Sommario
Il Garante per la protezione dei dati personali ha avviato nel mese di maggio 2025 una serie di interventi strategici destinati ad incidere in modo significativo su ambiti diversificati ma centrali nella vita dei cittadini e nella gestione amministrativa. Dall’ambito condominiale, passando per lo smart working fino alla procreazione assistita e alla gestione delle banche dati statistiche, emerge una visione regolatoria sempre più attenta alla proporzionalità dei trattamenti, alla trasparenza delle finalità e alla minimizzazione degli impatti sulle libertà fondamentali. Il filo conduttore che lega queste decisioni è il riconoscimento concreto della centralità del dato personale come elemento da tutelare sia nelle relazioni tra privati, sia nei processi pubblici.
Condominio e protezione dei dati: nuove linee guida in consultazione pubblica
L’Autorità garante ha adottato un documento di Linee guida specificamente pensato per il trattamento dei dati personali all’interno dei contesti condominiali. Si tratta di un’iniziativa volta a colmare un vuoto normativo percepito da tempo da professionisti e amministratori. In particolare, il documento nasce dall’esigenza di offrire un quadro unitario e aggiornato, in grado di tenere conto sia della normativa europea in materia di privacy che delle evoluzioni giurisprudenziali e tecniche più recenti.
La consultazione pubblica si propone di raccogliere osservazioni da parte di amministratori di condominio, associazioni di categoria e soggetti coinvolti nella gestione degli edifici residenziali. Tra i punti centrali figurano l’organizzazione e la tutela dell’anagrafe condominiale, la corretta informazione ai condomini, la gestione della videosorveglianza e l’emergente fenomeno del condominio digitale. Il Garante ha chiarito che lo scopo è uniformare la prassi alla luce del principio di accountability, riducendo il rischio di trattamenti eccedenti o di archiviazioni improprie.
Particolare rilievo assume l’inquadramento dei compiti dell’amministratore, individuato come titolare autonomo del trattamento per alcune categorie di dati, specie quelli connessi all’esercizio dei diritti e doveri in ambito condominiale. La consultazione resterà aperta per un periodo di trenta giorni dalla pubblicazione in Gazzetta Ufficiale, invitando i soggetti interessati a proporre integrazioni e osservazioni indirizzate formalmente all’Autorità.
Geolocalizzazione nello smart working: il Garante blocca i controlli invasivi
Il lavoro agile continua a rappresentare un banco di prova critico per l’equilibrio tra potere organizzativo del datore di lavoro e tutela della sfera personale dei dipendenti. In un recente provvedimento, il Garante ha sanzionato con 50.000 euro un’azienda che monitorava la posizione geografica di circa cento lavoratori attraverso dispositivi aziendali, violando le disposizioni del Regolamento generale sulla protezione dei dati e dello Statuto dei lavoratori.
La vicenda, emersa grazie alla segnalazione di una dipendente e all’intervento dell’Ispettorato della Funzione Pubblica, ha rivelato un meccanismo sistematico di controllo della posizione fisica dei lavoratori. Il personale veniva contattato a campione e invitato ad attivare la geolocalizzazione tramite pc o smartphone, a eseguire una timbratura digitale, e successivamente a comunicare via email il luogo in cui si trovava al momento. Tutto ciò avveniva senza una base giuridica adeguata, senza informativa trasparente e in totale assenza di misure di salvaguardia proporzionate.
Il Garante ha ritenuto inammissibile questa modalità, sottolineando che anche in regime di smart working non è legittimo un controllo diretto, sistematico e non giustificato sulla posizione dei lavoratori. Le esigenze di verifica della prestazione lavorativa non possono tradursi in un monitoraggio rigido e costante, che erode la libertà individuale e contrasta con il principio di dignità della persona. Il provvedimento si inserisce in un orientamento consolidato che riconosce nella flessibilità del lavoro agile una forma organizzativa da tutelare e non da sottoporre a sorveglianza invasiva.
Procreazione medicalmente assistita: il Garante approva l’aggiornamento del Registro nazionale
Il Garante per la protezione dei dati personali ha espresso parere favorevole sullo schema di decreto ministeriale che modifica l’architettura del Registro nazionale delle strutture autorizzate alla procreazione medicalmente assistita. L’intervento normativo, promosso dal Ministero della salute, introduce l’obbligo di raccogliere dati relativi al singolo ciclo di trattamento, con l’obiettivo di allineare il sistema italiano agli standard epidemiologici più avanzati adottati in Europa.
Il parere positivo dell’Autorità è stato espresso a seguito di una lunga interlocuzione istituzionale, che ha permesso di adeguare il testo alle disposizioni previste dal Regolamento europeo sulla protezione dei dati. Il Garante ha concentrato l’attenzione su aspetti fondamentali come la proporzionalità del trattamento, la natura dei dati trattati e la corretta determinazione dei tempi di conservazione. In particolare, è stato sottolineato il ruolo centrale della pseudonimizzazione come misura necessaria a proteggere i dati sanitari altamente sensibili relativi ai cicli di PMA.
Il Ministero ha condiviso con il Garante la valutazione d’impatto elaborata dall’Istituto superiore di sanità, che descrive nel dettaglio i rischi legati al trattamento dei dati e le misure tecniche e organizzative previste per contenerli. Il documento ha evidenziato un approccio metodico alla sicurezza, con specifiche soluzioni per garantire la riservatezza, l’integrità e la disponibilità dei dati raccolti, in conformità agli articoli 25 e 32 del Regolamento.
L’Autorità ha apprezzato l’evoluzione complessiva del sistema, che non solo migliora la qualità delle informazioni raccolte, ma lo fa nel rispetto dei principi fondamentali del diritto alla protezione dei dati personali. Con queste modifiche, il Registro nazionale non sarà più un mero archivio statistico, ma uno strumento dinamico a supporto delle politiche sanitarie pubbliche, fondato su una governance dei dati solida e trasparente.
Istat e protezione dei dati: un nuovo modello per la statistica pubblica
L’Istituto nazionale di statistica ha ricevuto l’approvazione ufficiale da parte del Garante sulle misure tecniche e organizzative adottate per la gestione dei dati personali. Questo riconoscimento giunge a conclusione di un percorso regolatorio che ha avuto inizio con due provvedimenti prescrittivi emessi dall’Autorità nel 2020 e nel 2023, in cui si richiedeva una revisione profonda dei sistemi di pseudonimizzazione utilizzati dall’Istituto.
Fino a pochi anni fa, l’Istat impiegava un sistema di codifica basato su un unico pseudonimo statico per ciascun soggetto, il che comportava la possibilità di ricostruire, trasversalmente, interi profili individuali attraverso le diverse rilevazioni statistiche. Una simile pratica, pur funzionale alla coerenza dei dati raccolti, presentava gravi rischi in termini di eccedenza dei trattamenti rispetto alle finalità e violava i principi di minimizzazione e limitazione previsti dal Regolamento.
A seguito dell’intervento dell’Autorità, l’Istat ha introdotto un sistema di pseudonimizzazione gerarchico e contestuale, in cui ogni codice pseudonimo ha validità limitata nel tempo e risulta utilizzabile solo per specifici scopi statistici. Il nuovo modello, fondato su una mappatura accurata delle fonti e degli ambiti d’uso, consente una separazione logica tra i diversi set di dati, garantendo al contempo la coerenza delle elaborazioni e il rispetto dei diritti degli interessati.
Inoltre, l’Istituto ha implementato misure avanzate di governance che comprendono il controllo granulare degli accessi, la segregazione dei database per progetto e la tracciabilità delle operazioni. L’intero sistema è stato progettato in conformità ai principi di privacy by design e by default, e rappresenta oggi un riferimento per le altre amministrazioni pubbliche che operano nel campo della statistica ufficiale.
Il Garante ha riconosciuto la portata innovativa del modello, sottolineando che l’Istat, grazie a questo intervento, è in grado di trattare grandi volumi di dati personali senza compromettere la protezione della persona. La trasformazione operata dimostra che è possibile coniugare efficienza informativa e tutela della privacy, a patto di adottare architetture pensate fin dall’origine per garantire il rispetto dei principi normativi europei.
Una nuova fase per la privacy pubblica: controllo proporzionato, governance dei dati e responsabilità attiva
L’insieme delle misure, dei pareri e delle sanzioni adottati dal Garante per la protezione dei dati personali nelle ultime settimane configura con chiarezza una nuova fase per la governance dei dati in Italia. La direzione intrapresa non si limita ad affermare principi generali, ma interviene concretezza normativa e tecnica, ridefinendo le condizioni di liceità dei trattamenti, i limiti operativi delle tecnologie di controllo e i criteri per l’organizzazione sostenibile di grandi architetture informative.
Nel contesto condominiale, l’approccio dell’Autorità mostra come anche negli spazi comuni tra privati la protezione dei dati debba diventare elemento strutturale, e non mero vincolo burocratico. L’amministratore viene riconosciuto come soggetto responsabile, non solo sul piano gestionale ma anche in termini di accountability. L’adesione ai principi del Regolamento deve tradursi in prassi documentate, verificabili, idonee a evitare derive arbitrarie nella gestione dell’anagrafe condominiale, dei sistemi di videosorveglianza e dei canali digitali.
Nel mondo del lavoro agile, il principio che emerge è quello della non sorvegliabilità sistematica, in assenza di basi giuridiche solide e di informazione chiara. Il Garante riafferma che la prestazione lavorativa a distanza non può essere trasformata in un regime di controllo continuo della posizione fisica del dipendente, anche se tecnicamente possibile. Le esigenze organizzative del datore di lavoro, per quanto legittime, devono sempre confrontarsi con il rispetto della dignità individuale e della libertà personale.
Il Registro della procreazione assistita, ridefinito nel decreto ministeriale oggetto di parere positivo, diventa un esempio emblematico di come la raccolta di dati ad altissimo contenuto sensibile possa essere resa compatibile con le esigenze di ricerca e controllo pubblico, grazie a un uso rigoroso delle tecnologie di pseudonimizzazione e a un attento bilanciamento tra completezza e selettività dell’informazione.
Infine, il caso dell’Istat rappresenta un punto di svolta strutturale. L’adozione di un modello a pseudonimi gerarchici e scopo-specifici, unita alla mappatura dettagliata delle fonti e dei trattamenti, rende possibile produrre statistica pubblica di alta qualità, in linea con i principi di minimizzazione e limitazione della conservazione. L’Istituto diventa così laboratorio e standard per altre amministrazioni, mostrando che conformità normativa ed efficienza operativa possono coesistere, se supportate da competenza tecnica e visione strategica.
Questa serie di interventi segnala che il Garante italiano, nel contesto normativo europeo, si sta orientando verso un modello di vigilanza proattiva, trasparente e tecnicamente fondata, dove il dato personale non è più solo un bene da proteggere, ma un elemento centrale della qualità democratica e della legittimità istituzionale.
