Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

Il bilancio del Garante tra continuità, innovazione e nuove responsabilità

Lo scorso 15 luglio è stata pubblicata la Relazione annuale sull’attività svolta dal Garante per la protezione dei dati personali nel corso dell’anno 2024. Si tratta di un documento che, come di consueto, offre una ricostruzione organica dell’operato dell’Autorità, restituendo non solo un’analisi delle sanzioni emesse e delle attività ispettive condotte, ma anche una fotografia aggiornata delle principali sfide emerse nel panorama della protezione dei dati personali.

Dal quadro d’insieme, emerge che la maggior parte degli interventi sono incentrati su questioni trasversali e strutturali legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni della tecnologia e del processo di digitalizzazione in settori come la pubblica amministrazione e la sanità; l’intelligenza artificiale generativa; l’apertura alla monetizzazione dei dati, con l’avvio della consultazione pubblica per i modelli di Consent or Pay; proseguendo con le grandi piattaforme e la tutela dei minori ad esempio attraverso sistemi di age verification; la crescente tutela nei confronti dei dati personali dei lavoratori dipendenti nel contesto lavorativo; ed inoltre la consapevolezza dell’aumento, rispetto gli anni passati, di casi di revenge porn e di cyberbullismo, complice forse una maggiore consapevolezza degli interessati.

La Relazione si pone, dunque, come strumento operativo utile per imprese e organizzazioni, restituendo – con taglio concreto – i principali errori riscontrati, le evoluzioni normative intervenute, nonché le prospettive regolatorie che guideranno l’attività dell’Autorità nei prossimi mesi.

Dati personali e rapporto di lavoro: videosorveglianza, biometria e metadati sotto la lente del Garante

Il primo ambito su cui la Relazione annuale si sofferma con particolare attenzione è quello del trattamento dei dati personali dei dipendenti nel rapporto lavorativo. Il Garante ha confermato l’importanza che tali trattamenti siano effettuati nel pieno rispetto dei principi di liceità, correttezza, pertinenza e proporzionalità sanciti dal Regolamento UE 2016/679 (GDPR), sottolineando altresì come la tutela della riservatezza rappresenti un diritto fondamentale e costituzionalmente garantito, che deve trovare piena applicazione anche in questo settore. In questo scenario, l’Autorità ha rimarcato con fermezza la necessità che i trattamenti effettuati nel rapporto lavorativo siano circoscritti ai soli dati strettamente necessari per lo svolgimento dello stesso, nonché supportati da idonee basi giuridiche. Nel merito, è bene ribadire l’inadeguatezza del ricorso al consenso del lavoratore, in quanto non pienamente libero, come richiesto dall’art. 4 del GDPR, a causa dell’asimmetria esistente nel rapporto di lavoro tra datore e dipendente.

Particolare attenzione è stata rivolta ai sistemi di videosorveglianza, la cui installazione, come noto, presuppone il rispetto delle garanzie previste dall’art. 4 dello Statuto dei lavoratori. L’Autorità ha richiamato l’obbligo di individuare in modo puntuale le finalità perseguite e ha ricordato che eventuali eccedenze nel trattamento – soprattutto se non adeguatamente bilanciate – possono condurre a sanzioni.

Ancora più netta è stata la posizione dell’Autorità con riguardo all’utilizzo di dati biometrici per la rilevazione delle presenze, trattamento che il Garante ha continuato a considerare sproporzionato rispetto alla finalità per le quali tali sistemi sono implementati e, dunque, illecito.

Infine, la Relazione richiama il noto provvedimento in materia di metadati, oggetto di un recente aggiornamento anche nel 2025, che ha innescato un dibattito tuttora aperto circa le concrete modalità di attuazione delle indicazioni del Garante. Infatti, le prescrizioni dell’Autorità non sembrano tener conto delle impostazioni predefinite dei prodotti stabilite dai maggiori fornitori di mercato, che rientrano in standard contrattuali non negoziabili dai datori di lavoro a causa dello sbilanciamento delle parti. Allo stato attuale, la soluzione percorribile dai datori per conformarsi alle disposizioni, consiste nella stipula di accordi ad hoc con le rappresentanze sindacali presenti in azienda o – nella maggioranza dei casi–  nella presentazione di richieste all’Ispettorato Territoriale del Lavoro competente, con la conseguenza che nel breve periodo probabilmente anche questi uffici si vedranno sommersi di istanze speculari che andranno a rallentare l’emissione di altra documentazione necessaria (come per esempio la soprarichiamata autorizzazione per l’apposizione dei sistemi di videosorveglianza).

Intelligenza Artificiale: tra sviluppo e corretta implementazione nei sistemi aziendali

Uno dei temi più rilevanti – e al tempo stesso più trasversali – affrontati nella Relazione è quello dell’intelligenza artificiale. La crescente adozione di soluzioni di AI nei processi aziendali e amministrativi ha reso necessaria una presa di posizione chiara da parte dell’Autorità, che ha individuato nel corretto sviluppo e utilizzo di tali tecnologie una delle priorità strategiche anche per i prossimi mesi.

In questo quadro, il Garante ha sottolineato come non sia sufficiente “acquistare” una tecnologia per poterne giustificare l’impiego nei sistemi aziendali. Le imprese devono dimostrare di aver valutato l’impatto privacy delle soluzioni adottate, di aver individuato finalità lecite e basi giuridiche pertinenti oltre che di essere in grado di prevenire effetti distorsivi come bias, allucinazioni o discriminazioni automatizzate. Senza questo passaggio ed il supporto di professionisti, è facile incorrere in rischi quali sanzioni amministrative, danni reputazionali, sospensione della produzione o dei trattamenti di dati svolti.

Nel corso del 2024, il Garante è intervenuto con provvedimenti significativi, tra cui quelli nei confronti di ChatGPT, Replika e DeepSeek; inaugurando una fase di vigilanza più attiva del settore. L’azione dell’Autorità si orienta non solo al profilo sanzionatorio, ma anche a promuovere uno sviluppo dell’AI fondato su responsabilità e trasparenza.

Particolarmente delicato, e ancora oggetto di riflessione, è il tema dell’impiego di dati sintetici nella ricerca scientifica. Questi ultimi si configurano come dei dati generati artificialmente, in grado di replicare fedelmente le caratteristiche ed i comportamenti dei dati reali, pur non contenendo informazioni riconducibili a soggetti identificabili.

La loro adozione potrebbe rappresentare un punto di svolta nel trattamento dei dati personali ai fini di ricerca, in quanto – almeno in astratto – consentirebbe di eliminare il rischio di identificazione, riducendo nettamente gli impatti privacy. Non sorprende, dunque, che un numero crescente di realtà stia investendo nello sviluppo di tecnologie capaci di produrre ed impiegare dati sintetici in modo sempre più efficiente.

Tuttavia, restano aperte numerose questioni: dalla generazione dei dati stessi, alla modalità di “apprendimento” dei comportamenti e dei risultati dei dati reali. Criticità che potrebbero, anche indirettamente, rappresentare una lesione dei diritti degli interessati originari. Il rischio, in altre parole, è che la sinteticità non escluda del tutto l’impatto privacy, rendendo necessario un inquadramento giuridico chiaro e condiviso.

Sanzioni e ricorsi: tra conferme e riqualificazioni delle sanzioni

Un ultimo dato significativo riportato all’interno della Relazione ha ad oggetto i ricorsi processuali presentati avverso le decisioni dell’Autorità. Sul fronte sanzionatorio, si riscontra infatti un aumento del numero di provvedimenti emessi rispetto all’anno precedente, parallelamente, si è altresì assistito ad una crescita dei ricorsi proposti innanzi alla magistratura ordinaria avverso a tali provvedimenti.

Pur essendo prevalente la conferma da parte dell’autorità giudiziaria delle violazioni accertate dal Garante, non sono mancate decisioni in cui i giudici hanno ridotto l’ammontare delle sanzioni pecuniarie comminate da tale autorità, alla luce di un giudizio di maggior valore attribuito all’impegno delle aziende nell’intraprendere azioni correttive rispetto alle criticità evidenziate, oltre che considerare quali circostanze attenuanti le finalità del trattamento posto in essere, la durata della condotta illecita e la cooperazione dimostrata. Si tratta di un dato rilevante, che conferma l’importanza di un’adeguata impostazione dei trattamenti di dati personali e/o delle relative strategie difensive nell’ambito dei suddetti procedimenti amministrativi.

Considerazioni conclusive

La lettura della Relazione 2024 restituisce l’immagine di un’Autorità sempre più consapevole delle sfide legate all’innovazione tecnologica, ma anche sempre più esigente nei confronti dei titolari del trattamento.

Investire in compliance privacy non rappresenta più solo un adempimento formale, ma costituisce una leva strategica per prevenire rischi legali, tutelare la reputazione aziendale e consolidare la fiducia di utenti, clienti e partner.

In tale contesto, lo studio legale non si limita ad agire in fase contenziosa, ma assume il ruolo di partner proattivo e strategico, in grado di affiancare l’organizzazione nella progettazione di modelli di governance del dato efficaci, sostenibili e conformi ai principi di accountability e trasparenza.

Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
Pubblicato il Regolamento Privacy sulla Gazzetta Ufficiale dell’Unione Europea
Privacy & Data Protection
Update | La qualificazione dei dati pseudonimizzati: il recente orientamento del tribunale UE
Privacy & Data Protection
Diritto alla privacy ed esercizio di difesa in giudizio

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.