L’installazione di telecamere nei luoghi di lavoro deve rispettare gli obblighi previsti dallo Statuto dei lavoratori e le garanzie assicurate ai dipendenti dalla normativa sulla privacy. Così si è espresso il Garante della privacy con un provvedimento dell’11 aprile 2024 pubblicato sulla newsletter del 21 maggio 2024. Non avendo assicurato il rispetto delle procedure di garanzia previste dalla disciplina di settore in materia di controlli a distanza e avendo peraltro utilizzato le immagini di videosorveglianza per adottare un provvedimento disciplinare nei confronti della lavoratrice, la condotta si pone di fuori del quadro di liceità delineato dalle disposizioni di settore e dalla disciplina in materia di protezione dei dati. Lo stesso utilizzo dei dati raccolti illecitamente non è consentito, tanto meno per sanzionare disciplinarmente la dipendente.

Leggi qui il provvedimento dell’Autorità Garante per la protezione dei dati personali pubblicato con la newsletter dell’11 aprile 2024.

Lo scorso mercoledì 24 aprile 2024, i deputati del Parlamento europeo hanno adottato il testo della nuova Direttiva sulle condizioni di lavoro dei lavoratori delle piattaforme digitali. Come si apprende dal comunicato stampa pubblicato sul sito istituzionale del Parlamento, la Direttiva “mira a garantire che i lavoratori delle piattaforme digitali dispongano di una classificazione corretta della loro posizione lavorativa e a correggere il lavoro autonomo fittizio” introducendo “una presunzione di rapporto di lavoro subordinato (rispetto al lavoro autonomo) quando sono presenti fatti che indicano il controllo e la direzione, conformemente al diritto nazionale e ai contratti collettivi […]”.

Tra le novità introdotte dalla Direttiva, per quanto qui di interesse, sono previste limitazioni del trattamento di dati personali effettuato mediante sistemi decisionali o di monitoraggio automatizzati. Non potranno, ad esempio, essere oggetto di alcuna operazione di trattamento (i) i dati relativi allo stato emotivo o psicologico della persona che svolge un lavoro mediante piattaforme digitali; (ii) i dati personali relativi a conversazioni private; (iii) i dati appartenenti alla categoria dei dati particolari (ex dati sensibili) o i dati biometrici o, ancora, (iv) non potranno essere raccolti i dati del lavoratore che svolge attività tramite una piattaforma digitale quando non sta svolgendo la propria attività mediante la piattaforma stessa.

Tutto ciò, sarà valido e dovrà essere applicato sin dall’inizio delle procedure di assunzione e selezione e per tutta la durata del rapporto. Resta inteso che, considerata la tipologia di trattamento e l’elevato rischio che lo stesso può comportare per i diritti e le libertà delle persone fisiche, i trattamenti di dati effettuati tramite una piattaforma di lavoro digitale dovranno essere oggetto di apposite valutazioni di impatto ai sensi dell’articolo 35 del Regolamento (UE) 2016/679. Le valutazioni di impatto svolte dal datore di lavoro dovranno poi essere condivise con i rappresentanti dei lavoratori.

Un altro elemento fondamentale inerisce agli obblighi di trasparenza. Coloro che svolgono attività lavorative tramite piattaforme digitali dovranno essere puntualmente resi edotti, in maniera trasparente, intelligibile e facilmente accessibile con un linguaggio semplice e chiaro, su tutti i tipi di decisioni sostenute o prese da sistemi decisionali o di monitoraggio automatizzati. Aspetto questo che l’ordinamento nazionale italiano ha già avuto modo di “conoscere” tanto a seguito dell’introduzione delle disposizioni di cui al Regolamento (UE) 2016/679 quanto a seguito dell’adozione del c.d. Decreto Trasparenza.

Resta da ultimo inteso, che gli Stati membri dovranno imporre alle piattaforme di lavoro digitali di garantire risorse umane sufficienti per sorvegliare e valutare in modo efficace l’impatto delle decisioni individuali prese o sostenute dai sistemi decisionali o di monitoraggio automatizzati.

◊◊◊◊

Le prossime fasi

Il testo approvato dal Parlamento europeo dovrà ora essere adottato formalmente anche dal Consiglio per poi essere pubblicato nella Gazzetta Ufficiale dell’Unione Europea. Dopo la pubblicazione, ciascuno Stato Membro avrà due anni di tempo per integrare le nuove disposizioni nel proprio ordinamento nazionale.

Altri insights correlati:

Mercoledì 13 marzo 2024, il Parlamento europeo ha approvato la proposta di testo del c.d. “A.I. Act”, il primo testo normativo, un Regolamento, in materia di intelligenza artificiale, che – stabilendo obblighi per l’A.I. sulla base dei possibili rischi e del livello d’impatto – si pone l’obiettivo di proteggere il rispetto dei diritti fondamentali degli individui, della democrazia e della sostenibilità ambientale dai sistemi “ad alto rischio”. 

Sono “ad alto rischio” i sistemi di A.I. destinati a essere utilizzati per:  

  1. l’assunzione o la selezione di persone fisiche, per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati
  1. adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.  

Per avere maggiori informazioni sull’argomento, contattaci a info@delucapartners.it

Con il provvedimento n. 642 del 21 dicembre 2023, l’Autorità Garante per la protezione dei dati personali ha adottato un documento denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” avente lo scopo di fornire, ai datori di lavoro pubblici e privati, indicazioni di indirizzo sull’utilizzo dei programmi e servizi informatici per la gestione della posta elettronica aziendale.


Il documento viene adottato a seguito di accertamenti effettuati dal Garante in occasione dei quali è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o as-a-service, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti conservandoli per un esteso arco temporale. Con “metadati” devono intendersi informazioni quali, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail.

Per assicurare il rispetto della normativa in materia di protezione dei dati nonché la disciplina di settore in materia di controlli a distanza – come noto, disciplinata dall’art. 4, L. 300/1970 (“Statuto dei Lavoratori”), i datori di lavoro dovranno:

  • verificare che i programmi e servizi informatici di gestione della posta elettronica consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di 7 giorni, estendibili di ulteriori 48 ore in presenza di condizioni specifiche;
  • diversamente, espletare le procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori, ossia sottoscrivere un accordo sindacale o ottenere una autorizzazione dell’Ispettorato, nazionale o territoriale, del Lavoro. Ciò poiché l’estensione del periodo di conservazione oltre l’arco temporale dei 7/9 giorni può comportare un indiretto controllo a distanza dell’attività del lavoratore;
  • in ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo preventivamente agli stessi una specifica informativa sul trattamento dei dati personali.

In altre parole, se per rispondere a esigenze organizzative e produttive, di tutela del patrimonio aziendale e di sicurezza del lavoro, la conservazione dei dati non può essere limitata ai periodi indicati dal Garante, i datori di lavoro dovranno sottoscrivere un accordo sindacale o ottenere una autorizzazione dell’Ispettorato del Lavoro.

In assenza di ciò, si configura un controllo a distanza delle attività del lavoratore che può avere conseguenze anche penali al quale si aggiunge anche la violazione della normativa in materia di protezione dei dati personali avente, quale conseguenza, (i) l’illiceità del trattamento dei dati personali, (ii) la violazione del principio di limitazione della conservazione nonché (iii) la violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita oltreché di responsabilizzazione.


In ogni caso, resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i metadati non potranno comunque essere utilizzati. ​

Altri insights correlati:

In attuazione della Direttiva UE 1937/2019 nel nostro ordinamento è entrato in vigore il D.lgs. 24/2023 che ha provveduto ad introdurre la nuova disciplina di legge in materia di whistleblowing. La fattispecie era in vigore già da alcuni anni nelle aziende tenute ad implementare i modelli 231 ed è oggi prevista in modo analitico e puntuale per tutte le aziende, dal punto di vista procedurale e sanzionatorio. 

Il termine “whistleblowing” indica l’attività di segnalazione di violazioni di disposizioni normative nazionali o della Ue di cui i lavoratori siano venuti a conoscenza nel contesto lavorativo. Per le aziende con più di 250 dipendenti l’obbligo di dotarsi di sistemi adeguati alla segnalazione è in vigore dal 15 luglio 2023, mentre per le piccole medie imprese l’obbligo è scattato a partire dal 17 dicembre. 

Sono oggetto di segnalazione i comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e che consistono in violazioni riconducibili alle specifiche fattispecie elencate nel decreto. 

La persona che ritiene sussistente i presupposti per una segnalazione può ricorrere ai seguenti canali: (i) segnalazione interna; (ii) segnalazione esterna, se non è prevista l’attivazione obbligatoria del canale di segnalazione interna, o se questa è già stata fatta senza seguito, se il segnalante ha fondati motivi per ritenere che alla segnalazione interna non sarebbe dato seguito o ci sarebbero rischi di ritorsione oppure se il segnalante ha fondato motivo per ritenere che la violazione costituisca un pericolo per il pubblico interesse; (iii) divulgazione pubblica, se il segnalante ha già effettuato una segnalazione interna e/o esterna senza riscontro, se vi è fondato motivo di ritenere che la violazione possa costituire un pericolo per il pubblico interesse oppure se vi è fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa essere inefficace; (iv) denuncia all’autorità giudiziaria, sempre possibile. 

I canali interni devono garantire la riservatezza della persona segnalante, del contenuto della segnalazione, del facilitatore e della persona coinvolta. Nella definizione dei canali di segnalazione interni è necessario ricorrere a strumenti idonei a recepire le segnalazioni sia in forma orale che scritta, essendo garantite al segnalante entrambe le modalità. 

A tal proposito, l’Anac con delibera 311 del 12 luglio 2023 ha ritenuto la posta elettronica ordinaria e la posta elettronica certificata sistemi non adeguati a garantire la riservatezza, rimandando quindi all’utilizzo di piattaforme online. Per quanto riguarda la segnalazione cartacea, l’Anac ha richiesto che venga inserita in due buste chiuse (una con i dati identificativi e la seconda con la segnalazione vera e propria), inserendo poi entrambe le buste in una terza busta chiusa con indicazione esterna della dicitura “riservata” al gestore della segnalazione. 

Per attuare il nuovo obbligo normativo, le aziende sono tenute a definire il canale con un atto organizzativo specifico; informare le rappresentanze sindacali; mettere a disposizione della persona segnalante informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne o esterne (ad esempio tramite il sito web o la pagina della piattaforma); garantire l’attività di formazione di coloro a cui è demandata la gestione del canale di segnalazione e a tutto il personale interno; adeguare il modello organizzativo 231 (se adottato) e porre in essere tutti gli adempimenti richiesti affinché sia rispettata la disciplina in materia di protezione  dei dati personali ed i trattamenti effettuati siano ad essa conformi. Le imprese, infine, dovranno adottare un sistema sanzionatorio in caso di violazione delle disposizioni di cui al decreto. 

In conclusione, il quadro regolatorio che scaturisce dalla disciplina introdotta con il D.lgs. n. 24/2023 alle imprese e agli operatori una grande attenzione nella predisposizione delle policy e degli strumenti organizzativi e di gestione necessari all’attuazione agli obblighi di legge in modo da assicurare, così, la tutela e la concreta valorizzazione dei principi etici di ogni organizzazione.