Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

privacy

Monitoraggio dei lavoratori nel Regno Unito: i paletti del Gdpr UK

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Il Regno Unito regola il monitoraggio lavoratori attraverso l’UK Gdpr e linee guida ICO. L’approccio privilegia proporzionalità, trasparenza e supervisione umana, specialmente per sistemi di intelligenza artificiale nel workplace

Pubblicato il 10 giu 2025
Paola Perin

Studio GGM Avvocati – Avvocato e Organismo di Vigilanza, esperta in protezione e trattamento dei dati personali, compliance e tutela dei lavoratori

controllo degli algoritmi algoritmi nella pa

Il trattamento dei dati personali dei lavoratori nel Regno Unito è disciplinato principalmente dallo UK General Data Protection Regulation (UK GDPR) ossia il Regolamento Europeo 2016/679 o GDPR come modificato in seguito all’EU Withdrawal Act 2018 (Brexit), applicabile a decorrere dal 1° gennaio 2021, dal Data Protection Act 2018 (DPA), che consiste in sostanza nella normativa attuativa del UK GDPR con ulteriori specificazioni, eccezioni, deroghe ai sensi del sistema giuridico britannico, nonché dai numerosi interventi della Information Commissioner’s Officer (ICO), l’Autorità Garante per la protezione dei dati e per la libertà di informazione in UK, organismo indipendente, istituito proprio dal DPA.

Intelligenza artificiale, ecco come GDPR e AI Act regolano la tecnologia di frontiera

UK Gdpr e Data Protection Act: il quadro normativo post-brexit

A seguito della Brexit, il Regno Unito ha mantenuto la struttura del europeo, ma ha introdotto elementi propri, specie in termini di enforcement e proporzionalità dell’intervento regolatorio.

La disciplina normativa di base è dunque analoga a quella prevista dal Gdpr: il monitoraggio – indipendentemente dal mezzo tecnologico utilizzato – è considerato lecito soltanto se basato su una delle basi giuridiche previste dall’articolo 6 del UK GDPR, rimasto identico all’articolo 6 del Gdpr. Se i trattamenti dovuti per legge (art. 6 lett. c)) o per dare seguito a rapporti contrattuali e(o misure precontrattuali (art. 6 lett. b)) non necessitano di particolari commenti, diverso per i casi in cui la base giuridica richiamata sia il consenso (art. 6 lett. a)) ovvero l’interesse legittimo (art. 6 lett. f)).

Quanto al consenso, l’ICO e la giurisprudenza britannica convergono nel ritenere che, in ambito lavorativo, il consenso non sia una base giuridica valida, a causa dello squilibrio strutturale di potere tra datore e lavoratore. Il consenso per essere valido deve essere libero, specifico, informato e revocabile — condizioni raramente soddisfatte in un contesto contrattualmente vincolante, l’indirizzo è quindi quello di valutare l’esistenza di altre basi giuridiche più solide, a meno che il datore di lavoro sia in grado di garantire che il consenso sia prestato liberamente dal lavoratore e possa offrire delle alternative in caso di diniego al trattamento da parte di quest’ultimo.

L’interesse legittimo del datore di lavoro, invece, è un concetto sufficientemente astratto da poter far rientrare in teoria qualsiasi interpretazione, interesse legittimo potrebbe essere pacificamente il maggior profitto di una impresa a scopo di lucro e quindi giustificare un monitoraggio pedissequo delle prestazioni e delle pause per esigenze produttive.

 Anche in questo caso l’impostazione dello UK GDPR è analoga al Gdpr Ue e così gli orientamenti dell’ICO: l’interesse legittimo del datore di lavoro non può mai prevalere sui diritti e sulle libertà fondamentali dei lavoratori e il principio cardine resta la proporzionalità, e attraverso una serie di strumenti previsti dalla normativa e altresì messi a disposizione del datore di lavoro sul sito stesso dell’ICO, quest’ultimo potrà valutare eventuali alternative meno invasive e altrettanto adeguate, ovvero essere in grado di garantire e dimostrare che i diritti fondamentali richiamati non siano lesi, seppure in presenza di sistemi di monitoraggio.

Strumenti normativi per la compliance: DPIA e supervisione umana

Strumenti che a livello normativo si declinano, oltre che chiaramente con l’informativa sul trattamento dei dati dovuta ai sensi degli articoli 13 e 14 del UK GDPR, anche con la nota Data Protection Impact Assessment (DPIA) prevista all’articolo 35 dello UK GDPR e richiesta quando il trattamento comporta rischi elevati per i diritti degli interessati. Esempi tipici includono appunto la videosorveglianza continua, l’uso di tecnologie biometriche o l’analisi comportamentale automatizzata con sistemi automatizzati, compresa l’intelligenza artificiale.

Inoltre, lo UK GDPR ha mantenuto identico anche l’articolo 22 che prevede che nel caso in cui le decisioni assunte sui lavoratori siano basate esclusivamente su trattamenti automatizzati (anche, ma non solo, con sistemi di intelligenza artificiale) – come l’uso di algoritmi per valutazioni disciplinari o produttive, vi è il diritto del lavoratore a non essere sottoposto a decisioni che abbiano effetti giuridici, o impattino significativamente sulla sua persona, se queste derivano da processi interamente automatizzati. L’eventuale intervento umano non può essere solo formale: deve consistere in una valutazione critica e consapevole, con la possibilità da parte dell’interessato di contestare la decisione. L’ICO ha più volte chiarito che la supervisione non può essere simbolica, ma deve consistere in un riesame effettivo e potenzialmente correttivo da parte di un essere umano.

Il ruolo dell’ICO: supporto pratico e pragmatismo britannico

    L’ICO è un’Autorità indipendente con responsabilità chiave stabilite principalmente dal DPA e dal Freedom of Information Act 2000 (FOIA), nonché da un numero di normative che la richiamano. A differenza di molte autorità europee, l’ICO adotta un modello di regolazione fortemente orientato al supporto e alla collaborazione. Questo approccio si riflette in un’ampia gamma di strumenti messi a disposizione delle organizzazioni, pensati ma per accompagnare le imprese verso la compliance.

    Il primo adempimento richiesto è la registrazione presso l’ICO mediante il versamento della Data Protection Fee, prevista dal Data Protection (Charges and Information) Regulations 2018. Tale fee varia in base alla dimensione dell’organizzazione partendo da un minimo di 40 sterline l’anno e serve anche come strumento di mappatura pubblica dei titolari del trattamento.

    Il pagamento della fee non è facoltativo: l’ICO può emettere sanzioni pecuniarie contro le aziende che non si registrano o non aggiornano i propri dati. Ma più che una tassa, la fee rappresenta un atto di accountability: segnala che il titolare è consapevole delle proprie responsabilità, ha valutato i trattamenti in essere e si rende visibile al pubblico.

    A supporto degli operatori, l’ICO mette a disposizione:

    • Linee guida dettagliate (spesso corredate da FAQ ed esempi concreti);
    • strumenti online per la valutazione della base giuridica e la compilazione delle DPIA;
    • modelli di informative e contratti;
    • Un servizio di helpdesk (telefonico e digitale);
    • Programmi di audit volontari e orientati al miglioramento.

    La logica è chiara: prevenire è meglio che punire, seppure l’articolo 83 del UK GDPR relativo ai criteri generali per comminare sanzioni amministrative, incluse quelle pecuniarie, si applichi in maniera analoga al Gdpr.

    AI framework UK: regolamentazione pro-innovation dell’intelligenza artificiale

    Seppure in assenza di una normativa unica analoga al Regolamento UE 2024/1689 del 13 giugno 2024 che ha l’obiettivo di regolamentare in maniera unifeorme e verticale lo sviluppo, la messa in commercio e l’utilizzo dell’intelligenza artificiale nel pubblico e nel privato, non mancano tentativi di regolamentazione quali il UK’s Regulation Paper del febbraio 2024 (AI Framework), che disegna un quadro di riferimento sul e in risposta al AI Regulation White Paper consultation pubblicato dal Department for Science, Innovation and Technology (DSIT), un ente interministeriale, nell’agosto 2023. E il DSIT è il dipartimento che supporta l’ICO.

    L’approccio è definito “pro-innovation”, ed è basato su principi fondanti quali l’accountability e la governance, la sicurezza e la robustezza dei sistemi, la trasparenza informativa ed esplicativa, una correttezza generale (fairness), la possibilità di contestare eventuali decisioni automatizzate, la cui implementazione in concreto è demandata alle Autorità regolatrici settoriali, come già è, non essendo stata ancora istituita un’Autorità centrale dell’IA. In particolare, ciascuna autorità competente dovrà interpretare e applicare nell’ambito delle proprie competenze i principi contenuti per guidare la progettazione, lo sviluppo e l’utilizzo responsabile dell’IA.

    Le linee guida dell’ICO per il monitoraggio lavoratori: principi e applicazioni pratiche

    Seppure l’ Employment practices and data protection: monitoring workers (Linee Guida ICO) nella sua versione 1.0.2 sia stata pubblicata il 24 ottobre 2023​ prima del AI Framework, la stessa fornisce una serie di indicazioni in linea con tale quadro regolatorio che, pur non costituendo norme in senso stretto, assumono valenza para-normativa e sono rilevanti per valutare la conformità di un’attività di monitoraggio.

    Le Linee Guida ICO, trattano in modo esteso dell’uso dei sistemi di intelligenza artificiale (IA) e ne analizzano i diversi aspetti in relazione alla normativa sulla protezione dei dati nel Regno Unito (UK GDPR e Data Protection Act 2018). Le Linee Guida ICO indicano espressamente che il monitoraggio basato sull’IA deve rispettare i principi fondamentali della normativa sulla protezione dei dati, applicandosi quanto descritto qui al paragrafo 1 che precede, e soffermandosi in particolare sull’articolo 22 del UK GDPR, che limita l’uso di decisioni completamente automatizzate che hanno effetti legali o simili sui lavoratori (es. licenziamenti, promozioni, sanzioni), nonché su principi quali la minimizzazione dei dati, limitazione della finalità, trasparenza, sicurezza e conservazione dei dati solo per il tempo necessario. Ogni forma di sorveglianza tramite IA deve essere giustificata, proporzionata, trasparente e documentata.

    Se un’organizzazione decide di adottare sistemi automatizzati, deve garantire che vi sia una supervisione umana significativa e attiva. Il personale coinvolto deve avere competenze e autorità per mettere in discussione o correggere le decisioni dell’IA, assicurando che non sia una mera formalità.

    Il documento fornisce decine di esempi illustrativi, spesso inseriti in box gialli, che rappresentano scenari ipotetici, per spiegare cosa fare e cosa evitare in diverse situazioni: dalla geolocalizzazione alla videosorveglianza in smart working, dal controllo e-mail alle analisi predittive delle performance. In particolare, le Linee Guida ICO indicano alcune finalità che possono giustificare il monitoraggio, purché rispettose del principio di proporzionalità e soggette a una valutazione d’impatto adeguata.

    Tra le finalità riconosciute vi sono: l’adempimento di obblighi regolamentari o legali (ad esempio in ambito finanziario), la protezione della sicurezza sul lavoro, la tutela di informazioni sensibili e di beni aziendali, la garanzia della qualità del servizio e la gestione della produttività. Questi riferimenti si avvicinano concettualmente alle finalità indicate dal legislatore italiano, pur non essendo formalizzate in un testo legislativo. La stessa riconosce inoltre il ricorso al monitoraggio per finalità legate al benessere dei dipendenti, al bilanciamento carichi di lavoro, e all’individuazione di comportamenti a rischio, soprattutto nel lavoro remoto. In ogni caso, viene richiesto che il datore di lavoro documenti dettagliatamente le finalità perseguite e dimostri l’inefficacia di strumenti meno invasivi.

    Ad esempio, ai fini dell’art. 6, par. 1, lett. f), per il caso di trattamenti aventi base giuridica legittimo interesse del datore di lavoro, viene indicata la necessità di effettuare un test tripartito, noto come Legitimate Interests Assessment (LIA), che prevede:

    • l’identificazione di un interesse legittimo specifico;
    • la dimostrazione che il trattamento sia necessario per tale finalità;
    • e la verifica che i diritti e le libertà fondamentali del lavoratore non prevalgano sull’interesse stesso.

    Tale test, pur non essendo disciplinato direttamente nel testo del UK GDPR, è imposto dalla prassi interpretativa dell’ICO ed è generalmente parte integrante della accountability ex art. 5, del UK GDPR (analogo al RGPD) par. 2 che elenca i principi cardine cui bisogna aderire in caso di trattamento di dati personali.

    Il datore di lavoro ha anche l’obbligo di informare chiaramente i lavoratori sull’uso di tali strumenti, spiegando la logica del processo, le conseguenze attese e i diritti dei lavoratori, incluso quello di richiedere l’intervento umano, contestare una decisione automatica o richiedere una spiegazione.

    Nel caso in cui si usino strumenti forniti da terze parti (es. software di produttività basati su intelligenza artificiale), il datore di lavoro resta responsabile della conformità normativa, anche se il fornitore gestisce i dati. È quindi necessario valutare attentamente il fornitore, stipulare un contratto adeguato e condurre una valutazione d’impatto sulla protezione dei dati (DPIA), che consideri rischi, finalità e proporzionalità dell’uso dell’IA.

    Intelligenza artificiale nel recruitment: audit ICO e raccomandazioni dsit

    Anche l’uso dell’intelligenza artificiale nei processi di selezione del personale nel Regno Unito ha registrato una rapida espansione negli ultimi anni. Le tecnologie più impiegate spaziano dal sourcing automatizzato (es. scraping di CV da database pubblici), ai sistemi di screening tramite analisi semantica dei curricula, fino a strumenti più invasivi come il riconoscimento facciale o vocale durante i colloqui. E’ evidente la preoccupazione verso i rischi che l’IA possa comportare – a seconda di come sia stata progettata – per le persone, attuando decisioni discriminatorie o ledendo i loro diritti di privacy attraverso ad esempio, la profilazione occulta.

    L’ICO ha avviato nel biennio 2022–2024 un audit volontario rivolto a organizzazioni fornitrici di strumenti IA per il recruitment, culminato nel rapporto AI in Recruitment: Outcomes Report – novembre 2024 (IA Recruitment Report).

    Le raccomandazioni dell’IA Recruitment Report

    L’IA Recruitment Report non impone obblighi legali vincolanti ma, a valle delle diverse criticità rilevate nel corso dell’audit, ampiamente descritte nel documento, contiene diverse raccomandazioni ed esempi articolati in sei aree principali di compliance:

    • minimizzazione, ad esempio evitare il ricorso a dati superflui (es. scraping non autorizzato da social network),
    • accuratezza e bias tra gli altri: i modelli devono essere testati preventivamente test su gruppi eterogenei, ottenere un validazione scientifica, devono essere effettuati audit periodici,
    • trasparenza; devono essere fornite agli operatori e a cascata agli interessati, informative comprensibili, dove è chiaramente comunicato l’uso di algoritmi e deve essere spiegata la logica decisionale.
    • supervisione umana: ossia deve essere assicurato che ogni decisione automatizzata preveda un controllo umano significativo;
    • chiarezza contrattuale nei rapporti tra fornitore di sistema IA e utilizzatore: occorre distinguere con precisione il ruolo di controller e processor ai sensi dello UK GDPR;
    • la predisposizione di una DPIA ai sensi del UK GDPR: che comprenderà i contenuti specifici e descritti nell’IA Recruitment Report sia da parte dei fornitori dei sistemi AI, che degli utilizzatori recruiters.

    Nello stesso anno 2024, a marzo, il DSIT ha invece pubblicato la guida Responsible AI in Recruitment (Guida DSIT), frutto della collaborazione con la stessa l’ICO e con la Equality and Human Rights Commission.

    Rischi e governance dell’IA nelle selezioni: dalla compliance alla certificazione

    La Guida DSIT fornisce un indirizzo molto preciso rispetto all’uso di strumenti IA nel settore della selezione del personale. Al centro, vi è l’invito ad integrare l’IA nei processi HR solo dopo un attento esame in due fasi: procurement e deployment, con la premessa, come riportato nell’executive Summary a pagina 6, che in tutte le fasi c’è il rischio di pregiudizi o discriminazioni ingiuste nei confronti dei candidati (…).

    La stessa sembra fare da specchio alle raccomandazioni date nel IA Recruitment Report e, per quanto riguarda gli sviluppatori e/o gli utilizzatori di sistemi IA per la selezione del personale, questi sono tenuti ciascuno per quanto di competenza a:

    • documentare la scientificità e accuratezza del modello, fornendo schede tecniche (model cards), audit di bias, e report di performance comparati per vari gruppi di popolazione;
    • garantire trasparenza nella catena di addestramento del sistema, indicando le fonti dati, la loro diversità demografica e l’aderenza alla normativa britannica sull’uguaglianza ai sensi Equality Act 2010 anche attraverso una valutazione di impatto sulla parità (EIA), una normativa che ha modificato diverse leggi del Regno Unito allo scopo di ridurre le disuguaglianze socio-economiche e le discriminazioni e molestie legate a determinate caratteristiche personali;
    • completare una DPIA dettagliata, comprensiva anche di valutazione d’impatto algoritmico (AIA) e su sistemi che permettono decisioni automatizzate;
    • strutturare sistemi di feedback e reclamo facilmente accessibili da parte degli utenti e dei candidati, incluso il diritto alla contestazione delle decisioni automatizzate;
    • predisporre un quadro di governance per assegnare chiaramente ruoli e responsabilità, con riferimento alle linee guida sulla trasparenza e responsabilità algoritmica del governo UK.

    Durante l’acquisto del sistema, il datore di lavoro dovrà esaminare la qualità tecnica (model cards, audit del bias, training set) e legale, ossia la conformità non solo all’UK GDPR, ma anche rispetto all’Equality Act 2010 e in ogni caso orientarsi attraverso i principi sanciti dalla Guida DSIT, nonché dalle Linee Guida ICO, che peraltro riprendono, anticipandoli, i principi contenuti nel AI Framework.

    La guida DSIT invita a interrogarsi, già in fase iniziale, su domande strutturate: “Quale problema cerchiamo di risolvere?”, “Perché l’IA è la soluzione adatta?”, “Quali rischi nuovi si introducono?”.

    Nella fase di implementazione, sono raccomandati test su gruppi eterogenei, policy di trasparenza, canali di reclamo, e forme di adattamento per soggetti vulnerabili o neurodivergenti. Anche durante l’uso effettivo (fase di “deployment”), i fornitori devono supportare i datori di lavoro con audit periodici, aggiornamenti del modello e policy di contestabilità. Il principio guida è che nessun sistema può dirsi “perfezionato” in modo definitivo, ma è sempre solo inserito in un ciclo di controllo e miglioramento progressivo.

    La Guida DSIT include infine un Annex A con una rassegna esemplificativa dei rischi associati a diverse tecnologie di IA (CV matching, giochi psicometrici, chatbot, trascrizione vocale, riconoscimento facciale). Tutti questi strumenti — se non adeguatamente validati — possono perpetuare discriminazioni, esclusioni digitali e pratiche scorrette.

    Prospettive future: tra pragmatismo britannico e cooperazione internazionale

    L’esperienza britannica nella regolazione del monitoraggio dei lavoratori attraverso strumenti digitali e intelligenza artificiale rivela un modello distintivo, ispirato al pragmatismo della common law. È un approccio che premia la documentazione, la trasparenza, l’autovalutazione e la proporzionalità, affidando ai titolari del trattamento il compito di dimostrare la legittimità e correttezza delle loro scelte, scommettendo sulla regolazione adattiva. Il rischio di questo approccio è quello della vaghezza: senza obblighi precisi, le best practices possono restare lettera morta, affidandosi quindi all’iniziativa sei singoli.

    Ma è anche vero che l’adozione precoce di framework volontari ha il potenziale di costruire una cultura della responsabilità distribuita, più comune proprio nei Paesi di common law, con il ricorso anche a codici di condotta settoriali approvati eventualmente dall’ICO e certificazioni quali, ad esempio la nuova certificazione Ethical Build of AI offerta dalla British Computer Society (BCS).

    E’ altresì evidente che tale approccio “soft” sia atto anche a favorire la crescita tecnologica e sviluppo di sistemi IA, e che il Regno Unito stia ancora valutando la propria posizione rispetto sia all’Unione Europea sia agli USA.

    L’1 e il 2 novembre del 2023 fu infatti organizzato e tenuto a Londra il primo summit al mondo sulla sicurezza dell’Intelligenza Artificiale (AI Safety Summit), con gli interventi principalmente di rappresentanti dei governi e di alcune società di progettazione IA, esperti e scienziati e conclusosi con la Bletchley Declaration by Countries,una dichiarazione firmata da diversi Paesi tra cu l’Italia in cui tra gli altri si legge che, per il bene di tutti, l’IA dovrebbe essere progettata, sviluppata, impiegata e utilizzata in modo sicuro, in modo tale da essere incentrata sull’uomo, affidabile e responsabile (…) e che molti rischi derivanti dall’IA sono di natura internazionale e quindi possono essere affrontati al meglio attraverso la cooperazione internazionale.

    Mentre, più di recente,al Global Summit tenutosi a Parigi il 10 e l’11 febbraio scorsi, il Regno Unito si è rifiutato di sottoscrivere la dichiarazione finale del Summit (sottoscritta anche da Italia e, tra gli altri, da Cina e India), in cui ci si impegna ad adottare un approccio “aperto”, ‘inclusivo’ ed “etico” allo sviluppo della tecnologia. In una breve dichiarazione, come riportato dalla BBC il governo britannico ha affermato di non aver potuto aggiungervi il proprio nome a causa di preoccupazioni relative alla sicurezza nazionale e alla “governance globale”.

    @RIPRODUZIONE RISERVATA

    Valuta la qualità di questo articolo

    La tua opinione è importante per noi!

    P
    Paola Perin
    Studio GGM Avvocati – Avvocato e Organismo di Vigilanza, esperta in protezione e trattamento dei dati personali, compliance e tutela dei lavoratori
    Seguimi su

    Leggi anche:

    guest

    0 Commenti
    Più recenti
    Più votati
    Inline Feedback
    Vedi tutti i commenti

    Argomenti

    Canali

    Con o Senza – Galaxy AI per il business

    Tutti
    Mobile security
    AI per il lavoro
    Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
    La soluzione
    Mobile Security by design: una sicurezza nativa e integrata nell’hardware
    Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
    scenari
    Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
    Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
    tecnologie
    Con o senza AI? L’intelligent workplace direttamente sullo smartphone
    Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
    La soluzione
    Mobile Security by design: una sicurezza nativa e integrata nell’hardware
    Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
    scenari
    Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
    Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
    tecnologie
    Con o senza AI? L’intelligent workplace direttamente sullo smartphone

    Articoli correlati

    • data protection officer

    • la guida

      DPO, chi è il data protection officer e perché è una figura controversa

      07 Apr 2025

      di Antonino Polimeni

      Condividi
    • articolo 22 gdpr attuazione del gdpr

    • protezione dei dati

      Articolo 22 Gdpr: come ci tutela da algoritmi e profilazione

      31 Lug 2025

      di Lorenzo Quadrini

      Condividi
    • email privacy (1)

    • protezione dei dati

      App mobili conformi al Gdpr: una guida pratica

      05 Dic 2024

      di Paola Zanellati

      Condividi