piccole dimensioni, ha richiesto l’intervento del Garante. In seguito alla ricezione di numerose segnalazioni raccolte da Forze dell’ordine, Nucleo tutela privacy della Guardia di Finanza e Polizia locale, infatti, l’Autorità ha deciso di trasmettere una lettera formale al presidente di Confcommercio per denunciare l’uso sistematicamente scorretto di impianti di videosorveglianza negli esercizi commerciali, sollecitando iniziative concrete per prevenire gli abusi, tutelare la privacy e avviare forme di collaborazione efficaci.

Le criticità rilevate nel corso dei controlli effettuati spaziano dall’assenza di cartellonistica informativa, alla registrazione audio non autorizzata, sino all’orientamento delle telecamere verso aree pubbliche o private estranee all’attività dell’esercente. Nei casi più gravi, le immagini venivano utilizzate per finalità di controllo dei lavoratori, in difetto delle garanzie previste dall’art. 4 dello Statuto dei Lavoratori.

Confcommercio ha accolto l’appello del Garante, impegnandosi a sensibilizzare i propri associati e promuovere un uso di questi strumenti conforme alle norme.

ALTRI STRUMENTI DI POTENZIALE CONTROLLO: I METADATI 

Come anticipato, anche la raccolta e la conservazione estesa dei metadati di posta elettronica può comportare un potenziale controllo a distanza dell’attività lavorativa. Lo ha ribadito il Garante nel sanzionare, per un importo pari a 50.000 euro, Regione Lombardia (Provvedimento n. 243 del 29 aprile 2025).

L’ente pubblico aveva attivato un sistema di conservazione sistematica dei metadati della posta elettronica– comprensivi di mittente, destinatario, oggetto, data, ora e indirizzo IP – per un periodo di 180 giorni, in assenza di un’idonea base giuridica e senza aver previamente informato i lavoratori. Secondo il Garante, l’attività di conservazione dei metadati per un periodo così esteso, finalizzata ad esigenze di sicurezza informatica e assistenza tecnica, è risultata sproporzionata e illegittima, in quanto non accompagnata da idonea documentazione a supporto. Regione Lombardia avrebbe dovuto, infatti, comprovare adeguatamente la decisione di estendere il termine di conservazione dei metadati oltre i 21 giorni. La carenza di tale documentazione e delle garanzie previste dall’art. 4 dello Statuto dei lavoratori ha determinato la violazione delle norme in materia di controllo a distanza e la sanzione dell’Autorità.

LE PIATTAFORME DIGITALI E L’INTELLIGENZA ARTIFICIALE

Infine, le piattaforme digitali e le applicazioni dell’intelligenza artificiale sul luogo di lavoro rappresentano gli strumenti tecnologici più avanzati dai quali può derivare un controllo a distanza dell’attività lavorativa. Piattaforme che automatizzano decisioni, tracciano continuamente le attività svolte o valutano le performance pongono nuovi rischi per i diritti fondamentali dei lavoratori.

Nel discorso di presentazione della relazione annuale relativa all’attività svolta nel 2024, l’Autorità garante per la protezione dei dati personali si è soffermata sull’impatto della digitalizzazione del lavoro e delle nuove tecnologie che impongono, a tutti i datori di lavoro, “alcune essenziali cautele per impedire che le garanzie faticosamente conquistate sul terreno giuslavoristico per riequilibrare la posizione di vulnerabilità del dipendente, siano eluse da mere scorciatoie tecnologiche”.

A livello comunitario, sono state introdotte nuove norme (come la Direttiva (UE) 2024/2831) proprio al fine di tutelare le persone fisiche – lavoratori in particolare – da condotte abusive perpetrate anche attraverso forme di monitoraggio sul luogo di lavoro (ne abbiamo parlato qui).

COME COMPORTARSI? CINQUE ASPETTI ESSENZIALI DA CONSIDERARE 

Per enti ed imprese, gestire correttamente l’introduzione di nuovi strumenti tecnologici nel contesto lavorativo è un’operazione che non può essere sottovalutata. Gli aspetti da considerare sono molteplici, ne abbiamo individuati cinque particolarmente rilevanti:

1. Effettuare una scelta consapevole degli strumenti e dei fornitori. Gli strumenti tecnologici scelti devono essere adatti alle finalità perseguite, configurabili in base alle indicazioni del titolare del trattamento e sviluppati seguendo le migliori prassi normative e di sicurezza applicabili. Il fornitore / provider del servizio deve offrire adeguate e comprovabili garanzie di conformità;
2. Rispettare i principi di Privacy by design e by default. Garantire il rispetto dei principi fondamentali del GDPR è essenziale: i sistemi devono essere impostati, by default, in modo da ridurre al minimo i dati raccolti e devono garantire, nella fase di progettazione del trattamento, la possibilità di implementare soluzioni privacy-friendly;
3. Garantire la trasparenza e la compliance giuslavoristica. Informare chiaramente i lavoratori e valutare il rispetto delle norme in materia di diritto del lavoro. Se necessario consultare le rappresentanze sindacali e/o ottenere autorizzazioni specifiche (ITL / INL);
4. Effettuare la valutazione dei rischi e la valutazione di impatto (DPIA). I rischi dei trattamenti svolti mediante gli strumenti introdotti devono essere valutati utilizzando la formula Impatto x Probabilità. Quando dall’utilizzo degli strumenti derivi un rischio elevato per i diritti dei lavoratori (es. videosorveglianza continua, sistemi di monitoraggio, AI valutativa), è obbligatoria una DPIA ex art. 35 GDPR;
5. Presidiare il complesso quadro normativo. Il GDPR e la normativa nazionale sul lavoro (L. 300/1970) non costituiscono gli unici riferimenti di legge applicabili. I titolari del trattamento devono considerare anche quanto previsto, a titolo esemplificativo, dal Regolamento sull’Intelligenza Artificiale (“AI ACT”, Reg. UE 2024/1689) e dalla sopracitata Direttiva UE 2024/2831 (relativa al miglioramento delle condizioni di lavoro mediante piattaforme digitali).

NUOVI STRUMENTI E NORME, NUOVI CONTROLLI DI CONFORMITÀ

Le scelte effettuate da enti ed imprese in relazione agli strumenti tecnologici utilizzati nel contesto lavorativo impongono una ridefinizione delle pratiche di compliance e nuovi controlli di conformità.

Nuove tecnologie e pratiche, come la conservazione estesa dei metadati di posta elettronica, l’adozione di piattaforme digitali per la gestione del lavoro, l’introduzione dell’intelligenza artificiale, si prestano strutturalmente a realizzare forme anche occulte di controllo sull’attività dei dipendenti, con evidenti implicazioni sotto il profilo privacy e giuslavoristico.

A livello normativo, come abbiamo visto, il quadro giuridico si è ampliato molto. Il programma strategico per il decennio digitale europeo ha determinato l’introduzione di norme quali il Data Act, per regolamentare l’accesso e l’uso dei dati, il Digital Services Act (DSA) e il Digital Markets Act (DMA) per garantire mercati digitali equi e sicuri, oltre alle disposizioni, sopracitate, volte a regolamentare l’uso dell’AI e delle piattaforme digitali. L’attuazione di queste disposizioni – destinate ad affiancarsi a GDPR e disciplina nazionale – rende imprescindibile l’introduzione di nuovi controlli di conformità.

Per affrontare tali sfide, è fondamentale affidarsi a consulenti dotati di competenze interdisciplinari e aggiornati sull’evoluzione normativa. Labor Project offre servizi di audit, consulenza specialistica e affiancamento operativo, supportando aziende ed enti nel percorso verso la compliance normativa e l’effettiva tutela dei diritti dei lavoratori.