NEWS

Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Negli ultimi anni l’attenzione sull’intelligenza artificiale si è concentrata prevalentemente sui sistemi formalmente adottati dalle organizzazioni. In questa prospettiva, la shadow AI non rappresenta semplicemente un fattore di rischio tecnologico, ma un elemento che sollecita un ripensamento più ampio dei modelli di governance.

Prendendo spunto dal documento di indirizzo del Garante Privacy sul trattamento dei dati personali nell’ambito del condominio, posto in consultazione nell’aprile dello scorso anno e che, allo stato, non risulta ancora emanato nella veste finale, emerge una questione che va ben oltre la materia condominiale (e oltre alla sola Autorità Garante per la privacy).

La disciplina del whistleblowing è generalmente esaminata sotto il profilo della tutela della riservatezza, della gestione dei canali di segnalazione e del coordinamento con la normativa sulla protezione dei dati personali. Ma cosa accade quando la segnalazione coinvolge persone che non fanno più parte dell'organizzazione?

Il GDPR ha trasformato la protezione dei dati personali in una disciplina di governo dei processi informativi, come emerge dalla logica combinata degli artt. 5, 24, 25 e 32 del Regolamento UE. Tuttavia, accountability, privacy by design e misure organizzative adeguate non richiedono soltanto procedure formalmente corrette, ma assetti concretamente capaci di governare i flussi informativi reali.

Il GDPR è ormai entrato stabilmente nei processi HR, ma scarsa attenzione è stata dedicata ai CRAL (acronimo di “Circolo Ricreativo Aziendale dei Lavoratori”), soggetti storicamente percepiti come strutture marginali legate al tempo libero dei dipendenti ma oggi sempre più coinvolti nel trattamento di dati personali anche complessi.

Recentemente, l’ANAC ha varato le Linee Guida sui canali interni di segnalazione e l’aggiornamento alle Linee guida del 2023 sulle segnalazioni esterne ma di valenza generale sul whistleblowing, recependo alcune delle osservazioni formulate dai diversi partecipanti alla pubblica consultazione effettuata a fine 2024 per il canale interno.

Il ricorso al metodo del mistery shopping, ossia la visita “in incognito” di un cliente o utente per rilevare la qualità del servizio o il rispetto di procedure aziendali si sta diffondendo anche nell’ambito delle verifiche aziendali sulle prestazioni dei lavoratori.

La recente sanzione comminata dal Garante privacy alla RAI con riguardo a una puntata di Report per la diffusione dell'audio della conversazione tra Gennaro Sangiuliano e la moglie Federica Corsini, è spunto per alcune riflessioni in merito all’equilibrio fra libertà d’informazione e privacy.

Il provvedimento n. 386 del 10 luglio 2025 del Garante offre uno spunto significativo per comprendere come la gestione della posta elettronica in contesti lavorativi non possa essere ridotta a un fatto tecnico-amministrativo ma vada ricondotta entro le coordinate costituzionali della tutela della corrispondenza e del rispetto dei principi di necessità, proporzionalità e limitazione della conservazione.

Il GDPR assegna al Responsabile della Protezione dei Dati  (Data Protection Officer) una funzione di garanzia, non di gestione. Gli articoli 35-39 del Regolamento UE 2016/679 ne delineano con precisione i compiti:

Prev1234...678Next
Pagina 1 di 8

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy