Registrazione delle riunioni su Teams e piattaforme di collaborazione: finalità di trattamento, basi giuridiche e adempimenti privacy

Premessa

L'utilizzo sempre più diffuso di piattaforme di collaboration quali Microsoft Teams, Zoom, Webex e analoghe soluzioni ha portato le organizzazioni a confrontarsi con la questione della registrazione delle videoconferenze tra colleghi. La registrazione di tali riunioni costituisce un trattamento di dati personali che richiede un'attenta analisi preventiva sotto il profilo della protezione dei dati, anche in considerazione della particolare delicatezza del contesto lavorativo in cui si colloca.

Come chiaramente indicato dal Gruppo di lavoro Articolo 29 nel Parere 2/2017 sul trattamento dei dati sul posto di lavoro (WP249), le tecnologie che monitorano le comunicazioni possono dissuadere dall'esercizio dei diritti fondamentali dei dipendenti, incluso il diritto di organizzare riunioni dei lavoratori e comunicare in maniera confidenziale. Il monitoraggio delle comunicazioni esercita pressioni sui dipendenti spingendoli a conformarsi in modo da evitare comportamenti percepiti come anomali.

Individuazione delle finalità di trattamento

Il primo passo fondamentale per il titolare del trattamento che intenda implementare la registrazione delle riunioni su piattaforme di collaboration consiste nell'individuazione delle specifiche e legittime finalità perseguite. Tale identificazione deve avvenire in modo preliminare e coinvolgere le diverse funzioni aziendali potenzialmente interessate, quali HR, Organizzazione, Audit, Compliance, Legal, IT e altre strutture rilevanti.

Le finalità devono essere determinate non solo con riferimento all'effettuazione della registrazione in sé, ma anche rispetto al suo successivo utilizzo e alla sua conservazione. Il principio di limitazione delle finalità di cui all'art. 5, par. 1, lett. b) del GDPR impone che i dati personali siano raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.

Tra le possibili finalità legittime per la registrazione delle riunioni possono annoverarsi:

• Finalità organizzative e documentali: la necessità di verbalizzare riunioni di particolare rilevanza aziendale, decisioni strategiche, incontri con rilevanza legale o contrattuale, oppure sessioni che richiedano una documentazione formale degli interventi.
• Finalità formative: la registrazione di eventi formativi, webinar interni, sessioni di knowledge sharing o onboarding destinati a essere successivamente fruiti da altri dipendenti.
• Finalità di compliance e governance: la documentazione di riunioni di organi societari, comitati di compliance, sessioni di audit interno o altri incontri la cui tracciabilità sia richiesta da normative interne o esterne.
• Finalità di supporto operativo: la possibilità per partecipanti impossibilitati a presenziare di recuperare i contenuti della riunione, o la creazione di minute automatizzate tramite funzionalità di trascrizione.

È essenziale che le finalità perseguite giustifichino un approccio selettivo alla registrazione, limitato a specifiche tipologie di riunioni o categorie di incontri, piuttosto che un approccio generalizzato ed esteso. Come indicato nelle Linee guida del WP29, il trattamento dei dati sul posto di lavoro dovrebbe essere svolto nella maniera meno intrusiva possibile e deve essere mirato allo specifico ambito di rischio, in ossequio al principio di minimizzazione.

Base giuridica del trattamento

Una volta individuate le finalità, il titolare deve identificare la base giuridica appropriata per legittimare il trattamento, conformemente all'art. 6 del GDPR. Come precisato dall'EDPB, non esiste una gerarchia tra le diverse basi giuridiche: il titolare del trattamento deve assicurarsi che la base giuridica selezionata corrisponda all'obiettivo e al contesto del trattamento in questione.

In assenza di specifici obblighi normativi o contrattuali, le opzioni principali per la registrazione delle riunioni tra colleghi sono essenzialmente due:

Legittimo interesse (art. 6, par. 1, lett. f) GDPR): Il datore di lavoro può invocare il perseguimento di legittimi interessi correlati alle esigenze organizzative, tecniche o di governance precedentemente identificate. Tuttavia, come chiarito dal WP29 e dall'EDPB, affinché il trattamento possa fondarsi sul legittimo interesse, devono essere soddisfatte tre condizioni cumulative: il perseguimento di un interesse legittimo del titolare, la necessità del trattamento per tale perseguimento, e la condizione che non prevalgano i diritti e le libertà fondamentali degli interessati.

È fondamentale effettuare un'attenta valutazione comparativa (balancing test) che consideri la ragionevole aspettativa degli interessati, la natura dei dati trattati, le modalità del trattamento e le misure di attenuazione adottate. Qualora si opti per questa base giuridica, rimane fermo il diritto di opposizione degli interessati ai sensi dell'art. 21 GDPR.

Consenso (art. 6, par. 1, lett. a) GDPR): L'alternativa consiste nel richiedere il consenso preventivo ai partecipanti. Tuttavia, il WP29 ha ripetutamente sottolineato che nel contesto lavorativo è problematico basarsi sul consenso dei dipendenti, in quanto è improbabile che questo venga prestato liberamente a causa dello squilibrio di posizioni tra datore di lavoro e lavoratore.

Le Linee guida EDPB sul consenso (WP259 rev.01) chiariscono che, per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base legittima non può e non dovrebbe essere il consenso del dipendente, in considerazione della natura del rapporto tra datore di lavoro e dipendente. Tuttavia, ciò non esclude categoricamente l'utilizzo del consenso: in situazioni in cui il datore di lavoro è in grado di dimostrare che il consenso è stato effettivamente espresso liberamente e che i dipendenti non subiscono alcuna ripercussione negativa per il fatto che lo esprimano o meno, tale base giuridica può risultare appropriata.

Controllo a distanza dei lavoratori e Statuto dei Lavoratori

Un profilo di particolare rilevanza nel contesto italiano riguarda la potenziale configurabilità della registrazione delle riunioni come forma di controllo a distanza dell'attività dei lavoratori. L'art. 4, comma 1, della Legge n. 300/1970 (Statuto dei Lavoratori), richiamato anche dall'art. 114 del D.lgs. 196/2003 (Codice Privacy), prevede che gli impianti e le apparecchiature dai quali possa derivare anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali (RSU/RSA), oppure, in mancanza di accordo, con autorizzazione dell'Ispettorato del Lavoro territorialmente competente.

Come indicato nel Vademecum "Privacy e Lavoro" del Garante, è vietato ai datori di lavoro effettuare trattamenti di dati personali mediante sistemi hardware e software che mirino al controllo a distanza dei lavoratori. Tale divieto opera indipendentemente dalla tecnologia utilizzata.

È pertanto necessario valutare preliminarmente, con il supporto del consulente giuslavorista, se la registrazione delle riunioni, in ragione delle specifiche finalità perseguite e delle modalità adottate, possa configurare anche indirettamente uno strumento di controllo a distanza. In caso affermativo, sarà necessario attivare la procedura di garanzia prevista dallo Statuto dei Lavoratori prima di procedere all'implementazione.

Valutazione d'Impatto sulla Protezione dei Dati (DPIA)

L'art. 35 del GDPR impone al titolare del trattamento di effettuare una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) quando un tipo di trattamento, allorché preveda in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Come precisato nelle Linee guida EDPB sulla DPIA (WP248), l'utilizzo di una nuova tecnologia può comportare l'obbligo di condurre una DPIA, in quanto può generare forme innovative di raccolta e utilizzo dei dati cui può associarsi un rischio elevato. Le conseguenze sul piano individuale e sociale del ricorso a una nuova tecnologia sono talora ignote, e la DPIA aiuterà il titolare a comprendere e gestire tali rischi.

La necessità di effettuare una DPIA risulta particolarmente evidente quando la registrazione delle riunioni:

• coinvolga l'impiego di nuove tecnologie o sistemi di intelligenza artificiale, come le funzionalità di trascrizione automatica offerte da Microsoft Copilot o analoghe soluzioni;
• riguardi soggetti vulnerabili, categoria che comprende i dipendenti in ragione dello squilibrio di potere nel rapporto con il datore di lavoro;
• implichi un monitoraggio sistematico delle comunicazioni o del comportamento dei lavoratori;
• comporti il trattamento di dati su larga scala.

La DPIA deve contenere almeno:

• una descrizione sistematica dei trattamenti previsti e delle finalità;
• una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
• una valutazione dei rischi per i diritti e le libertà degli interessati;
• le misure previste per affrontare i rischi, includendo garanzie, misure di sicurezza e meccanismi per garantire la protezione dei dati.

Informativa agli interessati

Il principio di trasparenza, sancito dall'art. 5, par. 1, lett. a) del GDPR, richiede che le informazioni e le comunicazioni relative al trattamento dei dati personali siano facilmente accessibili e comprensibili. Come chiarito dalle Linee guida sulla trasparenza (WP260 rev.01), gli interessati non dovrebbero essere colti di sorpresa dalla finalità del trattamento dei dati personali che li riguardano.

Prima di procedere alla registrazione di qualsiasi riunione, il titolare deve fornire ai partecipanti un'adeguata informativa ai sensi dell'art. 13 del GDPR, che includa:

• l'identità e i dati di contatto del titolare del trattamento e del DPO;
• le finalità del trattamento e la relativa base giuridica;
• i legittimi interessi perseguiti dal titolare, ove applicabile;
• i destinatari o le categorie di destinatari della registrazione;
• il periodo di conservazione della registrazione;
• l'esistenza dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità);
• il diritto di proporre reclamo all'Autorità di controllo.

L'informativa deve essere resa preventivamente, prima dell'inizio della registrazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. È opportuno che all'inizio di ogni riunione registrata venga data comunicazione verbale o tramite notifica automatica della piattaforma circa l'attivazione della registrazione e le modalità per consultare l'informativa completa.

Ulteriori adempimenti privacy

Oltre a quanto già indicato, il titolare del trattamento deve:

• Definire i tempi di conservazione: stabilire per quanto tempo le registrazioni saranno conservate, in ossequio al principio di limitazione della conservazione. La durata deve essere commisurata alle finalità perseguite e non eccedere quanto necessario per il loro conseguimento.
• Perimetrare l'accesso: identificare le strutture e le persone autorizzate ad accedere alle registrazioni, utilizzarle e, ove previsto, procedere alla loro trascrizione. Gli autorizzati devono essere debitamente istruiti ai sensi dell'art. 29 GDPR.
• Adottare misure di sicurezza: implementare adeguate misure tecniche e organizzative per garantire la riservatezza, integrità e disponibilità delle registrazioni, proteggendole da accessi non autorizzati, alterazioni o perdite.
• Aggiornare il Registro dei trattamenti: censire il trattamento relativo alla registrazione delle riunioni nel Registro dei trattamenti ai sensi dell'art. 30 GDPR.

Definire procedure interne: predisporre una policy o procedura interna che disciplini chiaramente quando sia consentito registrare, quali riunioni possano essere oggetto di registrazione, come utilizzare e con chi condividere le registrazioni, e le modalità di conservazione e cancellazione.

Utilizzo di sistemi di IA per la trascrizione

Qualora si preveda l'impiego di funzionalità di intelligenza artificiale, quali Microsoft Copilot o analoghi strumenti, per la trascrizione automatica delle registrazioni, è necessario considerare anche i profili relativi al processo decisionale automatizzato di cui all'art. 22 GDPR e le disposizioni della nuova normativa nazionale sull'IA (Legge n. 132/2025).

L'art. 1-bis del D.lgs. 152/1997, come modificato dalla legislazione sull'IA, prevede specifici obblighi informativi a carico del datore di lavoro nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati. Il datore di lavoro è tenuto a informare il lavoratore dell'utilizzo di tali sistemi, fornendo dettagli sugli aspetti del rapporto di lavoro su cui incidono, gli scopi e le finalità, la logica e il funzionamento, le categorie di dati e i parametri utilizzati, le misure di controllo adottate e i potenziali impatti discriminatori.

Conclusioni

La registrazione delle riunioni su piattaforme di collaboration costituisce un trattamento di dati personali che richiede un'attenta pianificazione e il rispetto di numerosi adempimenti privacy e giuslavoristici. Il titolare del trattamento deve preliminarmente individuare le specifiche finalità legittime che giustificano la registrazione, selezionare la base giuridica appropriata, valutare l'applicabilità delle garanzie previste dall'art. 4 dello Statuto dei Lavoratori, effettuare ove necessario una DPIA, garantire adeguata trasparenza agli interessati e implementare misure tecniche e organizzative proporzionate.

L'adozione di una procedura interna che disciplini organicamente la materia risulta essenziale per garantire un trattamento lecito, corretto e trasparente, nel rispetto dei diritti fondamentali dei lavoratori e dei principi cardine della normativa sulla protezione dei dati personali.