Tutela dei dati dei lavoratori in Italia: quadro giuridico tra GDPR, statuto dei lavoratori e IA Act
I dati dei lavoratori rappresentano oggi uno dei temi più critici nell’intersezione tra diritto del lavoro e normative sulla privacy, particolarmente rilevante dopo l’introduzione dell’AI Act europeo. Questo contenuto fa parte di una serie di approfondimenti dedicati al tema dello “Standard di gestione dei dati dei dipendenti dopo l’AI ACT”, con l’obiettivo di fornire una comprensione sistematica delle trasformazioni normative in corso.
Il presente articolo si concentra sui fondamenti giuridici della protezione dei dati personali nel rapporto di lavoro, analizzando l’evoluzione del quadro normativo italiano dal pionieristico Statuto dei Lavoratori del 1970 fino all’integrazione con il GDPR e il recente AI Act.
Diritto del lavoro e privacy digitale: approccio giuslavorista ai dati dei lavoratori
La protezione dei dati personali non è una materia esclusivamente tecnica. Al contrario, parlando di un diritto nel senso più soggettivo – cioè come “interessi giuridicamente protetti[1]” dell’individuo – ha senso partire proprio da un approccio giuridico, e in particolare giuslavorista. Per questo motivo inizieremo dall’analizzare quali strumenti giuridici presenta l’ordinamento italiano prima di capire l’impatto dell’introduzione di sistemi automatizzati.
L’argomento è quanto più lontano dall’essere statico. Non solo la tecnologia avanza inesorabilmente andando a mutare – a volte rivoluzionare – le condizioni oggettive in cui viviamo, ma a questo si aggiunge anche un continuo tentativo di regolamentare e legiferare la materia. Non bisogna arrivare alla conclusione disfattista che allora questo studio sia inutile, perché questo è l’unico modo per comprendere sia i dettagli dell’evoluzione sia i principi essenziali che sopravvivendo alle trasformazioni, anche quelle più radicali, vanno a definire i tratti di riconoscimento della nostra società. L’ultimo sviluppo in materia è stato l’IA Act dell’Unione Europea ma prima di parlarne nel dettaglio è necessario analizzare prima i fondamenti e gli strumenti della materia giuslavorista.
In sintesi, sono due gli elementi fondamentali. Il primo è il principio con il quale si procede alla limitazione dei poteri datoriali e in particolare quello dell’iniziativa economica; il secondo è lo strumento dell’imposizione di obblighi informativi, sia nella dimensione di quando si applicano ma anche di come essi si strutturano. Accostiamo, cioè un’analisi teorica dei ragionamenti e una tecnica degli strumenti.
Il principio della limitazione delle finalità
Il diritto del lavoro del nostro paese si trova già con diverse norme che vanno a regolamentare il rapporto tra lavoro e tecnologia, andando a fornire protezione da eventuali minacce. Alcune di queste leggi derivano dall’adozione nazionale di regolamenti e direttive del diritto comunitario, ma la fonte prioritaria, sia perchè la più importante sia perchè la prima cronologicamente, è la legge n.300 del 1970, meglio nota come Statuto dei Lavoratori.
Inutile dire che un testo – che per quanto tenuto aggiornato – sia stato scritto oltre 50 anni fa non può essere l’unico riferimento normativo necessario ad analizzare una materia come questa, ma la natura estensiva e di indirizzamento dello Statuto dei Lavoratori lo rende il punto di partenza obbligato per un’analisi di questo tema. All’interno dell’articolo 4 si trova la normativa in materia di strumenti di sorveglianza a distanza dei lavoratori.
La spinta avanguardista del legislatore dimostra che non è meramente formale il passaggio su questa legge o frutto di un puro interesse accademico; invece, si tratta proprio di comprendere uno dei mattoni fondativi della materia giuslavorista e del suo incontro con il diritto alla privacy dei lavoratori in Italia con le conseguenti interazioni.
L’articolo 4 dello Statuto dei Lavoratori regola appunto la materia della sorveglianza a distanza dei lavoratori. La legge sancisce che gli strumenti da cui deriva questa pratica, specificando che non sono solo quelli audiovisivi, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”. Questo vuol dire che all’interno del nostro ordinamento è già presente un limite per l’introduzione di nuove tecnologie nelle aziende, e che questo limite si basa prima di tutto sul fine dell’implementazione.
In altre parole, un datore di lavoro non può adottare una nuova tecnologia semplicemente per sperimentarla o per attrarre nuovi investitori – come può essere il caso della ricerca nelle Intelligenze Artificiali – ma deve prima verificare che questo non vada a ledere i diritti dei lavoratori, incluso quello alla privacy, o che il rischio sia accettabile dalla legge. L’articolo prosegue esplicitando anche la necessità di un accordo con la rappresentanza sindacale, o in alternativa, in caso non sia materialmente possibile, con la sede territoriale dell’Ispettorato Nazionale del Lavoro. Questo serve a rende concretamente possibile il bilanciamento tra gli interessi dei lavoratori e del datore, che come vedremo più avanti è uno dei principi cardine del nostro ordinamento giuslavorista.
Nel 2019 questo articolo è stato emendato con il Jobs Act, andando ad esentare da questi limiti “gli strumenti di lavoro.” La definizione di questi strumenti è stata successivamente fornita dall’Ispettorato Nazionale del Lavoro e confermata dal Garante della Privacy, ed è la seguente: “tutti gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione … ovvero direttamente preordinati all’esecuzione della prestazione lavorativa[2]”.
In poche parole, questo emendamento è servito a superare il generale divieto degli strumenti tecnologici che potrebbero avere teoricamente ricadute di controllo – al giorno d’oggi questi strumenti sono indispensabili, pensiamo al GPS di un corriere – andando però a mantenere il principio della tutela presente nell’articolo 4.
Questa norma è stata scritta tenendo a mente la possibilità che il datore di lavoro introducendo nuovi strumenti tecnologici con l’obbiettivo di migliorare la produttività aziendale corre il rischio di ledere i diritti e le tutele dei dipendenti. Il legislatore, andando a definire le lecite ragioni per questi sistemi di controllo, introduce un approccio fondamentale anche per quanto riguarda la materia di privacy: il principio della limitazione delle finalità[3].
Un approccio del tutto paragonabile lo troviamo, infatti, anche all’interno del Regolamento generale sulla protezione dei dati, ovvero il regolamento europeo 2016/679 (d’ora in avanti GDPR).
Nell’articolo 6 comma 1 del GDPR vengono delineate delle finalità idonee al trattamento dei dati; tra questi, nel caso dei lavoratori dipendenti sia pubblici sia privati, i più rilevanti sono: lettera b, “l’esecuzione di un contratto di cui l’interessato è parte[4]”; lettera c, “il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento[5]”; e lettera f, ”il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali[6]”.
La base del principio di limitazione delle finalità nei confronti delle aziende è da trovarsi già nella Costituzione[7], che sancisce in modo chiaro all’articolo 41 che l’iniziativa economica privata è libera ma che vada anche equilibrata con l’utilità sociale e gli altri diritti individuali. Non ci troviamo, quindi, in un contesto di libertà economica pura ma, al contrario, in uno dove vada ricercato il difficile equilibrio esistente tra la protezione dei diritti dei lavoratori e le legittime esigenze aziendali.
Questo è fondamentale da tenere a mente perché ci fornisce lo strumento logico-giuridico di partenza per andare a normare questa materia; il fine del nostro ordinamento è comunque quello di tutelare i diritti dei lavoratori, e tra questi possiamo inserire il diritto alla privacy. Per questo il nostro ordinamento è arrivato alla conclusione di normare la materia seguendo il principio regolatore di mantenere il trattamento dei dati al minimo, a maggior ragione se si tratta di dati sensibili[8].
Questa impostazione è confermata dal Garante Protezione dei Dati Personali (GPDP) che nelle sue linee guida specifica che “Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l´esatto adempimento della prestazione o commisurare l´importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza).
Alcuni scopi sono altresì previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro individuale … o, ancora, dalla legge[9].” Anche il GPDP segue il principio di limitazione delle finalità e soprattutto del ruolo ricoperto dal dialogo sindacale, che nel nostro ordinamento è sempre trattato come punto non facoltativo delle procedure di tutela dei dati dei lavoratori. Questo ragionamento ci porta a discutere degli obblighi informativi.
Obblighi informativi datori di lavoro: trasparenza nella gestione dati dei lavoratori
L’istituzione degli obblighi informativi è uno tra gli strumenti principali tra quelli che il nostro ordinamento fornisce ai lavoratori per garantire una trasparenza anche nel contesto aziendale. Questa materia, disciplinata dal GPDP, risulta centrale per diversi motivi. Prima di tutto, all’interno dell’ordinamento europeo in materia di trattamento dei dati quello dell’informativa è diventato un vero e proprio standard, applicato dal GDPR in diversi contesti che riguardano i dati sensibili. Inoltre, l’inserimento di comunicazioni verso i singoli coinvolti e dai portatori di interessi diffusi, avvia un processo di inserimento della tutela già nella fase di costruzione delle procedure che costituiscono l’attività ordinaria di un’azienda.
Questo è il cosiddetto principio di security by default, ovvero l’idea che la sicurezza non sia semplicemente una pratica corretta ma che vada utilizzata come principio-costante di tutte le procedure di trattamento dei dati. Un principio che oggi cerca di avvolgere tutto il mondo della cybersecurity, come vedremo più avanti nella tesi.
Il diritto del lavoro italiano, come quello comunitario, non è estraneo agli obblighi informativi. Questi vengono già previsti da diverse norme, e si applicano ovviamente anche alla gestione dei dati dei lavoratori. Come già spiegato, nell’articolo 4 dello Statuto dei lavoratori troviamo menzionato l’obbligo di accordo con le rappresentanze sindacali o con la sede territoriale dell’ispettorato del lavoro.
Questo è paragonabile in tutto e per tutto ad un obbligo informativo – anzi, è uno strumento ancora più avanzato andando a prevedere non solo una comunicazione unilaterale da parte dal datore, ma l’esplicita menzione di un’intesa specifica anche la possibilità di azione dalla controparte.
Ma ancora di più dell’articolo 4, la vera norma di riferimento per quanto riguarda gli obblighi informativi del datore di lavoro è da ritrovarsi nel D.lgs. 152/1997. Si tratta di un decreto di attuazione di una direttiva comunitaria, la numero 533 del 1991, relativa agli obblighi di informazione sulle condizioni applicabili al contratto o al rapporto di lavoro che hanno come soggetto passivo i lavoratori.
L’obbiettivo del legislatore europeo era quello di armonizzare la materia a livello europeo, adottando una soluzione che potesse ridurre asimmetria informativa tra lavoratore e datore. La direttiva 91/533, basandosi sull’ordinamento del Regno Unito, aspirava ad un sistema in cui i lavoratori non sono all’oscuro di eventuali modifiche o di rischi alla loro sicurezza e alla loro salute.
Questa norma comunitaria è stata oggetto di un iter di riforma all’interno dell’Unione Europea stessa quando ci si è trovati a dover fronteggiare l’emergere dell’economia digitale, dell’informatizzazione e di nuove condizioni di lavoro. Il processo ha raggiunto una concretezza rilevante nel 2017 e si è concluso (per ora) nel 2019 con la direttiva 1152. In Italia è stata recepita nel 2022 con un decreto attuativo noto come Decreto Trasparenza, che è andato tra le altre cose a riscrivere l’articolo 1 del D.lgs.
152/1997 e ad arricchirlo di un articolo 1-bis dedicato esclusivamente proprio ai sistemi di decisione automatizzati. La riforma si concentra anche sull’inserimento all’interno della normativa già esistente, più di un riferimento esplicito a queste tecnologie in cui rientrano anche quelle basati sulle IA. L’articolo 1-bis fornisce un preciso profilo per gli obblighi di comunicazione verso i lavoratori di quei casi in cui “il datore di lavoro o il committente, pubblico o privato, utilizzi sistemi decisionali o di monitoraggio automatizzati” che devono essere informati “in modo chiaro, trasparente, completo e facilmente accessibile a distanza e per via elettronica, anche tramite portali online esistenti” utilizzando “i mezzi più appropriati”.
Quest’ultimo passaggio ci riporta di nuovo davanti alla questione di come il nostro ordinamento oggi non si accontenti semplicemente di avere procedure di sicurezza e/o trasparenza, ma richiede anche lo sforzo di curarle nel dettaglio calandole nella realtà della singola azienda o del singolo luogo di lavoro. In particolare, la normativa sancisce il diritto all’informazione – e alla spiegazione – delle “informazioni significative” ; ovvero delle motivazioni, delle responsabilità, dei dati, dell’equità, della sicurezza e dell’impatto.
Un aspetto distintivo dell’adozione italiana della direttiva europea riguarda Il ruolo svolto dalle rappresentanze sindacali. Nel ordinamento giuslavorista del nostro paese i sindacati non sono soltanto considerati come un aggregato di lavoratori individuali – quindi già informati singolarmente – ma vengono come reputati un vero e proprio soggetto passivo separato.
Questo perché qui il sindacato è uno strumento essenziale di tutela collettiva, al quale devono essere garantiti specifici obblighi di informazione e consultazione, indipendentemente dalla sua presenza all’interno della singola realtà aziendale. In assenza di rappresentanze sindacali dirette, la normativa prevede che la comunicazione avvenga nei confronti delle organizzazioni comparativamente più rappresentative a livello territoriale, assicurando così la protezione dei lavoratori e il rispetto del principio di partecipazione sindacale nei processi decisionali di rilievo[10].
I contenuti specifici delle informative sono normati dal GDPR, che ci fornisce una descrizione dettagliata. Secondo l’articolo 13 comma 1, queste informazioni devono essere fornite al momento di raccoglimento dei dati, che in alcuni casi può coincidere con la firma del contratto[11].
Le informazioni inerenti al materia giuslavorista si trovano sotto le lettere A, B, C e E; queste riguardano: A) l’identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo rappresentante; B) i dati di contatto del Responsabile della protezione dei dati, ove applicabile; C) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; E) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali.
All’interno del secondo comma dello stesso articolo 13, che specifica ulteriori informazioni da fornire all’interessato, sono rilevanti le lettere: A) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; D) il diritto di proporre reclamo a un’autorità di controllo; E) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; F) l’esistenza di un processo decisionale automatizzato. Quest’ultimo punto è, senza ombra di dubbio, fondamentale per questa dissertazione.
Quadro complessivo e l’introduzione dell’IA ACT
Il quadro fin’ora delineato ci serve a calare l’introduzione del regolamento europeo sull’intelligenza artificiale nel nostro ordinamento. L’interazione tra GDPR e Statuto dei Lavoratori configura già un’impostazione molto solida per la tutela dei lavoratori[12]. Ai lavoratori deve essere garantita una corretta valutazione del rischio volta a giustificare l’adozione di tecnologie che possono andare a costituire una minaccia ai loro diritti, incluso quello alla privacy. Inoltre, questa attenzione non solo deve essere dimostrata alle autorità competenti ma anche ai lavoratori con gli strumenti più opportuni, incluso il sindacato.
La portata principale dell’ IA Act è quella di introdurre dei nuovi controlli che andremo ad analizzare nel prossimo capitolo. Prima, però, è giusto dedicare un momento a spiegare che questo regolamento non è affatto una rivoluzione o una modifica radicale dell’impostazione che abbiamo analizzato fin’ora. Questo non per immobilismo del legislatore ma perché, semplicemente, non era necessario. Negli ultimi anni l’ordinamento europeo si era già attrezzato per gestire l’impatto dei processi automatizzati e, in ultima analisi, l’applicazione di queste tecnologie all’interno delle aziende non ha richiesto alterazioni fondamentali.
Le interazioni che l’ultimo regolamento ha con quanto disciplinato dal GDPR si può riassumere in tre scenari: duplicazione, integrazione e frizione[13]. Nella duplicazione, o sovrapposizione, rientrano tutti quei casi in cui il nuovo regolamento va sostanzialmente a confermare quanto sancito dal GDPR. Un esempio di questo caso è la normativa in caso di data breach, per cui viene previsto l’obbligo di comunicazione tempestiva all’autorità garante nell’ordinamento nazionale.
Rientrano nel caso dell’integrazione quelle normative che vanno ad allargare i limiti imposti a chi adopera le tecnologie basate sull’intelligenza artificiale, facendo emergere i nuovi principi del processo normativo dietro l’IA Act e i nuovi sviluppi tecnici. Un esempio di questo caso è l’implementazione, affianco alla Valutazione d’Impatto sui Dati Personali (DPIA) dell’articolo 35 del GDPR, di una Valutazione d’Impatto sui Diritti Fondamentali (FRIA) per i casi considerati ad alto rischio, come le applicazioni di gestione aziendale[14].
Un altro esempio di integrazione che vale la pena menzionare è l’inserimento della definizione dei “dati basati sulla biometria” che si affiancano ai “dati biometrici” del GDPR[15]; questi nuovi dati sono quelli che servirebbero ad addestrare le IA, tra le varie cose al riconoscimento degli stati d’animo. Per ultima, la frizione consiste nell’estensione della base legale per l’esenzione, ovvero che vanno ad ampliare lo spettro delle deroghe previste dal GDPR[16]. Questi casi sono i meno numerosi, e vanno sostanzialmente a tutelare la competitività dello sviluppo di IA all’interno del mercato unico europeo, un bilanciamento che col passare del tempo fa sempre più pressione sul legislatore.
Un esempio si trova all’articolo 59 del regolamento che legittima il trattamento dei dati personali per lo sviluppo di sperimentazione normativa delle IA in nome dell’interesse pubblico. Interessante notare come anche in questo caso emerge una giustificazione in linea col principio di limitazione delle finalità.
Questo articolo ha analizzato i fondamenti normativi che regolano il trattamento dei dati dei lavoratori nel contesto post-AI Act, evidenziando come l’ordinamento italiano abbia sviluppato un approccio coerente e progressivo alla tutela della privacy nel rapporto di lavoro. Dall’analisi emerge che il principio di limitazione delle finalità, radicato nello Statuto dei Lavoratori del 1970 e rafforzato dal GDPR, costituisce il pilastro centrale di questo sistema di protezione.
Il prossimo approfondimento si concentrerà sui controlli e certificazioni in Unione Europea, analizzando in dettaglio i principi della cybersecurity nella regolamentazione europea; i controlli e le autorità di vigilanza nel quadro post AI ACT e il modello delle certificazioni ISO e della direttiva NIS2.
Per un approfondimento completo su tutti gli aspetti normativi e pratici della gestione dei dati dei dipendenti nell’era dell’intelligenza artificiale, scarica il white paper completo curato da Biagio Poliseno “Standard di gestione dei dati dei dipendenti dopo l’AI ACT”.
Fonti:
[1] “Rechte sind rechtliche geschutze Interessen” è la nota definizione di Jhering del diritto soggettivo. Menzionata da diverse fonti tra cui l’enciclopedia Treccani e la relazione al corso di formazione sul Riparto di giurisdizione, organizzato da Scuola superiore della Magistratura e Ufficio studi della giustizia amministrativa, Roma, Tar Lazio, 16 marzo 2017.
[2] Falco, W. (2019). ”Il nuovo art. 4 St. lav.: tra strumenti di lavoro e privacy”
[3] Iaselli M. (2023) “Il trattamento dei dati del dipendente nel rapporto di lavoro: principi e cautele”
[4] Art. 6 GDPR – Liceità del trattamento.
[5] Ibid.
[6] Ibid.
[7] Roma, G. et alii, (2023) “Tra GDPR e Statuto dei lavoratori: i profili di privacy del lavoratore sotto la lente del Garante”
[8] Iaselli, op.cit.
[9] Garante per la Protezione dei Dati Personali (GPDP). Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati. Roma: deliberazione n. 53, 23 novembre 2006.
[10] Carinci, M. T., Giudici, S., e Perri, P. (2023). Obblighi di informazione e sistemi decisionali e
di monitoraggio automatizzati (art. 1-bis “Decreto Trasparenza”): quali forme di controllo per i poteri datoriali algoritmici? Labor Il Lavoro Nel Diritto, 1/23.
[11] Consultato su Altalex.com il 1 febbraio 2025.
[12] Roma, G. et alii, op.cit.
[13] Cappai M. (2024) “Intelligenza artificiale e protezione dei dati personali nel d.d.l. n. 1146: quale governance nazionale?”, Federalismi.it, 18 dicembre 2024.
[14] Roma, G. et alii, op.cit.
[15] Tebano L. (2023) “Poteri datoriali e dati biometrici nel contesto dell’AI Act”, Federalismi.it, 18 ottobre 2023.
[16] Ibid.
Biagio Poliseno è nato a Bari il 21 agosto 2000. Dopo essersi trasferito a Roma, ha intrapreso un percorso accademico internazionale, conseguendo con lode una laurea triennale in Affari Internazionali presso la John Cabot University nel dicembre 2021. A marzo 2024 ha completato con il massimo dei voti la laurea magistrale in Scienze dell’amministrazione e della politica pubblica presso Sapienza – Università di Roma, con una tesi sul algorithmic management e il ruolo del sindacato nella regolazione dell’intelligenza artificiale nei contesti lavorativi.
Parallelamente alla formazione accademica, ha maturato esperienze in ambito amministrativo, redazionale e universitario, con tirocini in contesti di ONG e aziende. Durante la pandemia ha ricoperto il ruolo di Covid Manager, coordinando l’applicazione dei protocolli di sicurezza durante eventi sportivi organizzati da l’ACI.
Nel 2025 ha concluso con lode il master di II livello in Informatica giuridica, diritto delle nuove tecnologie alla Sapienza, presentando una tesi dedicata agli standard di gestione dei dati dei dipendenti alla luce del Regolamento europeo sull’intelligenza artificiale (AI Act).
