La partecipazione alla valutazione d’impatto dell’IA sui diritti fondamentali. L’accordo collettivo in Cassa centrale Banca e le nuove prospettive di relazioni industriali

Il contesto. Digitalizzazione e intelligenza artificiale “agentica” avanzano indisturbate, soprattutto nella grande industria privata, sfruttando le maglie larghe del c.d. Digital Omnibus[1] e scavando un solco sempre più profondo tra le già scarne norme di tutela collettiva e alcune prassi di relazioni industriali, che intenderebbero ridurre il confronto negoziale, disciplinato dall’art. 4 Legge 300/1970, a mero adempimento formale di tipo amministrativo.

In tale temperie culturale, l’attuale quadro normativo comunitario facoltizza le imprese (banche e compagnie assicuratrici in primis) ad accelerare l’implementazione dei sistemi automatizzati, in modo da intercettare, tracciare e “datificare” le interazioni tra operatori e clienti e misurare l’efficacia delle performance dei propri dipendenti, con l’obiettivo ultimo di massimizzare l’“estrazione” di valore economico dai dati relativi alle relazioni. Per converso, l’intero assetto regolamentare europeo (in un crescendo rossiniano: GDPR, CSRD, DORA, DSA, IA Act, CS3D) è imperniato sulla stringente esigenza di compliance organizzativa (cui corrisponde la responsabilità penale, patrimoniale, reputazionale d’impresa), la cui ratio legis è imperniata sul c.d.  ”risk model approach”. In Italia ciò trova peculiare traduzione nei modelli di organizzazione e gestione (MOG), costruiti sui postulati della responsabilità amministrativa degli enti (ex D.Lgs. 231/2001) e nei documenti di valutazione dei rischi (DVR), che declinano la responsabilità dell’imprenditore in materia di salute e sicurezza (ex art. 41, comma 2 Cost., art. 2087 c.c. e D.Lgs. 81/2007). In pratica, le imprese “possono” fare, ma “rispondono”, in senso giuridico, di ciò che fanno, assumendo in proprio i crescenti rischi di conformità legati allo sviluppo dell’intelligenza artificiale. Lo stesso Regolamento 1689/2024, cosiddetto AI Act, enfatizza le specifiche responsabilità del “deployer” (l’impresa che adotta i sistemi automatizzati) persino rispetto a quelle del “provider” (l’impresa che produce detti sistemi), rendendo massimamente esposte le imprese utilizzatrici ai rischi di impatto sui diritti fondamentali conseguenti all’applicazione pratica di sistemi di IA, pur dotati di certificazione di conformità tecnica del produttore.

Relazioni industriali: lo stato dell’arte. L’art. 4 Legge 300/1970, come riformato dalla novella del Jobs Act del 2015, se da un lato sottrae il datore di lavoro-titolare del trattamento all’obbligo di munirsi di un titolo autorizzativo per l’adozione di strumenti atti a rendere la prestazione lavorativa, dall’altro lo responsabilizza in massimo grado al pieno rispetto della privacy e dei diritti della personalità del lavoratore[2] rispetto alla modalità di uso degli stessi. La storia delle relazioni industriali successiva alla riforma del 2015, ha dimostrato nei fatti un ininterrotto e costante ricorso, da parte delle imprese, alle procedure di confronto sindacale ex art. 4, sebbene siano state dalle stesse a torto derubricate, dopo il D.lgs. 151/2015, alla stregua di iter autorizzativo dall’esito scontato, in quanto caratterizzato da ridotti margini di negoziazione sindacale.

La tutela della privacy e il rispetto dei diritti fondamentali di lavoratori e clienti assumono, al contrario, crescente rilevanza per una corretta gestione dei sistemi informatici d’impresa, che parte dalla “valutazione d’impatto”, richiesta dal legislatore del GDPR (DPIA, ex art. 35[3]) e dell’AI Act (FRIA, ex art. 27[4]) quale atto preventivo necessario, propedeutico all’installazione di tali sistemi automatizzati, ed è oggetto di provvedimenti anche del Garante Privacy (cfr. delibera n. 467 dell’11 ottobre 2018). Per inciso, rileviamo che la valutazione di impatto è generalmente necessaria[5] quando l’imprenditore intenda attuare, mediante tali sistemi automatizzati, una “profilazione”[6] di lavoratori e/o clienti in categorie basate su comportamenti, preferenze o interessi. Si tratta, in termini pratici, di un’attività “ad alto rischio”, per la quale quindi la necessità di un presidio dei diritti fondamentali da parte delle rappresentanze sindacali è in re ipsa, sia per il loro ruolo istituzionale nel sistema di relazioni industriali, sia quali stakeholder primario nel sistema socio-economico.  Ciononostante, nella stragrande maggioranza dei casi in cui sia attivata la procedura sindacale ai fini autorizzativi, ex art. 4 Legge 300/1970, le imprese non considerano la valutazione di impatto quale oggetto di condivisione informativa al tavolo negoziale, né a maggior ragione quale materia di confronto negoziale e di accordo collettivo. In alcuni casi, a giustificazione di ciò, è addotta la previsione del comma 9 dell’art. 35 del GDPR, la cui lettera legittimerebbe una valutazione meramente discrezionale dell’opportunità di disclosure (“Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti”). Una lettura più attenta della norma suggerisce, a rigore, un’interpretazione di segno opposto, in quanto: a) se è l’impresa ad avere assunto l’iniziativa di attivare la procedura ex art. 4 Legge 300/1970, essa ha implicitamente accettato di sciogliere positivamente la riserva di opportunità e le conseguenti condizioni del confronto negoziale; b) non si tratta di una mera disclosure informativa o di una generica condivisione di una preconfezionata valutazione di impatto, ma di una reale partecipazione delle rappresentanze dei lavoratori al processo di valutazione del rischio.

La preventiva condivisione dei modelli di valutazione e di approccio al rischio privacy e diritti fondamentali, soprattutto in tema di profilazione, non è solo questione di compliance normativa e procedurale, ma di sostenibilità sociale, di reputazione aziendale, di salvaguardia della salute e del benessere organizzativo. Essa si traduce in un potenziale vantaggio competitivo per le imprese, che si dimostrano in tal modo capaci di un sistema di relazioni sindacali: a) orientato verso strategie di validazione per via partecipativa dei propri processi; b) proiettato verso una rendicontazione di sostenibilità che dimostri “il modo in cui il modello e la strategia aziendali del gruppo tengono conto delle istanze dei suoi portatori di interessi” (art. 4, comma 2 sub 4 D.Lgs. 125/2024)

L’esperienza del credito cooperativo: il caso Cassa Centrale Banca. Nell’ambito della contrattazione articolata del credito cooperativo si segnala la firma di un importante accordo-quadro “per la disciplina dell’attuazione dell’art. 4 della Legge 300/1970 per i dipendenti delle BCC – CR- RAIKA e delle Aziende del Gruppo Bancario Cooperativo Cassa Centrale Banca”, avvenuta il 5 maggio 2026. L’accordo collettivo richiama le previsioni dell’art. 11-bis del CCNL delle BCC, che consentono alla Delegazione sindacale di Gruppo di “definire accordi quadro di interesse collettivo…”, che “potranno essere recepiti nelle Aziende aderenti al Gruppo previo confronto con le Rappresentanze sindacali aziendali ivi costituite…”. L’accordo-quadro non assolve di per sé alla funzione autorizzativa (che, ai sensi del citato art. 4, è demandata all’accordo collettivo aziendale) né assorbe o sostituisce il confronto sindacale in azienda, ma piuttosto indirizza lo stesso verso modalità ed obiettivi congruenti con i convenuti principi di validazione partecipativa.

L’accordo-quadro consta di un corpus di principi procedurali e norme sostanziali che riguarda ogni possibile ambito di utilizzo dei sistemi digitali (A: sistemi di videosorveglianza; B: controlli di sicurezza sul sistema informativo; C: Sistemi di controllo degli accessi fisici ad aree aziendali), nonché di un allegato “verbale di accordo”, che funge da schema (in bianco) di accordo collettivo aziendale, contenente i testuali richiami alla normativa del predetto corpus. Infine “costituiscono parte integrante dell’accordo collettivo aziendale” gli allegati tecnici, che “descrivono gli specifici sistemi e processi di acquisizione e gestione dei dati e gli strumenti di tutela dei diritti fondamentali”: ciò significa e implica che la congruità delle misure di tutela di tali diritti costituisca materia di necessaria verifica congiunta anche ogni volta che l’impresa intenda modificare i sistemi informatici oggetto di accordo e descritti nella scheda tecnica allegata.

Nelle considerazioni che seguono, lungi dal descrivere compiutamente i contenuti dell’accordo-quadro, se ne evidenziano i principali elementi di novità (e di discontinuità) rispetto al panorama sindacale contemporaneo.

I principi-guida dell’accordo-quadro: procedura e diritti collettivi.  Il più significativo principio procedurale dell’accordo-quadro regola la spinosa materia della partecipazione sindacale alla valutazione di impatto, sgombrando il campo da ogni incertezza applicativa e marcando una pietra miliare per l’intero panorama della contrattazione collettiva di settore. All’art. 2 del convenuto “Le parti condividono che costituisce presupposto formale e sostanziale per l’avvio di ogni procedura di confronto aziendale ex art. 4 L.300/1970 la previa illustrazione e consegna alle organizzazioni sindacali, da parte del datore di lavoro, della valutazione d’impatto sulla protezione dei dati (DPIA) di cui all’art. 35 del GDPR (Regolamento UE 2016/679), che costituirà la base di partenza della valutazione negoziale e di cui l’eventuale accordo sindacale dovrà costituire parte integrante, insieme agli allegati tecnici che descriveranno gli specifici sistemi e processi di acquisizione e gestione dei dati e gli strumenti di tutela dei diritti fondamentali”.  In pratica, il confronto negoziale si avvia con la consegna della bozza di valutazione d’impatto e include una valutazione sindacale di idoneità degli strumenti di tutela dei diritti fondamentali prospettati dal datore di lavoro-titolare del trattamento. Rimane in ogni caso ferma l’esclusiva responsabilità datoriale in ordine all’effettiva salvaguardia dei  diritti fondamentali, la cui natura indisponibile, costituzionalmente garantita, esclude ogni pur teorica possibilità di patti derogatori.

Il precipitato pratico di tale principio è che “Le parti si danno atto e concordano che la effettiva consegna della DPIA conforme alla bozza, illustrata alla RSA, costituisce condizione di efficacia sospensiva dell’accordo sindacale”. Si tratta di una ulteriore clausola di garanzia collettiva, che qualifica la DPIA come parte integrante ed essenziale dell’accordo sindacale, confermando implicitamente l’illiceità di un’eventuale implementazione di sistemi automatizzati, pur se successiva alla firma dell’accordo sindacale, fino alla consegna di DPIA conforme alla bozza su cui è stato costruito l’accordo collettivo.  Tale fondamentale previsione pattizia riecheggia la consolidata giurisprudenza di Cassazione[7] che già dall’era predigitale, in forza del combinato disposto degli articoli 114 e 171 del D.lgs. 196/2003 e dell’art. 38 della legge 300/1970, considera sussistente un reato di pericolo anche a sistemi (telecamere) spenti, disattivi o non collegati.

Il primo principio di disciplina sostanziale è che l’adozione degli impianti debba avvenire “esclusivamente per specifiche e limitate esigenze organizzative e produttive…secondo presupposti di stretta necessità, pertinenza e proporzionalità e nell’integrale rispetto della privacy e dei diritti fondamentali delle lavoratrici e dei lavoratori, con riferimento sia alla tipologia ed alla quantità dei dati da acquisire, sia alla custodia, alla gestione e all’utilizzo dei dati effettivamente acquisiti” (premessa, punto d). Rispetto alla datificazione delle performance lavorative e delle informazioni che le corredano, la ricorrenza effettiva dei presupposti di stretta necessità che giustificano l’assunzione di dati e informazioni rimane dichiaratamente sotto la piena ed esclusiva responsabilità del datore di lavoro[8]: l’accordo collettivo si limita a realizzare la condizione legittimante l’introduzione delle misure tecnico-organizzative (hardware e software) connesse alle nuove tecnologie, ma non dispone (né potrebbe disporre) dei diritti fondamentali, inderogabili, delle persone del lavoro.

Il secondo principio di disciplina sostanziale è, in certo senso, un corollario del precedente, in quanto stabilisce che “le risultanze della videosorveglianza, dei sistemi di controllo accessi e dei sistemi di sicurezza logica… non sono utilizzabili per finalità di controllo dell’attività lavorativa o di valutazione della prestazione” (Premessa, punto f). La fissazione di detto principio di inutilizzabilità dei dati raccolti ai fini del rapporto di lavoro costituisce una soluzione di compromesso negoziale: da una parte, si assume che la datificazione delle interazioni e delle attività tracciate comporti di per sé il rischio di una acquisizione pervasiva di dati e informazioni relative al rapporto di lavoro, gravando conseguentemente la responsabilità datoriale degli ulteriori obblighi di “minimizzazione e limitazione della conservazione” dei dati medesimi; dall’altra parte, proprio in quanto non è azzerabile il rischio di acquisire anche dati ultronei (in quanto inscindibili da quelli strettamente necessari), il datore di lavoro accetta e conviene che l’intero set di dati (sia necessari sia ultronei) non sia utilizzabile per finalità di controllo o di valutazione della prestazione. L’attività di controllo e valutazione realizzata mediante tali strumenti è, anzitutto, considerata come “controllo a distanza” vietato dalla legge; il tracciamento di quella parte dell’attività lavorativa che consiste nella “performance” (rilevata dagli algoritmi aziendali o KPI[9]), in quanto di per sé implica l’esistenza di ulteriori elementi caratterizzanti, non rilevati e quindi non misurabili (come: competenze, precedenti ed esperienze professionali, disponibilità, relazioni), è di per sé inidoneo a fondare una completa e non discriminatoria valutazione della capacità professionale o della diligenza del lavoratore.

Il terzo principio di disciplina sostanziale è, a sua volta, un corollario della sterilizzazione del potere di controllo/valutazione e incide direttamente sull’esercizio del potere disciplinare. Il punto f) della Premessa sancisce infatti che “l’eventuale utilizzo a fini disciplinari potrà avvenire solo ed esclusivamente a fronte di uno specifico e grave fatto posto in essere con comportamento doloso, idoneo a integrare ipotesi di reato connesse ad attività fraudolente tali da determinare un pregiudizio al patrimonio o alla sicurezza”.  La formula adottata, è il caso di enfatizzarlo, è di ampia tutela per il lavoratore: l’unica fattispecie perseguibile sotto il profilo disciplinare, in base all’accordo-quadro, è rappresentata da ipotesi di reato doloso. L’attività sanzionabile deve essere, oltre che penalmente rilevante, anche di tipo fraudolento: si tratta di fattispecie normalmente associabili alla prevenzione del rischio di sicurezza informatica (cosiddetta Data Loss Prevention)[10]; ma la particolarità di tale disciplina, che costituisce un unicum per il settore, è che essa gode di applicazione generale: si applica, cioè, per ogni ambito e finalità di utilizzo dei dati: che si tratti di sistemi di videosorveglianza, di controlli di sicurezza o di sistemi di controllo degli accessi fisici ad aree aziendali.

Determinato l’ an (ovvero l’insieme delle rigorose condizioni di perseguibilità disciplinare), l’accordo-quadro determina anche la materia circa quam e il quomodo dell’azione disciplinare: l’estrazione e la conservazione dei dati è considerata lecita per le “sole evidenze strettamente pertinenti all’evento” (che deve essere, ribadiamo, penalmente rilevante).

Al tavolo negoziale si è altresì discusso il problema dell’accesso massivo ai dati per i necessari controlli di sicurezza e statistici: a tale riguardo, l’accordo-quadro richiama, nell’allegato schema di accordo, che “gli istituti operanti nell’ambito dei servizi bancari sono sottoposti ad obblighi normativi che richiedono il monitoraggio, anche attraverso l’analisi di log e tracce di audit, di accessi, operazioni e altri eventi, al fine di garantire la sicurezza delle informazioni e delle risorse informatiche, la prevenzione e la gestione degli incidenti di sicurezza, nonché prevenire il trattamento illegittimo e la circolazione delle informazioni personali dei clienti”. Anche rispetto a tali obblighi e circostanze, le norme contrattuali legittimano “la raccolta di dati ed eventi solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori”.  Tale importante previsione di garanzia richiama e traduce un orientamento giurisprudenziale, espresso anche di recente dalla Cassazione, sezione lavoro (ordinanza n. 807 depositata il 13 gennaio 2025): il datore di lavoro che abbia il sospetto di un comportamento illecito del dipendente può raccogliere informazioni solo a partire da tale momento; al contrario, risulterebbe illecita l’indagine che fosse compiuta sui dati raccolti antecedentemente al fondato sospetto e archiviati nel sistema informatico. Solo, quindi, le informazioni successive, se attinenti a fatti penalmente rilevanti, possono fondare l’eventuale esercizio dell’azione disciplinare, essendo in definitiva preclusa al datore la ricerca nel database di elementi del passato lavorativo a conferma del fondato sospetto. Significativo è pure il richiamo, operato dall’accordo-quadro, al pieno rispetto dei termini legali di conservazione dei dati:  “tutte le rilevazioni, i dati contenuti nei log dovranno essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (principio di limitazione della conservazione) e comunque per un periodo non superiore a quanto previsto dalla normativa di legge e secondaria tempo per tempo vigenti”[11]. È riconosciuto, in ogni caso, alle rappresentanze dei lavoratori il diritto di “effettuare verifiche a posteriori sull’operato svolto da parte della funzione aziendale competente, richiedendo log a campione”, con l’obbligo per l’azienda di soddisfare la richiesta entro 5 giorni. A rafforzamento delle previsioni di tutela del lavoratore a fronte di contenzioso disciplinare, le rappresentanze dei lavoratori “potranno verificare le modalità e le temporalità di accesso e di raccolta dati effettuate dall’ufficio preposto”.  Con una previsione fortemente innovativa, le rappresentanze dei lavoratori facoltizzate alle azioni di verifica di cui sopra sono sia RSA sia RLS: la gestione della salute e sicurezza non è dunque confinata all’ambito descritto dal D.Lgs. 81/2008, ma diventa materia di compliance organizzativa tout court.

In conclusione.  L’obbligo di legge, per le imprese, di procedere a valutazione di impatto partecipata non si è finora tradotto, nell’esperienza della contrattazione collettiva, nel pacifico riconoscimento di specifici diritti sindacali di informativa e negoziazione, ex art. 4 legge 300/1970, in materia di sistemi automatizzati e di IA. Le relazioni industriali non hanno infatti ancora ancora trasformato detto vincolo normativo, derivante dal GDPR e dall’IA Act, nelle opportunità di ritorno di compliance e reputazionale offerte dalla validazione partecipativa del modello di rischio assunto dall’impresa. Eppure è accaduto che tale opportunità sia stata, almeno in un caso, colta nell’ambito del credito cooperativo: uno dei due Gruppi bancari, Cassa Centrale Banca, ha accettato la sfida di un negoziato aperto e fecondo con il sindacato. Il recente accordo collettivo qui commentato apre una breccia di innovazione e segna un punto di non ritorno delle relazioni industriali nel settore, dilatando lo spazio applicativo della c.d. “Direttiva piattaforme” (Direttiva UE 2024/2831). Si tratta di un primo storico passo, propedeutico alla negoziazione collettiva di una “accountability algoritmica”, che sia in grado di indirizzare l’implementazione dell’intelligenza artificiale al servizio del lavoratore, in una prospettiva che promuova, all’unisono: primato del lavoro umano, diritti fondamentali e occupazione.

Bollettino ADAPT 22 giugno 2026, n. 24

Domenico Iodice

Giuslavorista

Segretario nazionale First Cisl

[1] Proposta di regolamento presentata dalla Commissione europea per la semplificazione dell’AI Act, che risulta composita, in quanto consta a sua volta della proposta 836 del 19 novembre 2025 (di specifico interesse ai fini del presente lavoro, per quanto rivolta all’AI Act) e della proposta 837 (che riguarda Data Act, GDPR, ePrivacy, DORA, inter aliis). Il 13 marzo 2026, nella propria bozza di report sulla proposta di Regolamento per la semplificazione dell’AI Act, il Consiglio ha previsto il differimento dei termini di entrata in vigore delle nuove regole dell’AI Act sui sistemi “ad alto rischio” (tra cui sono compresi tutti i sistemi di profilazione), in funzione dell’emanazione di standard tecnici e strumenti di supporto necessari per la conformità. Il termine massimo di differimento è fissato in 16 mesi: dal 2 dicembre 2027 (invece che dal 2 agosto 2026) per i sistemi di AI ad alto rischio dell’Allegato III e dal 2 agosto 2028 (invece che dal 2 agosto 2027) per quelli ad alto rischio dell’Allegato I. Il Parlamento europeo si è espresso favorevolmente il 26 marzo 2026, costituendo il mandato negoziale e aprendo formalmente il trilogo tra Parlamento, Consiglio e Commissione per addivenire al testo definitivo condiviso. Il 7 maggio 2026 il Parlamento europeo e il Consiglio dell’UE hanno raggiunto un accordo politico provvisorio sul primo pacchetto di emendamenti mirati al Regolamento (UE) 2024/1689. Il 16 giugno 2026 il Parlamento europeo ha approvato in via definitiva la modifica di alcune norme dell’AI Act nell’ambito della proposta Digital Omnibus. Fino al completamento dell’iter legislativo, che passa per l’approvazione da parte del Consiglio, l’adozione formale e la pubblicazione in Gazzetta Ufficiale, la scadenza originaria del 2 agosto 2026 per i sistemi AI ad alto rischio rimane tuttavia in vigore, così come tutte le parti del Regolamento non oggetto di modifica.

[2] Sul punto, cfr. A. Colavita, “La nuova disciplina dei controlli a distanza”, Treccani, 2016, in particolare nota 11 (https://www.treccani.it/enciclopedia/nuova-disciplina-dei-controlli-a-distanza_(Il-Libro-dell’anno-del-Diritto)/) nonché D. Iodice, Controlli a distanza: una delega ancora inattuata. I primi decreti attuativi del Jobs Act non modificano l’art. 4, 2015, https://www.firstcisl.it/wp-content/uploads/2026/03/FibaCisl_2015_JobsAct_Controlli_a_Distanza_una_delega_ancora_inattuata.pdf

[3] L’articolo 35 del GDPR (Regolamento UE 2016/679) disciplina la DPIA (Data Protection Impact Assessment o Valutazione d’Impatto sulla Protezione dei Dati). Si tratta di uno strumento preventivo di accountability che obbliga il titolare a descrivere un trattamento di dati, a valutarne la proporzionalità e a identificare i rischi per i diritti degli interessati. Ne consegue l’obbligo per il titolare di adottare le misure idonee a tutelare la privacy degli interessati.

[4] L’articolo 27 dell’IA Act (Regolamento UE 2024/1689) disciplina la FRIA (Fundamental Rights Impact Assessment o Valutazione d’Impatto sui Diritti Fondamentali). È obbligatoria prima di mettere in funzione sistemi di Intelligenza Artificiale ad “alto rischio” per garantire che non ledano i diritti umani, la democrazia, la non discriminazione e le libertà dei cittadini. In pratica rappresenta una misura più ampia di garanzia, che comprende anche il diritto alla salute.

[5] Il par. 3 dell’art. 35 del GDPR la richiede nei casi (non esaustivi) di: valutazione sistematica e globale di aspetti personali, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici; trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Il Garante ha individuato dodici tipologie di trattamenti soggetti alla DPIA, tra cui, significativamente: i trattamenti valutativi o di scoring su larga scala; gli screening di clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi; i trattamenti effettuati nell’ambito del rapporto di lavoro mediante geolocalizzazione o videosorveglianza; i trattamenti sistematici di dati biometrici e genetici.

[6] Il GDPR fornisce una definizione di profilazione all’articolo 4, paragrafo 4: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

[7] Si pensi, esemplarmente, a Cass. Sez. III, n. 8042 del 15/12/2006; Sez. Lavoro, n. 2117 del 28/01/2011; Sez. Lavoro, n. 2722 del 23/02/2012, Sez. III, n. 4331 del 12/11/2013; nonché, post riforma Jobs Act, Sez. III, sent. n. 3255 del 14/12/2020.

[8] “La responsabilità di quanto sopra riportato, con riferimento ai dati, incombe sulla BCC/Azienda del Gruppo bancario Cassa Centrale Banca” (Premessa, sub d), “strutturata secondo un approccio basato sul rischio e calibrata in base al livello di criticità delle informazioni stesse…” (Premessa, sub e).

[9] Acronimo di “key performance indicator”, è metrica di prestazione utilizzata nella gestione d’impresa per monitorare e misurare il valore delle azioni in rapporto al raggiungimento degli obiettivi d’impresa. Si tratta di materia particolarmente sensibile quando, per rendere tecnologicamente possibile controllare e valutare il lavoro umano, postula la sua riduzione a una res datificata e ingegnerizzata.

[10] Il termine Data Loss Prevention (DLP), traducibile come “prevenzione della perdita di dati”, indica un insieme di tecnologie, procedure e strategie di sicurezza informatica progettate per rilevare, monitorare e bloccare la condivisione, il trasferimento o l’uso non autorizzato di informazioni sensibili.

[11] Il significato di tale rilievo è di tutta evidenza, ove si consideri, ad esempio, che secondo le disposizioni del Garante Privacy (Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo), i metadati della posta elettronica nel contesto lavorativo non dovrebbero di norma essere conservati oltre 21 giorni, e che possono legittimare un prolungamento dei termini solo “particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare”; “diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970”. Alcuni accordi collettivi del settore bancario prevedono, in specie, il prolungamento di detto termine di conservazione, forse anche in considerazione di alcune impostazioni di default dei sistemi non modificabili da parte del provider (e del deployer).