Nel contesto di una crescente digitalizzazione dei processi lavorativi e amministrativi, il Provvedimento n. 243/2025, emanato dal Garante per la protezione dei dati personali, a conclusione di un accertamento d’ufficio nei confronti della Regione Lombardia, rappresenta un passaggio di rilievo per chiunque si occupi di governance dei dati, diritto del lavoro e compliance normativa.
Sconto crediti fiscali
Finanziamenti e contributi
I tre ambiti del Provvedimento n. 243/2025 del Garante Privacy
Il Provvedimento 243/2025 del Garante rappresenta il codice operativo anche per gli strumenti di lavoro AI-based. Esso tocca tre ambiti distinti: gestione dei metadati delle email, log di navigazione web, sistemi di ticketing.
Ma, nella loro connessione, questi tre ambiti disegnano una struttura coerente per la valutazione dei trattamenti in ambito lavorativo e per la costruzione di un modello di accountability orientato alla tutela dei diritti del lavoratore nel perseguimento dei propri business, in ambito pubblico come in ambito privato.
Il caso della Regione Lombardia
Il caso della Regione Lombardia riguarda trattamenti effettuati su dati generati nell’ambito dell’utilizzo quotidiano degli strumenti di lavoro: posta elettronica, navigazione in rete, richieste di supporto tecnico.
In tutti e tre i casi, il Garante ha rilevato come le modalità operative adottate si discostassero da alcuni criteri cardine come: proporzionalità, limitazione della finalità e durata della conservazione stabiliti in primis dal GDPR e poi declinati – con riguardo a email e navigazione web – nel documento di indirizzo sulla posta elettronica e sul trattamento dei metadati del 2024.
Carenza sistemica: ecco perché
La posta elettronica, per esempio, produce metadati come oggetto, mittente, destinatario, timestamp e IP. Per tali informazioni la Regione Lombardia ha previsto una conservazione per 90 giorni (evidenziando che ciò dipendeva dai vincoli tecnici dell’applicativo del provider), mantenuta anche una volta definita dal Garante la soglia indicativa di 21 giorni, senza accordo sindacale o autorizzazione.
Finanziamenti e agevolazioni
Agricoltura
Analogamente, per i log della navigazione web il tempo di conservazione è stato fissato in 12 mesi, con l’implicita possibilità di identificabilità personale persistente come osservato dal Garante, ancorché la Regione Lombardia ha previsto la gestione presso tre soggetti diversi di MAC Address, IP e detentore dell’apparecchiatura.
Infine, il sistema di ticketing per l’assistenza tecnica comportava la conservazione dei dati fino a 78 mesi e l’assenza di una formale nomina del nuovo fornitore come responsabile del trattamento (e la ulteriore conservazione dei dati afferenti al precedente sistema per il trattamento da parte del nuovo fornitore, sebbene non formalmente definita per questi la nomina a responsabile del trattamento).
Il Garante ha posto inoltre l’accento, per i primi due aspetti, sull’assenza in primis di accordi sindacali o autorizzazione dell’Ispettorato nazionale del lavoro (INL) nonché di valutazioni di impatto (DPIA) e informativa.
Non si tratta, dunque, solo di violazioni puntuali, ma di una carenza “sistemica” nella gestione documentale e relazionale del trattamento.
Il ruolo dello Statuto dei lavoratori
Particolare rilievo assume, nell’articolazione della decisione del Garante, l’art. 4 della legge n. 300/1970 (Statuto dei lavoratori), rubricato “Impianti audiovisivi e altri strumenti di controllo” ovvero la distinzione tra strumenti potenzialmente idonei al controllo (comma 1) e applicazioni adottate dalle organizzazioni come strumenti da utilizzare per rendere la prestazione lavorativa (comma 2), non è solo un esercizio classificatorio, ma una chiave per l’utilizzo previo accordo sindacale o autorizzazione INL (comma 1) o in autonomia (comma 2) di quei sistemi digitali – talora non considerati o dati per neutri — che strutturano le attività, le relazioni e le tracce informative dei lavoratori. Comunque nel rispetto di adeguata informativa al lavoratore (comma 3).
Inoltre, i contratti collettivi nazionali/aziendali possono integrare le tutele previste per legge, per esempio stabilendo limiti all’uso dei log o strumenti di intelligenza artificiale nei processi di gestione delle risorse.
Strumenti digitali e tracciabilità nel lavoro
La distinzione tra strumenti di controllo e strumenti di lavoro non è sempre di immediata evidenza e non si risolve nel nome attribuito allo strumento ma, come pure evidenziato dall’INL nella Circ. 2/2016 (incentrata sui Gps), possono essere considerati “strumenti di lavoro quegli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità sia stati posti in uso e messi a sua disposizione”.
Il Garante ricorda poi che l’intenzione soggettiva del datore di lavoro – ovvero usare le tracce di questi strumenti a fini quali la sicurezza IT e richieste dell’autorità giudiziaria e non per controllo personale – non è basta a tralasciare i vincoli normativi.
Trasforma il tuo sogno in realtà
partecipa alle aste immobiliari.
Ciò che rileva, infatti, è la potenziale capacità dello strumento di generare effetti di controllo.
Sempre il Garante ha ritenuto non pertinente, a titolo giustificatorio, la mancata sollecitazione da parte delle rappresentanze sindacali a definire un accordo (poi comunque definito in corso di istruttoria).
Ambienti digitali come spazi relazionali e produttivi
Il provvedimento si distingue per una visione sistemica degli ambienti digitali, non più considerati come meri contenitori tecnici, ma come spazi relazionali e produttivi.
In essi si accumulano dati comportamentali, cronologie, log e metainformazioni in grado di restituire una rappresentazione analitica dell’attività lavorativa.
La tracciabilità diventa un’eventualità strutturale e non un effetto collaterale: per questo serve un governo informato dei dati e una progettazione attenta sin dalle fasi preliminari.
La protezione dei dati non si configura più come funzione reattiva, ma come leva preventiva di legittimità organizzativa.
Garante Privacy, provvedimento come atto bifronte
I dati generati da strumenti intelligenti non devono essere considerati neutrali né esenti da regole, specialmente quando possono determinare valutazioni dirette o indirette sulla prestazione individuale.
Trasforma il tuo sogno in realtà
partecipa alle aste immobiliari.
Il Provvedimento 243/2025 si propone così come un atto bifronte: da un lato richiama alla responsabilità e all’adempimento puntuale degli obblighi normativi, dall’altro orienta verso un modello regolativo fondato su trasparenza, gradualità e sostenibilità organizzativa.
Non si limita a censurare una prassi, ma definisce un metodo: valutare, documentare, coinvolgere, progettare.
In questa prospettiva, la protezione dei dati si rivela non come limite burocratico, ma come criterio di qualità della progettazione amministrativa e garanzia sostanziale dei diritti dei lavoratori nella trasformazione digitale del lavoro.
Misure correttive richieste a Regione Lombardia
Oltre alla sanzione, quindi, rilevano di più le misure correttive richieste, anche alla luce degli accordi sindacali nel frattempo stipulati, con riferimento alla navigazione web (su cui ha richiamato fra l’altro il punto 5.2 lett. a delle proprie Linee guida per posta elettronica e internet del 2007), fra l’altro ritenendo necessario, oltre alla specificazione dei presupposti per procedere, all’occorrenza, all’individuazione dei soggetti a cui si riferiscono specifici log di navigazione, che:
- i log dei tentativi di accesso a siti censiti nella apposita black-list debbano essere raccolti solo in forma anonimizzata;
- dopo 90 giorni i log di navigazione debbano essere cancellati o anonimizzati (anche con riguardo a quelli già registrati);
- venga cifrato il dato afferente all’assegnatario dell’apparecchiatura.
Rpd: figura chiave virtuosa
Un aspetto essenziale del Provvedimento è l’attribuzione di valore conformativo al Documento di indirizzo del 2024 con riguardo ai metadati: vero e proprio parametro per valutare la compliance alla privacy dei pertinenti trattamenti.
Merita evidenziare la particolare sottolineatura, nel provvedimento, del Responsabile della Protezione dei dati (RPD), il cui contributo è letteralmente definito “virtuoso” dal Garante.
Microcredito
per le aziende
Il RPD si conferma quindi come figura chiave: garante interno della legalità sostanziale, che rafforza la cultura dell’accountability.
In questa prospettiva, si evidenzia come il Garante richiami l’art. 88 del GDPR che consente agli Stati membri di introdurre garanzie più specifiche nel contesto lavorativo.
Quindi è lecito che rivendichi il ruolo di interlocutore necessario anche verso la tutela della privacy dei lavoratori, nell’ottica di una loro compiuta tutela.
Due aspetti del Provvedimento sugli strumenti di lavoro AI-based
Alla luce del Provvedimento in esame, strumenti di più recente generazione come Microsoft Copilot – che operano come assistenti cognitivi interni a suite collaborative – pongono interrogativi ulteriori.
Copilot, se impiegato in ambito lavorativo, genera log che possono comprendere, oltre a quelli di accesso all’applicativo, di cronologie operative, documenti utilizzati / consultati, comandi impartiti e contesti applicativi.
Ai fini dell’applicabilità dell’art. 4 della legge n. 300/1970 (Statuto dei lavoratori), appare plausibile collocare l’utilizzo di Copilot e simili nel comma 2, ovvero strumenti funzionali alla prestazione lavorativa.
Essi non sono configurati ex ante come dispositivi di monitoraggio, ma vengono forniti al dipendente per migliorare l’efficienza e la qualità del lavoro.
Finanziamo agevolati
Contributi per le imprese
Nonostante non sia oggetto diretto del provvedimento, l’analisi del Garante fornisce una griglia utile anche per valutare questi nuovi strumenti: occorre una valutazione d’impatto, una definizione chiara delle finalità e dei vincoli all’utilizzo (in particolare con riguardo a informazioni dell’organizzazione specie se classificate), la trasparenza verso gli interessati e la predisposizione di misure tecniche come la cifratura e la pseudonimizzazione. In definitiva, per Copilot e strumenti analoghi, considerati o meno “strumenti di lavoro” ai sensi dell’art. 4, comma 2, restano imprescindibili misure di protezione conformi al GDPR e al Codice Privacy nazionale, in linea con l’approccio “by design” e “by default”.
La natura innovativa e pervasiva di questi strumenti richiede, da parte del titolare, una riflessione continua sul loro impatto reale sulla sfera personale dei lavoratori.
Il secondo aspetto
Esso riguarda l’aspetto di una compiuta tutela privacy dei lavoratori, attesa anche la crescente pervasività della variabile IT nelle definizione delle condizioni di lavoro.
In primo luogo devono essere le organizzazioni sindacali a farsene carico, eventualmente avvalendosi – in assenza di expertise interne – anche dell’apporto specialistico dei RPD che dovrebbero nominare ai sensi del GDPR (anche perché sempre più spesso forniscono servizi ai propri associati che possono interessare una miriade di dati personali), sebbene in tale eventualità operando in senso proprio come esperto piuttosto che come RPD.
Anche alla luce dell’art. 88 del GDPR che consente agli Stati membri la facoltà di emanare norme più specifiche in materia di privacy nel contesto lavorativo, si propende per una figura dedicata al presidio della privacy dei lavoratori, analogamente a quanto avviene per la sicurezza sul lavoro (vedi le apposite petizioni presentate al Parlamento europeo, la n. 1174/2024 e, le n. 889 e n. 1138 proposte rispettivamente alla Camera e al Senato per la presente XIX Legislatura al Parlamento italiano).
Vedremo nel tempo se tale ipotesi, la cui utilità sembra emergere anche da questo caso, possa maturare.
Promemoria su trattamento e conservazione log e metadati nei contesti lavorativi
Ecco un checkup minimo su trattamento e conservazione log e metadati nei contesti lavorativi (da considerare anche per un quantomeno opportuno “checkup” dei trattamenti già in atto):
Contributi e agevolazioni
per le imprese
- Metadati email. Conservazione massima: 21 giorni. Periodi superiori ammessi solo con accordo sindacale o autorizzazione INL (art. 4 Statuto lavoratori).
- Log di navigazione. conservazione per 90 giorni, poi anonimizzazione_ il termine non appare ordinatorio, non essendo previsto da atti generali del Garante) e potrebbe quindi essere esteso con adeguata motivazione, sempre ovviamente con accordo sindacale o autorizzazione INL. Evitare raccolta non anonimizzata di accessi a siti in black-list.
- Ticketing: conservazione per il tempo strettamente necessario, poi anonimizzazione. Escludere contenuti non pertinenti.
- Accordi sindacali: obbligatori per ogni trattamento potenzialmente controllante (art. 4, comma 1). In caso di impossibilità occorre far riferimento all’INL.
- Misure tecniche: applicare misure proporzionate al rischio: crittografia, separazione dati, anonimizzazione eccetera.
- Responsabilità del titolare: garantire privacy by design e by default. Coinvolgere il RPD. Provvedere per policy, informativa, valutazione d’impatto. Coinvolgere le OO.SS. almeno quando previsto.
- Ruolo delle OO.SS: devono rivendicare il ruolo di interlocutore necessario anche verso la tutela della privacy dei lavoratori, nell’ottica di una compiuta tutela dei lavoratori (anche oltre quanto qui trattato ovvero con riguardo all’uso di algoritmi nella impostazione dei processi di lavoro).
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
