Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

Meeting online e GDPR

Videocall e privacy: registrare e trascrivere senza rischi

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

L’uso di strumenti di intelligenza artificiale per registrare e trascrivere meeting online richiede attenta valutazione delle basi giuridiche. Il consenso presenta criticità con i dipendenti, mentre il legittimo interesse necessita di approfondita analisi di bilanciamento

Pubblicato il 15 ott 2025
Registrazione videocall (1)

Videocall, webinar formativi, conference call, meeting online e sistemi di videoconferenze integrati con tecnologie di intelligenza artificiale: e la privacy?

L’evoluzione delle tecnologie di videoconferenza in ambito aziendale

La tematica non è nuova anzi possiamo dire che nell’ultimo decennio sono numerosi i sistemi di registrazione, di trascrizione, di videoconferenze e molti altri che sono entrati nello scenario aziendale.

Agenti AI nelle videocall aziendali: utili, ma ci sono rischi legali

Sicuramente l’emergenza pandemica Covid-19 ne ha accelerato la loro diffusione, “forzando” i soggetti privati a vedere i benefici che tali strumenti possono fornire nel contesto lavorativo tra cui, in primis, risparmi di tempo e rapidità di organizzazione di meeting e/o eventi.

In tale contesto, non rappresenta neanche più una novità il fatto che le organizzazioni stiano ormai da tempo orientando i loro investimenti verso nuovi modelli di business, che sfruttano le opportunità offerte dai sistemi di intelligenza artificiale (nel prosieguo anche “IA“), per essere maggiormente competitivi sul mercato, in termini di efficientamento dei processi e di miglioramento dei servizi resi.

L’implementazione di questi strumenti di IA negli applicativi di videocall è prassi oramai consolidata: quasi tutti i principali provider di questi servizi hanno integrato nei loro software le funzionalità di registrazione, trascrizione, alle volte anche di sottotitolatura delle videochiamate in tempo reale.

Per quanto queste novità possano essere molto utili, il loro uso quotidiano e sistematico all’interno di una azienda può complicare seriamente le cose.

Quali trattamenti avvengono nelle riunioni online

Durante le videocall, indubbiamente, sono varie le categorie di dati personali dei partecipanti che vengono trattate dal primo all’ultimo minuto. Questi dati, inoltre, possono essere relativi a varie categorie di interessati, tra cui dipendenti, consulenti, clienti, fornitori: questa varietà di fattori cambia il livello di rischio e, conseguentemente, a seconda dei casi e delle circostanze, anche le cautele da adottare.

Si sa che per trattamento di dati personali, ai sensi dell’art. 4, numero 2) del Reg. 2016/679 (noto anche come “GDPR“) deve intendersi “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Come anticipato, sono numerosi i software di videoconference che offrono la possibilità sia di registrare l’evento/meeting, con eventuale raccolta delle immagini dei partecipanti, sia di trascrivere la riunione (banalmente per avere una sintesi automatica dei punti trattati nel meeting), oltre all’analisi e la generazione di contenuti, o anche la redazione di bozze di documenti o e-mail.

È quindi necessario che le informazioni ivi fornite, raccolte, analizzate o elaborate da tali strumenti vengano gestite nel modo più opportuno. I dati personali oggetto di trattamento nel corso di un meeting o di una riunione interna possono essere molteplici: partendo ovviamente dall’immagine e voce, ai dati identificativi dell’utente/partecipante quali nome e cognome, indirizzo e-mail aziendale, id utente, numero di telefono, ruolo e funzione di riferimento ai metadati relativi ai log di accesso e utilizzo, per non tralasciare contenuti documentali (quali file, presentazioni, documenti) condivisi durante la riunione.

Per tale ragione è necessario che l’organizzazione, nella sua veste di Titolare del trattamento, sin dall’inizio e prima che il trattamento venga effettuato, predisponga l’adeguata documentazione di compliance.

Gli obblighi di compliance secondo il GDPR

Come per qualsiasi trattamento, il titolare si deve assicurare, in conformità all’art. 5, par. 2, e all’art. 24 del GDPR, di rispettare tutti i principi del trattamento e che il trattamento sia realizzato adottando le adeguate misure di sicurezza tecniche ed organizzative. Questo esercizio di accountability, tuttavia, è più facile a dirsi che a farsi. Gli adempimenti includono, ad esempio, l’obbligo di fornire le informazioni di cui agli artt. 13 e 14 del GDPR agli interessati. Inoltre, al giorno d’oggi, i servizi di videocall utilizzati dalle aziende sono nella stragrande maggioranza dei casi offerti da piattaforme esterne e i nomi più noti oggi sono conosciuti da tutti: per citarne alcuni Microsoft Teams, Google Meet, Zoom.

In tale contesto è opportuno definire il ruolo privacy del fornitore e comprendere, ad esempio, se necessario nominarlo o meno responsabile del trattamento, ai sensi dell’art. 28 del GDPR, oltreché individuare l’ubicazione dei sistemi ove i dati vengono conservati ed elaborati e valutare le garanzie applicabili, ai sensi degli artt. 44 e ss nei casi di trasferimenti dei dati al di fuori dell’Unione Europea.

Ugualmente importante sarà assicurare, nei casi di registrazione delle riunioni, che il microfono, la telecamera nonché la condivisone dello schermo sia spento per impostazione predefinita.

Rischi contrattuali e di proprietà intellettuale

Oltre ai più classici temi relativi alla protezione dei dati personali, ad ogni modo, subentrano anche altre tematiche potenzialmente problematiche per l’impresa. In primis, è sempre utile una analisi contrattuale dei termini e condizioni di tali servizi, che sono standard e tipicamente non negoziabili, coinvolgendo professionisti specializzati laddove il fornitore preveda tra le clausole contrattuali del proprio servizio l’utilizzo dei dati personali dell’organizzazione per addestrare i propri modelli di intelligenza artificiale per migliorare la qualità dei propri servizi (o per altre finalità proprie).

Sussistono poi dei temi di proprietà intellettuale ed industriale che devono essere gestiti: cosa succede se durante la call sono condivise informazioni e documenti riservati?

Come vengono elaborate queste informazioni da eventuali strumenti di IA usati durante la call? E le registrazioni eventualmente fatte, che potrebbero riportare tali informazioni, dove e come sono conservate? E cosa succede, ad esempio, nel caso in cui viene registrata una videocall di negoziazione contrattuale? È possibile che, a posteriori, una controparte contrattuale vada a contestare una previsione contrattuale o possa andare a sostenere un diverso accordo verbale, producendo come prova proprio la registrazione?

Sicuramente la registrazione, trascrizione e presa appunti, in alcuni casi è da scoraggiare: ad esempio non è mai saggio registrare call con i propri consulenti strategici, legali o fiscali, per ovvi motivi di delicatezza delle informazioni normalmente condivise con questi soggetti.

Allo stesso modo, non è raccomandabile registrare o trascrivere call di negoziazione contrattuale con clienti o fornitori: sussiste sempre il rischio che a posteriori nel tempo quelle che erano solo frasi dette a voce in un contesto volatile di trattativa vengano riutilizzate contro il titolare stesso.

Il consenso come base giuridica: limiti e criticità

A prescindere dai classici temi di compliance e dai potenziali ulteriori problemi che abbiamo menzionato, dal punto di vista della protezione dei dati personali i veri ostacoli si incontrano quando l’organizzazione del Titolare tenta di regolamentare in concreto l’utilizzo di questi sistemi, ad esempio adottando policy, regolamenti o procedure interne. Il primo di questi problemi è tipicamente l’individuazione della corretta base giuridica: a seconda del contesto, degli interessati coinvolti e della natura della call, infatti, può essere più opportuno adottarne una invece che un’altra.

Partiamo dalla prima e più classica: il consenso.

Come evidente, questa base giuridica offre la modalità più diretta di legittimazione del trattamento sotteso alla registrazione. Laddove non vi siano strumenti tecnologici che permettano di registrare solo ed esclusivamente i dati dei partecipanti che hanno conferito il consenso escludendo gli altri (attualmente non ce ne sono), è ovvio che il negato consenso di anche solo uno dei partecipanti alla videocall travolgerà quello di tutti gli altri partecipanti, bloccando il trattamento sul nascere.

Il consenso, tuttavia, ai sensi dell’art. 7 del GDPR deve essere libero e dunque non coartato, e presuppone che l’interessato non subisca indebite pressioni materiali o psicologiche nel fornirlo e, proprio sotto questo aspetto, si intravedono i primi problemi. Il primo fattore da tenere in considerazione, infatti, potrebbe il numero di soggetti partecipanti alla videocall.

È chiaro che, in teoria, se non si desidera essere registrati, basta dire di no. Tuttavia, più aumenta il numero di persone che conferisce il consenso, maggiore è la pressione sociale a non essere “la voce fuori dal coro” e a non impedire agli altri partecipanti di registrare. Questo è ancor più vero quando la registrazione è effettuata al fine di tenere appunti della riunione: negare il consenso comporta che qualcuno dovrà fare più lavoro, redigendo la minuta a mano.

Questo argomento, per quanto marginale, va tenuto a mente e declinato nel contesto specifico della organizzazione per cui si lavora.

Il consenso dei dipendenti e il rapporto di subordinazione

La libertà del consenso, inoltre, potrebbe essere viziata nel momento in cui alla videocall partecipano più lavoratori dipendenti del titolare. È oramai arcinoto che il consenso non è, fatte salve poche eccezioni, una valida base giuridica per il trattamento di dati personali dei dipendenti, in quanto il rapporto di subordinazione con il datore (titolare) ne inficia proprio il requisito della libertà. Si potrebbe argomentare che l’attivazione dello strumento di registrazione da parte del dipendente potrebbe costituire un valido consenso di quest’ultimo a condizione che:

Dove si conservano i dati? Presso l’organizzazione, un suo fornitore o presso un terzo? E chi li conserva, il datore di lavoro in una repository centrale o il singolo dipendente? E Per quanto tempo si conservano?

Nella redazione di una policy o regolamento aziendale che vada a disciplinarne l’uso all’interno dell’organizzazione è necessario tenere in considerazione tutti questi aspetti e ciò, a onor del vero, potrebbe rivelarsi una sfida in salita per le aziende.

Ciascuna organizzazione deve dunque eseguire le più opportune considerazioni sulla governance di questi strumenti, dato che è la stessa che ne definisce l’adozione. In tale valutazione dovranno contare anche altri aspetti del contesto del trattamento, quali, ad esempio, la dimensione del titolare, il numero dei dipendenti, il settore di riferimento, il luogo in cui avviene e la ricorrenza di specifiche situazioni di criticità. In conclusione, a parere di chi scrive, è opportuno che le organizzazioni, sin dall’inizio dell’utilizzo di tali tecnologie, effettuino le dovute verifiche del caso, in quanto la materia non è di facile comprensione ed attuarla potrebbe risultare tutt’altro che immediato

  • il dipendente sia correttamente informato del trattamento e del fatto che l’attivazione dello strumento costituisce la manifestazione del proprio consenso;
  • alla call partecipi solo il dipendente in questione insieme a soggetti esterni (che abbiano fornito un consenso), senza che siano presenti altri colleghi o capi da cui potrebbe subire pressioni;
  • abbia la facoltà di attivare a propria discrezione lo strumento, senza subire alcun tipo di pressione da parte del datore di lavoro;
  • le registrazioni o trascrizioni siano ad esclusiva disposizione del dipendente stesso e non siano accessibili direttamente dal datore di lavoro attraverso sistemi centralizzati.

Il legittimo interesse come alternativa al consenso

Questa argomentazione, tuttavia, è speculativa e dipinge uno scenario poco realistico, che sicuramente dovrebbe tenere in considerazione anche altri aspetti della realtà lavorativa del dipendente.

In tal senso, dunque, quando i partecipanti alla videocall sono lavoratori dipendenti, una delle basi giuridiche che sembra valer la pena esplorare è il legittimo interesse (sostenere che la registrazione serva per l’esecuzione di un contratto di cui tutti i partecipanti alla call siano parte o per obbligo legale non sembra convincente – se non per casi più unici che rari – e realisticamente inapplicabili risultano essere le basi giuridiche di cui agli artt. 6, 1, d) ed e) del GDPR).

Basare il trattamento sul legittimo interesse, in questi casi, richiederebbe ovviamente lo svolgimento di una LIA (Legitimate Interest Assessment), secondo tutti i carismi stabiliti dagli appositi provvedimenti dell’EDPB. Tra i passaggi fondamentali della LIA vi è proprio il c.d. “test di bilanciamento“, nel quale il titolare deve verificare che l’interesse perseguito prevale sui diritti e le libertà degli interessati coinvolti. Nel caso del trattamento dei dati del lavoratore, è lecito domandarsi se l’introduzione di un sistema di questo genere, senza alcun tipo di misura ulteriore a ridurre l’invasività del trattamento, sia lecito.

Ad avviso di chi scrive, se l’applicativo viene implementato in modo trasversale dentro un’azienda, potrebbe essere opportuno passare attraverso lo strumento della contrattazione collettiva al fine di stabilire i limiti e le finalità di utilizzo dello strumento, oltre che le modalità e i casi in cui gli interessati possono opporsi.

I vincoli dello Statuto dei Lavoratori

Infatti, sotto il profilo giuslavoristico, le organizzazioni devono tenere in considerazione le garanzie fornite dall’art. 4 dello Statuto dei Lavoratori. Infatti, l’art. 4, 1 comma, della Legge n. 300/1970, in materia di “impianti audiovisivi e strumenti di controllo“, prevede come gli strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, dunque al di fuori dell’ambito di applicazione del comma 2 del menzionato articolo, possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.

Nel caso in cui le registrazioni di video e immagini della call, dunque, vengano raccolte attraverso sistemi centralizzati e vengano rese direttamente disponibili al datore di lavoro, ci si potrebbe anche scontrare con i summenzionati divieti di cui all’art. 4 dello Statuto dei Lavoratori.

Fattori da considerare nella governance aziendale

Oltre a tutti questi potenziali problemi, la situazione deve essere analizzata tenendo in considerazione anche altri fattori, tra cui:

  • chi effettua la registrazione: un interessato dipendente dell’organizzazione o un terzo soggetto esterno (ad esempio un cliente o fornitore)? La situazione ed i rischi aziendali cambiano tra uno scenario e l’altro, e le istruzioni da fornire ai dipendenti dovrebbero tenere in considerazione entrambi.
  • Chi sono gli interessati coinvolti? A seconda che alla call partecipino solo dipendenti o anche soggetti esterni cambiano le problematiche e gli adempimenti.
  • Quali sono i dati effettivamente raccolti? E quali trattamenti vengono realizzati: registrazione, presa di appunti, trascrizione…? E a che fine si conservano i dati?
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Marco Catalano
Avvocato
Seguimi su
Z
Alfredo Zallone
Avvocato
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • digital banking (1) Frodi - Figura 3 – Esiti del servizio di verifica del beneficiario cybersecurity finanziaria

  • privacy

    Ispezioni del Garante privacy in banca: come prepararsi

    15 Mag 2025

    di Valentino Notarangelo

    Condividi