Nel contesto della crescente attenzione verso la protezione dei dati personali e la sicurezza sul lavoro, il Garante per la protezione dei dati personali ha reso noto sul proprio sito istituzionale un parere (numero 10141513 del 21 maggio 2025) relativo a un importante schema di decreto: emanato dall'Ispettorato nazionale del lavoro, il provvedimento riguarda la patente a crediti, strumento ideato per monitorare e certificare il rispetto delle normative di sicurezza da parte delle imprese e dei lavoratori autonomi che operano nei cantieri temporanei o mobili.
La protezione dei dati, in particolar modo quelli personali, assume sempre più una rilevanza fondamentale soprattutto in contesti come quello dei cantieri, in cui la gestione delle informazioni può implicare rischi significativi se non correttamente tutelata.
Il parere del Garante si concentra, infatti, sulle modalità di trattamento, conservazione e ostensione delle informazioni relative a questa patente, ed esprime parere favorevole sullo schema di decreto, con alcune condizioni.
Prima di affacciarci sul parere del Garante, un breve riepilogo dell’istituto della patente a crediti.
Si tratta di un innovativo strumento introdotto nell'ambito della legislazione sulla sicurezza nei cantieri temporanei e mobili, che ha come obiettivo principale quello di certificare la conformità delle imprese e dei lavoratori autonomi alle normative previste in tema di salute e sicurezza sul lavoro, seguendo un sistema di punteggio che può variare nel tempo in base ai comportamenti adottati e agli eventuali provvedimenti disciplinari.
L'introduzione di questo sistema risponde alla necessità di creare un sistema di monitoraggio e verifica che assicuri non solo la sicurezza dei lavoratori, ma anche la responsabilità e l'affidabilità delle imprese operanti in contesti particolarmente complessi come quelli dei cantieri.
La patente a crediti consente, infatti, di attribuire dei punteggi alle imprese e ai lavoratori basati sul rispetto delle normative relative alla sicurezza sul lavoro.; tuttavia, i crediti possono essere decurtati in caso di violazioni, mentre la sospensione della patente può essere disposta in caso di infrazioni gravi.
Le finalità della patente sono dunque due:
In questo modo, la patente a crediti non solo rafforza la cultura della sicurezza, ma costituisce anche un metodo efficace per responsabilizzare gli operatori del settore.
A livello pratico, la patente a crediti si articola in un sistema che prevede l'attribuzione iniziale di un punteggio a ciascun soggetto, che può essere un'impresa o un lavoratore autonomo, che rappresenta il "credito iniziale" che può aumentare o diminuire in funzione delle azioni e dei comportamenti nel rispetto delle normative di sicurezza.
La gestione di questi crediti avviene attraverso un portale online gestito dall'Ispettorato nazionale del lavoro, in cui tutte le informazioni relative alla patente a crediti vengono registrate e possono essere consultate dai soggetti autorizzati, quali sono i titolari della patente, i responsabili dei lavori e le autorità competenti.
Il punteggio iniziale attribuito può essere incrementato attraverso il rispetto di determinate pratiche di sicurezza, come la partecipazione a corsi di aggiornamento o la realizzazione di interventi per migliorare le condizioni di lavoro nei cantieri.
Viceversa, le violazioni delle normative in materia di sicurezza, come ad esempio il mancato rispetto delle misure di prevenzione, possono determinare una riduzione dei crediti accumulati.
In alcuni casi, le violazioni più gravi possono comportare una sospensione temporanea della patente, impedendo così l’operatività dell'impresa o del lavoratore autonomo nel cantiere fino a quando non siano adottate le misure correttive necessarie.
Le informazioni relative a queste sospensioni vengono registrate e rese visibili attraverso il portale, garantendo così una trasparenza che permette agli enti preposti e agli altri operatori del settore di verificare in tempo reale lo stato della patente a crediti.
Un aspetto fondamentale del sistema della patente a crediti riguarda la protezione dei dati personali, raccolti e trattati in modo da rispettare i diritti degli interessati.
La gestione e la visibilità di queste informazioni sono regolamentate dalla stringente normativa stringenti in materia di protezione dei dati (Regolamento n. 2016/679, noto come GDPR), che impone rigide misure di sicurezza e di trasparenza.
Il parere del Garante per la protezione dei dati personali è stato richiesto proprio per garantire che il sistema di patente a crediti sia conforme a tali normative.
In particolare, il Garante ha esaminato le modalità di ostensione delle informazioni, prevedendo che queste siano accessibili solo a soggetti autorizzati, come i titolari della patente, le pubbliche amministrazioni competenti, i rappresentanti dei lavoratori per la sicurezza e altre figure chiave coinvolte nella gestione della sicurezza nei cantieri.
Il Garante ha espresso dunque parere favorevole sullo schema di decreto, ma ha posto alcune condizioni legate alla protezione dei dati, in particolare riguardo alla gestione delle password degli utenti e al tracciamento delle operazioni effettuate sulla piattaforma, misure essenziali per evitare accessi non autorizzati e per garantire che le informazioni siano consultabili solo da chi ha effettivamente necessità di conoscerle, con particolare riguardo alla protezione delle password degli utenti e alla garanzia dell’integrità dei file di log contenenti informazioni sensibili.
Il parere positivo del Garante si basa sulla valutazione che lo schema di decreto dell'INL rispetti i principi fondamentali stabiliti dal GDPR ma ha posto in evidenza come le informazioni trattate attraverso la piattaforma debbano essere pertinenti, adeguate e limitate rispetto alle finalità per le quali vengono raccolte.
In altre parole, solo i dati strettamente necessari per il corretto funzionamento del sistema della patente a crediti devono essere raccolti e resi accessibili, evitando ogni forma di trattamento superfluo o invasivo.
Una delle condizioni principali poste dal Garante riguarda la protezione delle password degli utenti che accedono alla piattaforma online.
La sicurezza delle credenziali di accesso è infatti fondamentale per garantire che solo i soggetti autorizzati possano visualizzare e modificare le informazioni contenute nel sistema della patente a crediti.
Il Garante ha evidenziato che, per evitare accessi non autorizzati, le password degli utenti devono essere protette attraverso sistemi crittografici robusti, che impediscano la decodifica o l'accesso alle informazioni senza un'autenticazione adeguata.
In particolare, viene richiesto che le password siano conservate in modo sicuro e utilizzando tecniche di cifratura non reversibile in modo che, anche nel caso di un’eventuale violazione dei sistemi informatici, le password non possano essere facilmente decifrate.
Inoltre, è stato sottolineato che le password devono essere complesse e difficilmente prevedibili, per evitare il rischio che soggetti non autorizzati possano accedere al sistema tramite attacchi informatici.
Il rispetto di questi requisiti non solo è fondamentale per proteggere i dati degli utenti, ma è anche in linea con le disposizioni del GDPR, che richiede che siano adottate misure di sicurezza adeguate ai rischi connessi al trattamento dei dati personali (articolo 32 del GDPR).
Un'altra condizione imposta dal Garante riguarda la gestione dei file di log, ossia i registri delle operazioni effettuate sulla piattaforma della patente a crediti: questi file contengono infatti informazioni sensibili, come gli accessi effettuati dai vari utenti, le modifiche apportate ai dati e altre operazioni rilevanti per il corretto funzionamento del sistema.
Anche in questo caso, il Garante ha sottolineato che è essenziale garantire l'integrità di questi file, in modo che non possano essere alterati o cancellati senza un'adeguata tracciabilità.
Il tracciamento delle operazioni è infatti una misura fondamentale per verificare la correttezza e la liceità del trattamento dei dati, oltre che per monitorare eventuali accessi non autorizzati: l’adozione di un sistema di registrazione accurato e sicuro permette di identificare tempestivamente eventuali comportamenti anomali o tentativi di accesso non autorizzato.
Inoltre, il Garante ha richiesto che questi file siano conservati per un periodo limitato, in linea con i principi di minimizzazione dei dati e di limitazione della conservazione previsti dal GDPR, e ha suggerito che le informazioni contenute nei file di log siano accessibili solo agli enti competenti e a soggetti autorizzati.
L'ispettorato nazionale del lavoro, in qualità di titolare del trattamento dei dati, ha la responsabilità di raccogliere, gestire e proteggere le informazioni personali relative alla patente a crediti per le imprese e i lavoratori autonomi operanti nei cantieri temporanei o mobili.
Come previsto dal GDPR, infatti, titolare del trattamento è colui che determina le finalità e i mezzi con cui i dati personali sono trattati.
Spetta dunque all’INL garantire che tutte le operazioni di trattamento siano svolte nel pieno rispetto della privacy degli interessati, ovvero delle imprese e dei lavoratori autonomi, e che i dati siano trattati in modo lecito, corretto e trasparente.
Il portale dei servizi attraverso il quale vengono gestiti i dati relativi alla patente a crediti rappresenta il mezzo principale per il trattamento delle informazioni: qui le imprese e i lavoratori autonomi possono visualizzare e aggiornare i propri dati, mentre i soggetti autorizzati, come le autorità competenti e altri attori rilevanti, hanno accesso alle informazioni necessarie per monitorare la conformità alle normative di sicurezza.
In un sistema che gestisce dati così sensibili come quelli relativi alla patente a crediti, le misure di sicurezza adottate dall’ispettorato sono fondamentali per proteggere le informazioni da potenziali minacce e attacchi informatici.
Il trattamento dei dati deve essere accompagnato da misure di sicurezza tecniche e organizzative adeguate a garantire la riservatezza, l’integrità e la disponibilità dei dati personali.
Sicurezza perimetrale e monitoraggio continuo della Rete
Una delle misure più importanti implementate dall'Ispettorato è la sicurezza perimetrale unificata, che consiste in una protezione avanzata della rete aziendale: questo sistema impedisce l'accesso non autorizzato alla rete e monitora costantemente le attività svolte all’interno del sistema, rilevando eventuali anomalie o attività sospette.
Il monitoraggio continuo della rete permette di individuare tempestivamente eventuali tentativi di intrusione, garantendo che solo gli utenti legittimi possano accedere e interagire con i dati sensibili.
Inoltre, l’adozione di sistemi di filtraggio per bloccare l'accesso a siti pericolosi o potenzialmente dannosi contribuisce a rafforzare la protezione dei dati, impedendo l’introduzione di malware o altre minacce informatiche. Questi strumenti di sicurezza sono essenziali per prevenire il rischio di violazioni dei dati personali e garantire la protezione dei dati raccolti nella piattaforma.
Crittografia e protezione dei dati in transito
In un ambiente digitale, è essenziale garantire che i dati personali siano protetti non solo all'interno del sistema, ma anche durante il loro trasferimento: a tal fine, l'ispettorato ha implementato la crittografia dei dati, che assicura che le informazioni siano illeggibili per chiunque non possieda le chiavi di accesso appropriate.
La crittografia viene utilizzata sia per proteggere i dati a riposo (cioè quando non sono in uso) che quelli in transito (quando vengono trasferiti da un sistema all'altro).
Gestione degli accessi e autenticazione forte
Un altro elemento basilare per la sicurezza della piattaforma è la gestione degli accessi: l’ispettorato utilizza una autenticazione forte basata su SPID, CIE CNS o eIDAS, tutte modalità di autenticazione sicura per garantire che solo i soggetti legittimati possano accedere alle informazioni.
Si tratta di un sistema di autenticazione multifattoriale progettato per ridurre al minimo il rischio di accesso non autorizzato, richiedendo che gli utenti si autentichino utilizzando più di un metodo di verifica.
Le informazioni relative alla patente a crediti possono essere visualizzate solo da specifici soggetti autorizzati, ciascuno con scopi e responsabilità ben definiti.
In generale, le informazioni relative alla patente a crediti devono essere conservate per tutto il periodo di validità della patente.
Questo include i dati relativi al punteggio iniziale, gli aggiornamenti del punteggio, e i provvedimenti disciplinari che possono essere stati adottati, come la sospensione temporanea della patente per infrazioni gravi.
Tuttavia, per garantire un’adeguata gestione della privacy e per rispettare il principio di minimizzazione dei dati previsto dal GDPR, il trattamento e la conservazione dei dati devono essere limitati a quanto strettamente necessario per il raggiungimento delle finalità per cui sono stati raccolti.
La conservazione delle informazioni viene quindi regolata a livello temporale in base alla loro natura.
Le informazioni relative alla sospensione della patente e ai provvedimenti definitivi relativi alla decurtazione dei crediti, per esempio, possono essere conservate per un periodo non superiore a cinque anni dalla data della loro iscrizione nel portale, limite temporale fissato in modo da permettere un'adeguata tracciabilità delle infrazioni e delle decisioni disciplinari, senza però mantenere i dati per periodi eccessivamente lunghi, in rispetto del principio di limitazione della conservazione previsto dal GDPR.
Inoltre, per quanto riguarda i dati sensibili e le informazioni private relative agli imprenditori e ai lavoratori autonomi, la piattaforma deve garantire che siano trattati con la massima riservatezza, accessibili solo ai soggetti autorizzati e per il tempo strettamente necessario per lo svolgimento delle attività di controllo e verifica.
Decurtazione dei crediti
Un aspetto specifico della conservazione delle informazioni riguarda la decurtazione dei crediti, le cui informazioni vengono conservate, ma non per un periodo illimitato.
Anche tali dati, infatti, devono essere conservati nel sistema per un massimo di cinque anni a partire dalla data di registrazione della penalizzazione nel portale.
|
Parere del Garante |
Il Garante ha espresso parere favorevole sullo schema di decreto, con alcune condizioni relative alla protezione dei dati e alle misure di sicurezza. |
|
Protezione delle Password |
Il Garante ha richiesto l'adozione di misure crittografiche robuste per la protezione delle password degli utenti, in linea con il GDPR. Le password devono essere conservate in modo sicuro e non reversibile. |
|
Integrità dei File di Log |
Il Garante ha enfatizzato l'importanza di garantire l'integrità dei file di log, che tracciano tutte le operazioni effettuate sulla piattaforma. Tali file devono essere accessibili solo agli enti competenti. |
|
Periodo di Conservazione |
Le informazioni relative alla patente a crediti devono essere conservate per tutta la durata della validità della patente, con alcune informazioni conservate per un massimo di 5 anni, come i dati relativi alla decurtazione dei crediti. |
|
Accesso alle Informazioni |
L'accesso alle informazioni è limitato e può essere effettuato solo da soggetti autorizzati, come titolari della patente, pubbliche amministrazioni, e rappresentanti dei lavoratori per la sicurezza. |
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".