NEWSLETTER PRIVACY

APRILE 2025

Via libera al Senato al disegno di legge su AI.

È stato approvato in Senato il Ddl. 1146, recante “Disposizioni e delega al Governo in materia di intelligenza artificiale” che, insieme al Regolamento Ue 2024/1689, compone il quadro normativo in tema di AI applicabile in Italia. Il testo passa ora all’esame della Camera.

Il Ddl., in particolare, è destinato a disciplinare gli spazi normativi rimessi dal Regolamento all’autonomia degli Stati membri, con l’obiettivo di promuovere un utilizzo “corretto, trasparente e responsabile, in una dimensione antropocentrica” dell’AI e garantire la vigilanza sui rischi economici e sociali e sull’impatto sui diritti fondamentali dell’intelligenza artificiale (art. 1 comma 1).

Il disegno di legge è composto da 6 Capi, dedicati a norme di principio (artt. da 1 a 6), a disposizioni relative a settori strategici (sanità, lavoro, giustizia, professioni intellettuali, disabilità, Pubblica Amministrazione; artt. da 7 a 16), a governance, autorità nazionali e azioni di promozione (artt. da 17 a 22), a disposizioni a tutela degli utenti e in materia di diritto d’autore (artt. 23 e 24), a sanzioni penali (art. 25) e disposizioni finanziarie (art. 26).

Tra gli aspetti che interesseranno i professionisti va segnalato l’art. 12 che, nel testo approvato, stabilisce che l’utilizzo di sistemi di intelligenza artificiale nelle professioni intellettuali “è finalizzato al solo esercizio delle attività strumentali e di supporto all’attività professionale e con prevalenza del lavoro intellettuale oggetto della prestazione d’opera”.

La Relazione al Ddl spiega che la disposizione è finalizzata ad assicurare che, nelle professioni intellettuali, il pensiero critico dell’uomo sia prevalente rispetto all’AI, di modo che il ricorso a quest’ultima non snaturi la funzione della professione intellettuale (mettere a disposizione le proprie competenze specifiche) e non mini la relazione tra cliente e professionista.

Per assicurare il rapporto fiduciario tra le parti, il comma 2 della disposizione stabilisce, inoltre, che “le informazioni relative ai sistemi di intelligenza artificiale utilizzati dal professionista sono comunicate al soggetto destinatario della prestazione intellettuale con linguaggio chiaro, semplice ed esaustivo”. Per dimostrare l’avvenuta comunicazione, potrebbe essere necessario, quindi, predisporre un’informativa da far firmare al cliente.

L’uso consapevole di sistemi AI da parte dei professionisti dovrebbe essere favorito anche da percorsi di alfabetizzazione e formazione al loro utilizzo. In questa prospettiva, l’art. 22 del testo delega il Governo ad adottare uno o più decreti legislativi per l’adeguamento della normativa nazionale al Regolamento Ue 2024/1689, che attribuiranno agli ordini professionali il compito di organizzare percorsi di alfabetizzazione e formazione per i professionisti all’uso dei sistemi di intelligenza artificiale. La medesima disposizione prevede la possibilità di una modulazione dell’equo compenso sulla base dei rischi e delle responsabilità connessi all’uso dell’intelligenza artificiale da parte del professionista.

L’art. 14, poi, definisce i limiti per l’impiego dei sistemi di intelligenza artificiale in un ambito qualificato dal Regolamento Ue come “ad alto rischio”, quello dell’attività giudiziaria. La norma dispone che, in caso di utilizzo dell’AI, debbano in ogni caso essere riservate al magistrato le decisioni sull’interpretazione e l’applicazione della legge, sulla valutazione dei fatti e delle prove e sull’adozione dei provvedimenti.

È, invece, consentito l’utilizzo dell’intelligenza artificiale per l’organizzazione dei servizi relativi alla giustizia, per la semplificazione del lavoro giudiziario e per le attività amministrative accessorie, la cui disciplina è demandata al Ministro della giustizia.

Intervento anche sulla disciplina sugli “impatriati” L’art. 20 è volto a integrare la disciplina fiscale di favore per i lavoratori rimpatriati, prevedendo che il requisito dell’elevata qualificazione possa ritenersi soddisfatto anche quando il lavoratore ha svolto “un’attività di ricerca anche applicata nell’ambito delle tecnologie di intelligenza artificiale”. Come precisa la Relazione tecnica al Ddl, l’intervento non comporta oneri aggiuntivi per la finanza pubblica, in quanto volto a specificare la possibilità di accesso al regime agevolato per soggetti “sicuramente in possesso dei requisiti di elevata qualificazione o specializzazione”; si tratta di una modifica intenzionata ad agevolare la mobilità di tali soggetti avrebbe potuto più utilmente prevedere che gli stessi siano esonerati dal requisito della residenza estera “rafforzata”.

Telemarketing: Garante privacy, stop ai consensi “omnibus”.

Sanzionata per 300mila euro società fornitrice di energia elettrica e gas.

Il consenso alla cessione dei dati personali a terzi per finalità di marketing può considerarsi realmente libero soltanto se all’interessato sono garantiti una scelta effettiva e il controllo sui propri dati. L’utilizzo di formule generiche che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate (p.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.), non è quindi in linea con la normativa privacy e non può far venir meno gli effetti della opposizione manifestata con l’iscrizione al Registro Pubblico delle Opposizioni. Lo stesso principio vale per form e informative che ostacolino l’esercizio dei diritti riconosciuti all’interessato in ordine alla scelta degli strumenti attraverso cui ricevere le comunicazioni promozionali.

È quanto affermato dal Garante privacy nel sanzionare Energia Pulita S.r.l., società fornitrice di energia elettrica e gas, per aver trattato in modo illecito i dati di un centinaio di persone che si erano rivolte all’Autorità lamentando la ricezione di chiamate indesiderate effettuate in mancanza di un’idonea base giuridica e, in molti casi, utilizzando tecniche commerciali particolarmente insidiose.

Il ricorso a simili form per l’acquisizione del consenso, inoltre, non permette di esprimere una valida, consapevole e inequivocabile manifestazione di volontà, realizzando invece un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori.

Nel corso dell’istruttoria dell’Autorità, è stato accertato anche che la società si è avvalsa di soggetti interni ed esterni all’organizzazione aziendale, violando gli obblighi gravanti sul titolare del trattamento riguardo all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati. Oltre al pagamento della sanzione di 300mila euro, il Garante ha vietato alla società l’ulteriore trattamento dei dati personali dei segnalanti e le ha ingiunto di predisporre adeguati controlli sulla propria rete di vendita e implementazioni dei sistemi, per escludere che possano fare ingresso nel patrimonio aziendale contratti generati da contatti illeciti.

Lavoro: Garante privacy, no al controllo a distanza.

Sanzione di 50mila euro a un’azienda di autotrasporto per Gps installati sui veicoli.

Il Garante Privacy ha sanzionato un’azienda di autotrasporto per aver controllato in modo illecito circa 50 dipendenti, durante la loro attività lavorativa, utilizzando un sistema Gps installato sui veicoli aziendali. Diverse le violazioni riscontrate dall’Autorità, intervenuta a seguito della ricezione di un reclamo da parte di un ex dipendente dell’azienda. 

Dalle ispezioni, effettuate in collaborazione con il Nucleo tutela privacy della Guardia di finanza, è emerso che il sistema Gps tracciava in modo continuativo i dati di localizzazione, velocità, chilometraggio e stato dei veicoli (ad es. quando erano spenti o accesi), senza rispettare la normativa privacy e in modo difforme da quanto previsto dal provvedimento autorizzatorio rilasciato dall’Ispettorato territoriale del lavoro.

In particolare, sono state rilevate gravi carenze nell’informativa fornita ai lavoratori, tra cui la mancata indicazione delle specifiche modalità con cui il trattamento veniva realizzato e la informazione relativa alla diretta identificabilità dei conducenti dei veicoli geolocalizzati.

Tali trattamenti sono risultati contrari anche alle specifiche misure di garanzia indicate dall’Ispettorato del lavoro nel provvedimento di autorizzazione che era stato rilasciato all’azienda, che infatti prevedeva l’anonimizzazione dei dati raccolti e l’adozione di soluzioni tecnologiche in grado di limitare la raccolta di dati personali non necessari o eccedenti rispetto alle finalità di sicurezza e organizzazione aziendale. 

Inoltre, i dati raccolti venivano conservati per oltre 5 mesi, in violazione dei principi di minimizzazione e limitazione della conservazione dei dati stabiliti dal Regolamento UE.

Il Garante, in considerazione delle numerose e gravi violazioni riscontrate, oltre al pagamento di una sanzione di 50mila euro, ha ordinato all’azienda di fornire un’idonea informativa ai dipendenti e di adeguare i trattamenti effettuati attraverso il sistema Gps alle garanzie prescritte nel provvedimento autorizzatorio rilasciato, a suo tempo, dall’Ispettorato territoriale del lavoro all’azienda.

Garante: ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari

La risposta dell’Autorità alle richieste di chiarimenti ricevute

Il nuovo sistema di fatturazione elettronica per i professionisti sanitari, che andrà a regime dal 1° gennaio 2026, è in linea con la normativa in materia di protezione dei dati personali. Il chiarimento del Garante privacy risponde ad alcuni quesiti, rivolti all’Autorità, da parte degli operatori che effettuano prestazioni sanitarie nei confronti dei loro pazienti.

Con il parere favorevole del 7 dicembre 2023, il Garante privacy ha infatti ritenuto che il decreto del MEF sulle modalità di utilizzo da parte dell’Agenzia delle entrate dei dati fiscali delle fatture e dei corrispettivi trasmessi al Sistema Tessera sanitaria individuasse misure appropriate a tutela dei dati sanitari degli assistiti.

L’Agenzia delle entrate potrà acquisire i soli dati effettivamente indispensabili ai fini fiscali, mentre saranno esclusi i dati relativi alla salute degli interessati (descrizione della prestazione e codice fiscale dell’assistito). L’attuale quadro normativo, in vigore – salvo proroghe – fino al 31 dicembre 2025, prevede che in nessun caso una fattura elettronica relativa all’erogazione di una prestazione sanitaria nei confronti degli assistiti debba essere emessa attraverso il Sistema di Interscambio.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Sanzionati due medici liguri per 10mila euro ciascuno.

I dati personali raccolti nell’ambito dell’attività di cura della salute da parte dei sanitari non sono utilizzabili per fini di propaganda elettorale senza uno specifico consenso degli interessati.

È quanto ha ribadito il Garante privacy sanzionando due medici per aver utilizzato gli indirizzi dei pazienti per promuovere le proprie candidature in occasione delle elezioni comunali. In entrambi i casi l’Ufficio è venuto a conoscenza della violazione da una segnalazione e da alcune notizie stampa.

In un caso l’illecito è stato considerato particolarmente grave perché un chirurgo oncologo ha dichiarato di aver contattato una cinquantina di donne con le quali si era creato un rapporto “più stretto e personale” inviando loro lettere di propaganda elettorale. Per espressa ammissione del medico le destinatarie erano tutte pazienti oncologiche e il contenuto del messaggio elettorale richiamava espressamente la loro malattia.

Nell’altro caso un medico di medicina generale aveva inviato una mail di promozione elettorale a 500 pazienti, i cui indirizzi erano stati messi contestualmente in chiaro e non in copia conoscenza nascosta, rivelando a tutti la condizione di malati di ciascuno di loro.Il fatto stesso di comunicare l’esigenza di un trattamento sanitario, ha chiarito il Garante, qualifica i dati personali come dati sulla salute e come tali meritevoli di particolari tutele. L’Autorità ha precisato inoltre che, in entrambe le circostanze, il trattamento dei dati dei pazienti poteva essere effettuato per finalità di cura e non anche per propaganda elettorale. Nel definire la sanzione di 10mila euro per ciascun dottore, l’Autorità ha tenuto conto anche del fatto che i due medici non erano stati destinatari di precedenti disposizioni o sanzioni del Garante. I provvedimenti dovranno essere pubblicati sul sito dell’Autorità e inviati all’Ordine dei medici per le valutazioni di competenza.

Trattamento dati personali nel rapporto di lavoro: si rispettano le norme sulla privacy.

Qualsiasi trattamento di dati personali nell’ambito del rapporto di lavoro deve rispettare gli obblighi risultanti dalle disposizioni del GDPR.

In particolare, la Corte di Giustizia Ue ha affermato, nella sentenza del 19 dicembre 2024 (C-65/23), che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro deve vincolare i suoi destinatari a rispettare non solo i requisiti derivanti dall’art. 88, par. 2, del regolamento Privacy, ma anche quelli che discendono dall’art. 5 e 6. La Corte Ue ha anche precisato che qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui dispongono le parti del contratto, per determinare il carattere «necessario» di un trattamento di dati personali, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo. La questione fa riferimento a una controversia pendente dinanzi alla Corte federale del lavoro tedesca e insorta tra il sig. MK (persona fisica) e la società K GmbH (sua datrice di lavoro), in merito al risarcimento del danno morale che MK asserisce di aver subito a causa di un trattamento dei suoi dati personali effettuato dalla società sulla base di un accordo aziendale

Un impiegato della società tedesca K GmbH, presidente del comitato aziendale costituito presso tale società asserisce di aver subito dei danni per un trattamento dei suoi dati personali effettuato sulla base di un accordo aziendale. La società, infatti, ha proceduto al trattamento di alcuni dati personali dei suoi dipendenti nell’ambito dell’utilizzo di un software denominato «SAP», a fini contabili. Sulla base di accordi aziendali conclusi con il suo comitato aziendale, il gruppo di società D, a cui appartiene la società convenuta, ha introdotto in tutto il gruppo il software «Workday», che opera nel cloud, come sistema unico per la gestione delle informazioni sul personale. La K GmbH ha trasferito diversi dati personali dei suoi dipendenti dal software SAP a un server della società madre del gruppo D, situato negli Stati Uniti.

Il 3 luglio 2017 la K GmbH e il suo comitato aziendale hanno concluso un accordo che stabiliva una tolleranza quanto all’introduzione del software Workday il quale vietava che tale software fosse utilizzato a fini di gestione delle risorse umane, come la valutazione di un lavoratore, durante la fase di sperimentazione. In base all’accordo, le sole categorie di dati che potevano essere trasferite per alimentare il software Workday erano il numero di matricola assegnato al lavoratore all’interno del gruppo D, il suo cognome, il suo nome, il suo numero di telefono, la sua data di entrata in servizio nella società interessata, la data della sua entrata in servizio nel gruppo D, il suo luogo di lavoro, il nome della società interessata, nonché i suoi numeri di telefono e di indirizzo di posta elettronica professionali. Gli effetti di tale accordo sono stati prorogati fino all’entrata in vigore di un accordo aziendale definitivo, concluso il 23 gennaio 2019.

In questo contesto, il ricorrente dinanzi al Tribunale del lavoro e successivamente dinanzi al Tribunale superiore del lavoro del Land, ha presentato delle domande dirette ad ottenere l’accesso a talune informazioni, la cancellazione di dati che lo riguardavano e la concessione di un risarcimento, sostenendo che la K GmbH avesse trasferito, verso il server della società controllante, dati personali che lo riguardavano, alcuni dei quali non erano menzionati nell’accordo aziendale.

Non avendo ottenuto una completa soddisfazione, la ricorrente ha presentato un ricorso per cassazione presso la Corte federale del lavoro, giudice del rinvio.

La Corte Ue di Giustizia europea, richiamando una costante giurisprudenza, ha ribadito che qualsiasi trattamento di dati personali deve rispettare i principi che disciplinano il trattamento di tali dati nonché i diritti dell’interessato enunciati, rispettivamente, ai capi II e III del GDPR. In particolare, deve essere conforme ai principi relativi al trattamento di tali dati enunciati all’art. 5 e soddisfare le condizioni di liceità elencate all’art. 6. Il rispetto degli obblighi risultanti da tali disposizioni, ha affermato la Corte Ue, è previsto anche nel caso in cui siano state adottate dagli Stati membri «norme più specifiche».

La Corte Ue pur riconoscendo che le parti di un contratto collettivo sono in genere nella posizione migliore per valutare se un trattamento di dati sia necessario in un contesto professionale concreto, ha affermato che tuttavia, tale processo di valutazione non deve indurre le parti a scendere a compromessi, di natura economica o di convenienza, che potrebbero pregiudicare l’obiettivo del GDPR di garantire un elevato livello di protezione dei diritti e delle libertà fondamentali dei dipendenti in relazione al trattamento dei loro dati personali. Ne consegue, pertanto, la necessità di un controllo giurisdizionale completo su un contratto collettivo da parte dei giudici nazionali al fine di verificare se le giustificazioni addotte dalle parti del contratto stabiliscano il carattere necessario del trattamento dei dati personali che ne deriva: una interpretazione che negasse l’esercizio di un controllo giurisdizionale completo su un contratto collettivo “non sarebbe compatibile con tale regolamento, tenuto conto dell’obiettivo di protezione ricordato nel punto precedente della presente sentenza”.

La Corte di Giustizia Ue conclude sottolineando che, qualora il giudice nazionale adito giungesse alla conclusione, all’esito del suo controllo, che alcune disposizioni del contratto collettivo in questione non rispettano le condizioni e i limiti prescritti dal GDPR, sarebbe tenuto a non applicare tali disposizioni.

AI e gestione dei lavoratori: utile la partecipazione contro i rischi psicosociali. Una nuova ricerca di Eu-Osha sottolinea l’importanza della rappresentanza sindacale per mitigare le criticità derivanti dall’uso di sistemi organizzativi basati sull’intelligenza artificiale

Un recente studio dell’Agenzia europea per la sicurezza e la salute sul lavoro (Eu-Osha) analizza l’impatto sui rischi psicosociali dei sistemi di gestione dei lavoratori basati sull’intelligenza artificiale (Aiwm). Se da un lato questi strumenti possono migliorare la sicurezza sul lavoro, dall’altro rischiano di aumentare la sorveglianza e il controllo, con effetti negativi sul benessere del personale. Il coinvolgimento dei rappresentanti sindacali emerge come elemento fondamentale per mitigare tali rischi.

L’Aiwm: benefici e rischi per i lavoratori. L’adozione di tecnologie basate sull’intelligenza artificiale per la gestione dei lavoratori (artificial intelligence based worker management – Aiwm) sta crescendo in molti settori. Questi sistemi raccolgono enormi quantità di dati sul lavoro, dai compiti eseguiti alle modalità di utilizzo degli strumenti digitali, per prendere decisioni automatizzate sulla gestione delle risorse umane. L’Aiwm può così senz’altro migliorare l’efficienza operativa, ma il rovescio della medaglia è concreto e consiste nell’intensificazione della sorveglianza con una conseguente erosione dell’autonomia lavorativa, da cui derivano l’aumento della pressione sulle performance e dello stress. Questi rischi sono particolarmente evidenti nei contesti dove il controllo umano è ridotto e le decisioni si basano su algoritmi poco trasparenti.

La partecipazione dei lavoratori nella gestione dei rischi. Secondo l’Eu-Osha, una delle soluzioni più efficaci per prevenire e mitigare i rischi psicologici derivanti dall’Aiwm è il coinvolgimento attivo dei lavoratori, e in particolare dei loro rappresentanti, nei processi decisionali relativi all’adozione di queste tecnologie. L’osservazione dell’esperienza di una società mineraria svedese ha dimostrato che la partecipazione dei sindacati e dei rappresentanti dei lavoratori nella progettazione e implementazione dei sistemi AI ha contribuito a ridurre i rischi associati all’uso di dati personali per il monitoraggio delle prestazioni. Un altro esempio positivo arriva dal settore manifatturiero danese, dove la collaborazione tra lavoratori e datori di lavoro ha permesso di perfezionare l’uso delle tecnologie senza compromettere il benessere dei dipendenti.

Nonostante i benefici evidenti della partecipazione sindacale, le difficoltà non mancano. La complessità e l’opacità di queste tecnologie rendono difficile per i sindacati monitorarle e negoziarne efficacemente le modalità di utilizzo. Inoltre, l’equilibrio di potere tra datori di lavoro e lavoratori, che varia notevolmente a seconda dei settori e delle dimensioni aziendali, può ridurre la capacità dei rappresentanti dei lavoratori di influire sulle scelte tecnologiche. È quindi fondamentale che le normative evolvano per favorire un maggiore coinvolgimento dei lavoratori e garantire una gestione trasparente dell’AI.

Lo studio suggerisce che, per mitigare i rischi psicosociali derivanti dai sistemi Aiwm, è necessario un rafforzamento delle strutture di rappresentanza dei lavoratori. I sindacati e i rappresentanti della sicurezza sul lavoro devono essere dotati di strumenti e conoscenze tecniche adeguate a partecipare attivamente ai processi di implementazione e monitoraggio dell’Aiwm. Inoltre, andrebbe garantito ai lavoratori il diritto di essere informati e consultati riguardo l’introduzione di nuove tecnologie, creando un ambiente favorevole al dialogo sociale e alla contrattazione collettiva per regolare l’uso di questi sistemi

.

Leggi anche:

  • NEWSLETTER PRIVACY MAGGIO 2025 - 1 maggio 2025 Privacy e rettifica dati sull’identità di genere: no alla prova dell’operazione chirurgicaLa Corte Ue di Giustizia Ue ha innanzitutto ricordato l’importanza del “principio di esattezza” previsto dall’art. 5, par. 1, lett. d) del GDPR, secondo cui l’interessato ha il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati… Read More
  • NEWSLETTER 5/2025 - Novita’ normative Con la nota del 10 aprile 2025, il Ministero del Lavoro interviene sulla nuova procedura di dimissioni per fatti concludenti come prevista dal Collegato lavoro e già oggetto di interpretazione con la circolare n. 6/2025. Un termine eccessivamente breve, sostiene il Ministero, potrebbe compromettere le garanzie minime di difesa del lavoratore, ritrovandosi nell’impossibilità… Read More
  • NEWSLETTER PRIVACY - APRILE 2025 Via libera al Senato al disegno di legge su AI. È stato approvato in Senato il Ddl. 1146, recante “Disposizioni e delega al Governo in materia di intelligenza artificiale” che, insieme al Regolamento Ue 2024/1689, compone il quadro normativo in tema di AI applicabile in Italia. Il testo passa ora all’esame della Camera.… Read More
Ultime News