[doc. web n. 10234504]

Provvedimento del 26 febbraio 2026

Registro dei provvedimenti
n. 124 del 26 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il d.lgs. 6 settembre 1989, n. 322, recante le “Norme sul Sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale adottate dal Garante ai sensi dell’art. 20, comma 4 del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 514 del 19 dicembre 2018, allegato A4 al Codice (doc. web n. 9069677, di seguito “Regole deontologiche”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, (doc. web n. 9107633; di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it , (doc. web n. 1098801);

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. L’attività ispettiva

Nei giorni XX e XX l’Ufficio del Garante ha svolto accertamenti ispettivi presso l’ufficio di statistica del Ministero del Lavoro e delle Politiche Sociali al fine di verificare l’osservanza delle disposizioni in materia di trattamento dei dati personali per finalità statistiche e la corretta implementazione delle misure volte ad assicurare l’effettiva applicazione dei principi di protezione dei dati personali (art. 5, par. 1, 89 del Regolamento e artt. 105 e ss. del Codice; ordine di servizio n. XX del XX).

In particolare, il Ministero, nella giornata del XX, ha illustrato il lavoro statistico sulle comunicazioni obbligatorie, denominato “LPR-00109 Assunzioni, cessazioni, trasformazioni e proroghe dei contratti di lavoro (C.O.)” e il lavoro statistico “LPR-00129 Sistema Informativo Comunicazioni Obbligatorie”, in merito ai quali, per quel che qui rileva è stato rappresentato, fra altro, che:

- A far data dalla legge finanziaria per il 2007, il Ministero riceve le comunicazioni obbligatorie, svolgendo la funzione di nodo di coordinamento nazionale, in base alla quale poi tali comunicazioni sono inviate alle amministrazioni indicate dalla normativa di attuazione della predetta legge (art. 6, comma 3, del decreto del Ministero del 30 ottobre 2007).

- Con cadenza trimestrale, l’Ufficio di informatica invia dati aggregati tratti dalla banca dati del Sistema informativo delle comunicazioni obbligatorie (SISCO) all’Ufficio di statistica. Il, Nel SIUSCO sono ricostruiti i rapporti di lavoro sulla base di dati elementari relativi ai lavoratori e ai datori di lavoro a partire dal 2008.

- I dati delle comunicazioni obbligatorie confluiscono in SISCO dopo essere pervenuti in un repository “XML" (composto da più database suddivisi per annualità). Qui viene creata una “area di staging” dove vengono inserite le informazioni che contengono, in particolare, il codice fiscale del lavoratore, quello del datore di lavoro e la data di inizio del rapporto di lavoro, al fine di poter ricostruire il percorso lavorativo del singolo.

- Il repository “XML” costituisce la banca dati delle comunicazioni obbligatorie effettuate da ogni datore di lavoro, che vengono veicolate dalle singole regioni al Ministero. Dette comunicazioni riguardano le assunzioni, la cessazione dei rapporti etc..

- Nell’area di staging i dati sono sottoposti a specifici controlli per evitare duplicazioni o sovrapposizioni. Tali controlli sono di tipo formale e sono volti ad evitare la duplicazione di informazioni sintatticamente uguali. Allo stato non sono ancora previsti controlli automatizzati sull'esattezza del dato. Tuttavia, vista la mole di dati trattati, un eventuale errore avrebbe un’influenza marginale sull’esattezza degli indicatori.

- In merito ai tempi di conservazione, indicati nel PSN 2023-2025, nella scheda LPR-00129 Sistema Informativo Comunicazioni Obbligatorie) in 192 mesi, i dati in SISCO non vengono cancellati perché c’è la necessità di poter ricostruire le serie storiche dei lavoratori. Tuttavia, visto il volume dei dati contenuti in SISCO, questi vengono periodicamente “congelati in formato aggregato (freezati)”, mentre i dati elementari vengono cancellati, ciò tenuto anche conto della possibilità di acquisire informazioni individuali presso il repository “XML”, di seguito illustrato, in caso di specifiche necessita statistiche.

Nella giornata del XX, l’Ufficio del Garante ha effettuato un accesso ai sistemi informatici del Ministero. In particolare, è stato effettuato l’accesso al repository “XML”, che contiene dal 2008 tutti i dati in chiaro relativi alle comunicazioni obbligatorie e al quale possono accedere solo coloro che hanno credenziali di dominio con privilegi amministrativi di accesso alla macchina e un’abilitazione specifica sul predetto database.

Il database è popolato dai datori di lavoro, i quali caricano i dati in chiaro a livello regionale, prima dell’invio a livello centrale, svolgendo dunque un controllo sull’esattezza dei dati, mentre il Ministero in fase di raccolta effettua solo una verifica formale, per cui i codici fiscali “sbagliati” da un punto di vista sintattico non sono di default ammessi al sistema.

Sui predetti dati non vengono adottate misure di pseudonimizzazione, in quanto la conservazione del codice fiscale in chiaro è necessaria perché le comunicazioni sono effettuate in chiaro per legge per i soggetti che vi possono accedere (ad esempio, forze di polizia o ispettorato del lavoro).

Nel repository vi sono, inoltre, altre tabelle contenenti i dati di natura sensibile attinenti all’appartenenza del lavoratore ad una categoria protetta ex lege 68, i quali sono appositamente etichettati così da essere visibili soltanto a seguito di operazioni di analisi dei singoli file XML. Dunque, solo accedendo al file di testo, che contiene l'indicazione binaria dell’appartenenza o meno ad una categoria protetta, è possibile verificare tale informazione.

Tali particolari categorie di dati (come tutte le altre) confluiscono nell’area staging di SISCO, che estrae automaticamente le informazioni contenute nel repository “XML”, che dunque costituisce l’”universo” dal quale si fanno le rilevazioni statistiche tramite SISCO, attraverso una query rivolta alla predetta area di staging. Il sistema, acquisendo i dati contenuti nel repository “XML”, porta necessariamente con sé nell’area di staging di SISCO anche il dato ex lege 68 ivi presente, “pur non essendo di interesse della finalità statistica di SISCO. La scheda informativa del lavoro statistico in esame, dunque, contiene tra le variabili acquisite l'eventuale disabilità”.

Per quanto riguarda la tabella con i predetti dati sulla disabilità, gli interessati, pur non essendo identificati con le relative generalità in chiaro, lo sono attraverso la “id” (codice pseudonimo) della comunicazione che è presente altresì nella tabella comunicazioni dove, invece, sono presenti gli identificativi diretti dei lavoratori.

Tali informazioni sono mostrate in chiaro nell’area di staging al fine di poter svolgere le correlazioni tra i dati di interesse e le ulteriori operazioni di trattamento, anche di pulitura dei dati necessarie a fini statistici, che non potrebbero essere svolte direttamente sul repository XML, in quanto data base amministrativo.

I dati cosi puliti non sono cancellati, bensì “congelati”, per non sovraccaricare il database.

È stato, poi, dichiarato che esiste una sola procedura di aggregazione dei dati dall’area di staging in SISCO, che non consente di arrivare ad un dettaglio inferiore a quello regionale. I dati vengono aggregati in base al livello territoriale (scala minima regione), categoria contrattuale (codice Ateco) ma non è possibile indicare allo stato la soglia minima di conteggio K incorporata nella query per prevenire eventuali singolarità. Tuttavia, la soglia si può ritenere giustificata in virtù dell’ampio livello di aggregazione effettuato.

È stata poi effettuata una query, sui rapporti di lavoro del 2020 estratti dall’area di staging, dai quali sono emerse delle singolarità.

Con nota del XX, il Ministero ha trasmesso all’Autorità la documentazione a sostegno dello scioglimento delle riserve formulate in sede ispettiva trasmettendo in particolare una nota metodologica volta a sintetizzare le azioni intraprese per il trattamento dei dati amministrativi delle Comunicazioni Obbligatorie a fini statistici e la valutazione d’impatto di SISCO. redatta ai sensi dell’art. 35 del Regolamento.

In tale ultimo documento, dopo una descrizione sommaria della struttura del SISCO, analoga e coerente con quella riporta nella nota metodologica, è indicato che “Il trattamento dei dati nel SISCO avviene in conformità ai principi del GDPR, adottando misure di pseudonimizzazione e anonimizzazione per garantire la riservatezza degli interessati, che includono lavoratori subordinati e parasubordinati, nonché datori di lavoro”.

La vip, dopo aver elencato la tipologia di dati contenuti nel SISCO, rappresenta che gli stessi “sono trattati principalmente in forma aggregata per le finalità di produzione delle statistiche e analisi. Sebbene i dati raccolti possano comprendere informazioni sensibili (ad esempio, il tipo di contratto, durata, settore lavorativo), il sistema applica misure di pseudonimizzazione e anonimizzazione per garantire che gli output statistici siano anonimi e non identificabili”.

“I dati statistici prodotti dall’Amministrazione sono pubblicati sul portale Cliclavoro e messi a disposizione esclusivamente agli enti di ricerca che abbiano compilato una richiesta online, corredata da un progetto di ricerca e analisi, e a seguito della quale, abbiano ricevuto le credenziali di accesso al sistema”.

Nell’ambito di una specifica tabella, sono indicate poi norme e misure tecniche e organizzative implementate per assicurare effettiva applicazione al principio di protezione dei dati di volta in volta considerato.

In tale ambito, in particolare, in relazione al principio di necessità e proporzionalità, è indicato che “Nei trattamenti statistici non vengono utilizzati identificatori diretti e le variabili sensibili sono opportunamente ridotte o aggregate, ad esempio attraverso la classificazione ATECO a due cifre, le classi di durata dei contratti e la suddivisione per macroregioni”.

In relazione al principio di limitazione della conservazione è indicato che “La conservazione dei dati personali è limitata al solo tempo strettamente necessario per perseguire le finalità individuate. In particolare, i dati acquisiti dal Sistema Informativo Statistico delle Comunicazioni Obbligatorie, conformemente alla normativa in materia di protezione dei dati personali, per 16 anni, con estensione di ulteriori 60 mesi per trattamenti successivi a fini statistici, come da scheda PSN”.

2.    Violazione contestate

Sulla base degli elementi acquisiti nell'ambito della richiamata attività ispettiva nonché delle successive valutazioni svolte, l’Ufficio- con atto del XX (prot. n. XX) -che qui deve intendersi integralmente riprodotto- ha avviato, ai sensi dell’art. 166, comma 5 del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti del Ministero, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7 del Codice, nonché art. 18, comma 1 l. n. 689 del 24 novembre 1981).

Con il predetto atto, l’Ufficio del Garante ha notificato al Ministero la violazione del principio di minimizzazione e dell’obbligo di adottare misure tecniche e organizzative ai sensi dell’art. 89 del Regolamento, dei principi di esattezza dei dati, di limitazione della conservazione, di accountability e dell’obbligo di privacy by design e by default (artt. 5, par. 1, lett. c), d) ed e), e par. 2, 25 e 89 del Regolamento).

In particolare, nel richiamato atto di contestazione è stato rappresentato segue.

- in relazione al principio di minimizzazione (art. 5, par. 1, lett. c) del Regolamento) e all’obbligo di adottare misure tecniche e organizzative ai sensi dell’art. 89 del Regolamento è emerso che nel database SISCO confluiscono dati personali ai quali è associato un codice progressivo univoco a ciascun CF facilmente ripristinabile nel suo contenuto semantico, ivi inclusi dati di natura sensibile attinenti all’appartenenza del lavoratore ad una categoria protetta, pur non essendo questi ultimi - alla luce di quanto dichiarato in sede di accertamento ispettivo (cfr. verbale del XX) - di interesse per le finalità statistiche perseguite dal Ministero. È stata pertanto rilevata l’assenza di idonee e adeguate misure tecniche, volte ad assicurare l’effettiva applicazione del principio di minimizzazione, anche in relazione alla gestione di eventuali singolarità in fase di elaborazione dei dati stessi. Invero, in relazione a quest’ultimo aspetto, è stato accertato in sede ispettiva che, una volta effettuata la procedura di estrazione dei record dall’area di staging per il popolamento del database SISCO, sono presenti tabelle con combinazioni degli attributi a cui è associata una cardinalità pari a 1, ciò in quanto le query rivolte all’area di staging non prevedono soglie minime (K) bloccanti rispetto all’eventuale insorgenza di singolarità.

- Con riferimento al principio di esattezza (art. 5, par. 1, lett. d) del Regolamento), il Ministero non ha compiuto ex ante una valutazione misurabile in ordine all’incidenza delle inesattezze dei dati che confluiscono nel database SISCO sui risultati statistici né ha, tenuto anche conto dello stato dell’arte tecnologica, introdotto misure volte a rilevare e correggere errori anche semantici nei dati trattati.

- Per quanto concerne il principio di limitazione della conservazione (art. 5, par. 1, lett. e) del Regolamento), attraverso l’accesso al SISCO è emerso che il Ministero non ha predisposto una privacy policy sulla cancellazione delle informazioni ivi contenute, tant’è vero che nel verbale redatto in sede ispettiva si legge che “i dati in SISCO non vengono cancellati perché c’è la necessità di poter ricostruire le serie storiche “.

- Sul principio di accountability e sull’obbligo di privacy by design e by default (artt. 5, par. 2 e art. 25 del Regolamento), il Ministero ha dimostrato un approccio alla disciplina in materia di protezione dei dati personali che si discosta da quanto richiesto dal Regolamento, nella misura in cui le misure e le garanzie formalmente dichiarate non corrispondono a quelle sostanzialmente applicate e la verifica di un risultato atteso in termini di minimizzazione dei rischi (nel caso di specie, gestione delle singolarità e rischio di reidentificazione degli interessati) è svolta ex post, ossia dopo che il trattamento è stato svolto sulla base di una prassi non corroborata da verifiche.

3. Memorie difensive e audizione

Con nota del X, il Ministero ha fatto pervenire le proprie memorie difensive, chiedendo altresì di essere sentito in audizione, ai sensi dell’art. 166, comma 5 del Codice, che si è tenuta in data XX.

Nelle memorie difensive il Ministero, con dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice, ha rappresentato quanto segue, fornendo altresì specifica documentazione al riguardo:

- le informazioni presenti nel database SISCO relative allo stato di salute del lavoratore (es. disabilità) “non sono eccedenti rispetto alle finalità istituzionali perseguite. Tali informazioni costituiscono, infatti, un elemento essenziale per l’elaborazione di statistiche ufficiali concernenti il mercato del lavoro e, in particolare, per l’analisi e il monitoraggio delle politiche di inclusione sociale e lavorativa, come previsto dall’articolo 17 del decreto legislativo 10 settembre 2003, n. 276. Le informazioni in oggetto risultano necessarie, ad esempio, per valutare l’efficacia delle misure volte a favorire l’occupazione di soggetti appartenenti a categorie svantaggiate, per monitorare la loro distribuzione territoriale e settoriale e per fornire indicatori specifici. Non includere tali informazioni significherebbe limitare in modo significativo la capacità del sistema statistico di svolgere appieno la propria funzione istituzionale e di adempiere agli obblighi normativi previsti dalla disciplina sulla circolazione dei dati statistici nell’ambito del Sistema Statistico Nazionale (…)”;

- con riferimento alle misure di pseudonimizzazione, il Ministero ha trasmesso un documento denominato “Il flusso delle Comunicazioni Obbligatorie”, nel quale è descritto un processo di pseudonimizzazione in atto presso il Ministero, il quale ha tuttavia ravvisato la necessità di introdurre tecniche di pseudonimizzazione più forti, quali l’implementazione di “un algoritmo di hashing con chiavi segregate” e “l’integrazione di un modulo aggiuntivo nell’architettura, in grado di gestire il processo di pseudonimizzazione degli identificativi con due finalità: gestione di una pseuodonimizzazione di primo livello per i dati che entrano a sistema statistico; gestione di una pseudonimizzazione di secondo livello per i dati oggetto di eventuali forniture statistiche”.

- Sull’assenza di misure in grado di fare emergere eventuali singolarità, il Ministero ha dichiarato che “è in fase di implementazione una procedura automatizzata per il rilievo di singolarità nei dataset, in modo tale che chi vi accede sia preventivamente edotto dei rischi per i diritti e le libertà degli interessati”;

- per quanto concerne il principio di esattezza, il Ministero ha dichiarato che “dati trattati nell’ambito del SISCO sono già oggetto di una serie di controlli sistematici, applicati sia a monte sia a valle del processo di acquisizione e trattamento. Infatti, fin dalla fase di acquisizione della fonte amministrativa vengono effettuati controlli automatici che consentono di limitare al minimo la presenza di errori e incongruenze, in particolare per quanto riguarda il codice fiscale dei lavoratori e la ricostruzione dei rapporti di lavoro. Tali attività permettono di ridurre sensibilmente la possibilità che si verifichino duplicazioni, disallineamenti o attribuzioni errate. A conferma di ciò, è stata condotta un’analisi ad hoc sulla validità del codice fiscale quale identificativo univoco dell’individuo. I risultati di tale esercizio (trasmessi in un apposito documento all’Autorità) dimostrano la robustezza del codice fiscale come chiave identificativa, nonché l’efficacia dei controlli già in essere per garantire l’affidabilità dei dati (…)”;

- sul principio di limitazione della conservazione, il Ministero ha dichiarato che “la scheda LPR-00129 del Programma Statistico Nazionale 2023-2025 riporta un periodo di conservazione dei dati di 192 mesi, più ulteriori 60 mesi destinati a trattamenti statistici aggiuntivi. La definizione di questo arco temporale teneva conto del momento in cui è iniziata la tenuta dell’archivio delle CO, con l’obiettivo di garantire la disponibilità delle informazioni sull’intero periodo coperto dal sistema informativo sin dalla sua implementazione” e che “la disponibilità dei codici identificativi degli individui nel tempo è un elemento imprescindibile per diverse finalità statistiche: da un lato, per la corretta ricostruzione dei rapporti di lavoro, che non si esaurisce con la singola attivazione ma richiede di poter seguire le proroghe, le trasformazioni e le cessazioni anticipate; dall’altro, per garantire la possibilità di ricostruire l’intera vita lavorativa di ciascun individuo”. Invero, “la vita lavorativa può infatti estendersi fino a 70 anni: si consideri che la prima esperienza di lavoro può avvenire già a 15 anni, ad esempio tramite un contratto di apprendistato, e che l’attività lavorativa può protrarsi anche oltre i 67 anni di età. Senza un arco temporale adeguato, non sarebbe possibile garantire la coerenza e la continuità delle serie statistiche necessarie per le analisi di lungo periodo sul mercato del lavoro e sulle dinamiche occupazionali. L’aggiornamento della programmazione relativa al PSN costituirà l’opportunità per ridefinire le informazioni relative ai tempi di conservazione dei dati”;

- Infine, con specifico riferimento al principio di accountability e sull’obbligo di privacy by design e by default, il Ministero ha dichiarato che “le tavole statistiche diffuse non hanno, fino ad oggi, mai violato il principio del segreto statistico ovvero non hanno comportato le reidentificazione di un individuo a partire dal dato aggregato. Gli output prodotti sono stati infatti sempre pubblicati con un livello di aggregazione elevato, regionale o superiore e per variabili di carattere demografico generale (es. genere, età in classi ampie), senza mai scendere al dettaglio che potesse esporre i singoli individui. Al fine di rafforzare ulteriormente le garanzie di protezione dei dati, il Ministero ha avviato la definizione di una procedura automatizzata in grado di rilevare e segnalare eventuali casi di singolarità nei dataset destinati alla diffusione (es. celle con numerosità troppo bassa o combinazioni di variabili che possano condurre a rischio di reidentificazione)”.

In sede di audizione, ad integrazione di quanto già in atti, il Ministero ha dichiarato, anche attraverso l’illustrazione di una presentazione che è stata acquisita agli atti del procedimento, che:

- “Con riferimento alla selezione delle informazioni necessarie al perseguimento delle finalità statistiche interne del Ministero e alla produzione della statistica ufficiale ai sensi del d. lgs. n. 322 del 1989, si precisa che i dati che confluiscono nel database statistico rappresentano solo un sotto insieme delle variabili amministrative raccolte dal Ministero per il perseguimento dei propri compiti istituzionali. I layer dei dati amministrativi sono separati da quelli del sistema SISCO”;

- “In relazione alle misure di pseudonimizzazione, si precisa che un processo già esisteva e prevedeva su base settimanale l'associazione di un codice progressivo univoco a ciascun CF. Le tecniche di pseudonimizzazione sono state tuttavia rafforzate con l’implementazione di un nuovo processo di pseudonimizzazione primaria, che prevede un algoritmo di criptazione (hash) molto robusto del CF del datore di lavoro e del lavoratore cui viene attribuito un ID, che poi confluisce nel database statistico senza la presenza di dati direttamente identificativi. Tale processo di pseudonimizzazione primaria e già stato implementato e sono in corso di adozione le tecniche di pseudonimizzazione secondaria che prevederanno la generazione di nuovi codici di pseudonimi che variano ad ogni diversa fornitura dati”;

- “Per quanto concerne la gestione delle singolarità, sono in corso le attività volte ad implementare una procedura automatizzata che verrà applicata non solo ai singoli dataset statistici ma anche alle tavole destinate alla diffusione. Rispetto a tale misura, l’Ufficio di statistica del Ministero si è anche confrontato con ISTAT”;

- “Con riferimento alla esattezza dei dati, sono stati già illustrati in sede di memorie difensive tutti i controlli semantici già effettuati sui CF dei datori di lavoro e dei lavoratori ed infatti tali errori sono molto bassi, ma adesso è previsto il potenziamento delle procedure di controllo e correzioni deterministiche nel database statistico (SISCO) anche attraverso l'incrocio con fonti esterne amministrative, come ad es. UNIEMENS”;

- “Sui tempi di conservazione dei dati, si precisa che quelli indicati nella scheda del PSN oggetto del procedimento sono stati determinati sulla base della necessità di avere la disponibilità di tutte le informazioni presenti in SISCO, al fine di poter ricostruire il rapporto di lavoro durante tutto l’arco della vita lavorativa degli individui. Si evidenzia che, poiché a partire dal prossimo PSN esso non recherà più il sistema informativo SISCO, sono in corso le valutazioni sulle modalità per definire una nuova data retention dei dati”.

4. Valutazione dell’Ufficio

4.1 Sul principio di minimizzazione e sull’obbligo di adottare misure tecniche e organizzative, ai sensi dell’art. 89 del Regolamento

In base al Regolamento i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (…)” e, con riferimento al trattamento dei dati personali per scopi statistici, rileva l’art. 89, par. 1, in base al quale il titolare che pone in essere trattamenti per tali finalità, deve predisporre “garanzie adeguate per i diritti e le libertà dell'interessato […]. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo […]”.  

Al riguardo, si rappresenta che per pseudonimizzazione si intende: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (cons. 26 e art. 4 punto 5).

In base al nuovo impianto concettuale della pseudonimizzazione proposto dal Comitato europeo per la protezione dei dati (cfr. “Guidelines 01/2025 on Pseudonymisation”, adottate il 16 gennaio 2025, versione in consultazione), il dato personale deve considerarsi come una concatenazione di molti attributi, ciascuno con un proprio potere identificativo. Quindi, affinché sia scongiurata l’attribuzione del dato pseudonimizzato a un interessato da parte del soggetto destinatario della condivisione, bisogna considerare le diverse porzioni in cui il dato è suddiviso, in modo da intervenire per rimuovere in ciascuna eventuali singolarità o attributi rari che potrebbero da soli consentire l’attribuzione del dato alla persona pur senza conoscere la regola di trasformazione degli identificatori diretti in codici (c.d. pseudonimi). Tale tecnica si sostanzia in due passaggi strettamente connessi tra di loro: uno tradizionale di sostituzione di identificatori diretti attraverso con un codice pseudonimo, l’altro di rimozione degli elementi identificativi (singolarità) nella porzione residua del dato.

La pseudonimizzazione pertanto,  nel far salva la possibilità per il titolare di risalire all’identità dell’interessato attraverso la regola di sostituzione degli identificativi diretti (a titolo esemplificativo, con degli hash), laddove necessario, favorisce al contempo l’effettiva applicazione dei principi in materia di protezione dei dati personali, con particolare riferimento a quelli di minimizzazione, integrità e riservatezza (art. 5, par. 1, lett. c), f) e 89 del Regolamento) ed è cruciale per garantire un equilibrio tra le esigenze di produzione della statistica ufficiale e la conformità dei trattamenti al quadro giuridico in materia di protezione dei dati.

Invero, l’effettiva applicazione del principio di minimizzazione si concretizza non solo attraverso la stringente valutazione delle informazioni necessarie allo scopo della raccolta, ma anche attraverso l’applicazione di misure di pseudonimizzazione, volte ad assicurare che l’identità dell’interessato al quale esse si riferiscono possa essere disvelata quando necessario e attraverso l’utilizzo di un’informazione aggiuntiva e quindi, fino a questo momento, tutelata nella sua riservatezza.

Nelle memorie pervenute all’Autorità nonché in sede di audizione, con specifico riguardo alla contestazione avente ad oggetto la violazione del principio di minimizzazione, in quanto sarebbero confluite nel database SISCO informazioni quali quelle relative alla condizione di disabilità dei lavoratori di cui alla legge n. 68 del 1999, non necessarie per il perseguimento delle finalità statistiche che istituzionalmente il Ministero è deputato a svolgere, anche in qualità di soggetto appartenente al sistema statistico nazionale, il predetto Dicastero ha chiarito e motivato la non eccedenza e la pertinenza di tali informazioni, necessarie per l’elaborazione di statistiche ufficiali concernenti il mercato del lavoro e, in particolare, per l’analisi e il monitoraggio delle politiche di inclusione sociale e lavorativa, per consentire, ad esempio, di valutare l’efficacia delle misure volte a favorire l’occupazione di soggetti appartenenti a categorie svantaggiate, monitorare la loro distribuzione territoriale e settoriale nonché fornire indicatori specifici (art. 17 del d. lgs.10 settembre 2003, n. 276).
La mancata raccolta di tali informazioni non consentirebbe al Ministero di perseguire le proprie funzioni istituzionali, né di adempiere agli obblighi normativi in materia di produzione della statistica ufficiale (d. lgs. n. 322 del 1989).

Con riferimento alle misure di pseudonimizzazione dei dati personali che dal repository “XML”, confluiscono in SISCO, il Ministero in via preliminare ha chiarito che “i dati che confluiscono nell’area dedicata alle elaborazioni con finalità statistiche rappresentano un selezionato sottoinsieme del complesso delle informazioni che popolano il DB destinato a fini amministrativi” e ha trasmesso il documento sopra citato, denominato “Il flusso delle Comunicazioni Obbligatorie”, nel quale sono descritte le misure tecniche volte a garantire che i dati personali che confluiscono in tale database  siano trattati nel rispetto dei diritti e delle libertà degli interessati, con un processo che prevede l’attribuzione di un codice progressivo unico a ciascun codice fiscale. Tale codice univoco, tuttavia, tenuto anche conto delle numerose informazioni e della natura dei dati che confluiscono in SISCO, comprensive altresì delle particolari categorie di dati relative alla condizione di disabilità dei lavoratori, è facilmente ripristinabile nel suo contenuto semantico.

Pertanto, pur prendendosi favorevolmente atto che, a seguito dell’istruttoria avviata dall’Ufficio, il Ministero ha dichiarato che sono in corso attività volte ad introdurre tecniche di pseudonimizzazione più robuste quali l’implementazione di “un algoritmo di hashing con chiavi segregate” e “l’integrazione di un modulo aggiuntivo nell’architettura, in grado di gestire il processo di pseudonimizzazione degli identificativi con due finalità: gestione di una pseuodonimizzazione di primo livello per i dati che entrano a sistema statistico; gestione di una pseudonimizzazione di secondo livello per i dati oggetto di eventuali forniture statistiche”, restano confermate le criticità evidenziate nell’atto di contestazione.

Con specifico riferimento alla contestazione relativa all’assenza di idonee misure organizzative e tecniche, volte ad assicurare l’effettiva applicazione del principio di minimizzazione, in relazione alla gestione di eventuali singolarità in fase di elaborazione dei dati, ciò in quanto è stato accertato in sede ispettiva che, una volta effettuata la procedura di estrazione dei record dall’area di staging per il popolamento del database SISCO, sono presenti tabelle con combinazioni degli attributi a cui è associata una numerosità pari a 1, il Ministero ha dichiarato di aver avviato “la definizione di una procedura automatizzata in grado di gestire i casi di singolarità nei dataset, per prevenire e gestire i rischi legati alla presenza di informazioni che si riferiscano a pochissimi casi, prima e dopo la pubblicazione dei dati”.

In particolare il Ministero ha rappresentato che intende adottare “un approccio integrato, articolato su due livelli: Verifiche preventive probabilistiche (ex-ante), finalizzate a stimare il rischio di singolarità prima della generazione delle estrazioni; Verifiche sulle elaborazioni finalizzate alla diffusione, per il monitoraggio e la gestione delle singolarità nei dati. Tale approccio privilegia la prevenzione del rischio, riducendo al minimo la necessità di interventi correttivi sui dati”. La valutazione probabilistica del rischio di re-identificazione “è effettuata utilizzando modelli probabilistici coerenti con la letteratura statistica, adeguati a contesti di dati sparsi (es. distribuzione di Poisson)”.

Si prende, inoltre, favorevolmente atto che su tale aspetto il Dicastero si è confrontato con l’Istat, che svolge un ruolo di coordinamento dei soggetti Sistan che contribuiscono alla produzione della statistica ufficiale e che è stato destinatario di specifici provvedimenti nei quali sono state affrontare analoghe questioni relative al trattamento dei dati personali per la produzione della statistica ufficiale (cfr. in particolare il provv. del 23 gennaio 2020, doc. web n. 9261093).

Tanto premesso, seppur il Ministero abbia in corso specifiche attività volte a garantire il rispetto del principio di minimizzazione dei dati attraverso tecniche di pseudonimizzazione adeguate rispetto alla natura dei dati trattati, alla larga scala dei trattamenti svolti, allo stato dell’arte tecnologico e a rilevare eventuali singolarità nella fase della diffusione dei risultati statistici, risulta accertata la violazione del principio di minimizzazione, in quanto le predette misure, all’epoca degli accertamenti ispettivi non sono risultate adeguate rispetto alle finalità statistiche perseguite (art. 5, par. 1, lett. c) e 89 del Regolamento).

4.2 Sul principio di esattezza (artt. 5, par. 1, lett. d) del Regolamento)

Nel documento denominato “Gestione della qualità dei dati che alimentano il SISCO”, trasmesso all’Autorità con le memorie difensive, il Ministero ha dimostrato che i dati che confluiscono nel SISCO sono oggetto di controlli semantici ex ante, che consentono di limitare al minimo la presenza di errori e incongruenze, in particolare per quanto riguarda il codice fiscale dei lavoratori e la ricostruzione dei rapporti di lavoro che confluiscono nel repository “XML”. Con riferimento a tali misure, il Ministero ha inoltre previsto un “potenziamento delle procedure di controllo e correzioni deterministiche nel database statistico (SISCO) anche attraverso l'incrocio con fonti esterne amministrative, come ad es. UNIEMENS”, che si basano su un sistema di regole deterministiche per la verifica della coerenza interna alla fonte e sulla integrazione con fonti esterne per la verifica e la validazione dei dati.

Tutto ciò premesso, si ritiene che, alla luce delle memorie difensive presentate e degli ulteriori chiarimenti forniti nel corso dell’audizione e delle nuove e più robuste procedure di controllo previste per garantire l’effettiva applicazione del principio di esattezza, che al contempo garantisce anche la qualità dei dati, possa considerarsi superata la contestazione relativa al principio di esattezza da parte del Ministero medesimo, in base al quale i dati devono essere “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. d) del Regolamento).

4.3 Sul principio di limitazione della conservazione (artt. 5, par. 1, lett. e) del Regolamento)

Il principio di limitazione della conservazione prevede che i dati personali devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” e che “possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini (…) statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»)” (art. 5, par. 1, lett. e) e art. 89 del Regolamento).

La specifica disciplina di settore prevede inoltre che “I dati personali raccolti specificamente per uno scopo statistico possono essere trattati (…) per altri scopi statistici di interesse pubblico previsti ai sensi del comma 3, quando questi ultimi sono chiaramente determinati e di limitata durata. Tale eventualità, al pari di quella prevista dal medesimo comma 3, è chiaramente rappresentata agli interessati al momento della raccolta o, quando ciò non è possibile, è resa preventivamente nota al pubblico e al Garante nei modi e nei termini previsti dal codice di deontologia e di buona condotta” (art. 6-bis, comma 4 del d. lgs. n. 322 del 1989).

Il Ministero ha dichiarato che i tempi di conservazione dei dati in SISCO sono indicati nella scheda del PSN, relativa al lavoro statistico “LPR-00129” riguardante le comunicazioni obbligatorie, che indica un periodo di conservazione dei dati pari a 192 mesi, più ulteriori 60 mesi destinati a trattamenti statistici aggiuntivi, sulla base della necessità di avere la disponibilità di tutte le informazioni presenti in SISCO, al fine di poter ricostruire il rapporto di lavoro durante tutto l’arco della vita lavorativa degli individui. Inoltre in relazione a tale aspetto il Ministero ha rappresentato che, sono in corso valutazioni volte a rideterminare il periodo di data retention del sistema informativo delle comunicazioni obbligatorie, ciò tenuto anche conto che nella prossima programmazione triennale del PSN 2026-2028 “i Sistemi Informativi rappresentano una tipologia che non sarà più compresa nella programmazione, così come dalle linee di indirizzo recentemente emanate dal Comstat”.

Tanto premesso, si rileva come il Ministero abbia adeguatamente motivato la necessità di conservare i dati presenti in SISCO per il periodo di conservazione indicato nella richiamata scheda del PSN, tenuto conto che si fa riferimento ad un sistema informativo utilizzato dal Ministero per tutta la produzione della statistica ufficiale relativa alle comunicazioni obbligatorie. Inoltre, si prende favorevolmente atto del documento trasmesso dal Ministero recante la Policy di conservazione dei dati implementata dal Ministero, nella quale è altresì previsto che “al termine del periodo previsto, le informazioni vengono sottoposte a procedure di anonimizzazione e conservate solo in forma aggregata per finalità statistiche” (cfr. documento denominato “Allegato 2 – Azioni messe in atto”, trasmesso con nota dl XX).

4.4 Sul principio di accountability e sull’obbligo di privacy by design e by default (artt. 5, par. 2 e art. 25 del Regolamento)

Il titolare del trattamento deve essere in grado di comprovare il rispetto dei principi in materia di protezione dei dati personali e deve adottare misure tecniche e organizzative, quali la pseudonimizzazione, adeguate volte ad attuare in modo efficace i principi di protezione dei dati, ciò sia al momento di determinare i mezzi del trattamento che all’atto del trattamento stesso (artt. 5, par. 2 e art. 25 del Regolamento).

Come sopra rappresentato, il Ministero ha dimostrato di aver messo in atto una procedura di pseudonimizzazione dei dati riguardanti le comunicazioni obbligatorie, descritta nel documento trasmesso in sede di memorie, denominato “Il flusso delle Comunicazioni Obbligatorie”. Il Ministero, ha altresì dichiarato che tale procedura è in fase di implementazione, così come anche la procedura utilizzata per l’eliminazione automatizzata delle singolarità non solo nel dataset delle comunicazioni obbligatorie ma soprattutto in occasione della diffusione dei risultati statistici. Ciò assume estrema rilevanza al fine di evitare il rischio di reidentificazione degli interessati.

A tale riguardo, infatti, il Garante ha in più occasioni evidenziato come l’aggregazione dei dati quale forma di anonimizzazione degli stessi deve essere considerata come un trattamento dinamico, da valutare in ragione dei differenti criteri indicati nel Considerando 26 del Regolamento e in particolare delle concrete finalità che il titolare intende perseguire con i dati all’esito della loro aggregazione. Il rischio di re-identificazione degli interessati, infatti, può variare a seconda che tale attività sia volta al solo scopo di archiviazione delle informazioni trattate, ovvero di ulteriore diffusione dei dati con la comunità scientifica e che, in ogni caso, il titolare del trattamento è tenuto ad impegnarsi a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva e che a tale riguardo è importante tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento di una soglia predefinita, adeguata rispetto al contesto, individuata sul totale di record inclusi nella banca dati.

Al riguardo, il Garante ha chiarito, altresì, che in caso di diffusione dei dati, il titolare del trattamento deve indicare nella Valutazione d’impatto, le valutazioni svolte in ordine al rischio di re-identificazione degli interessati, evidenziando che un numero elevato di statistiche aggregate aumenta il potere identificativo di ciascuna di esse, fino alla possibile completa ricostruzione di un dataset (cd “reconstruction attack”) e che, pertanto, al fine di evitare tale rischio, è necessario che il numero delle statistiche oggetto di diffusione sia significativamente inferiore rispetto al numero delle variabili che si intendono divulgare (provv. 24 gennaio 2024, doc. web n. 9988614; provv. 7 marzo 2024, doc. web n. 10007008; provv. 7 marzo 2024, doc. web n. 10009033; provv. del 24 aprile 2024, doc. web n. 10018511).

Pertanto, sulla base dei principi sopra esposti, non basta che il titolare metta in atto generiche misure per il trattamento dei dati personali, ma le stesse devono avere precise caratteristiche, e, in particolare, devono essere adeguate e il titolare deve essere in grado di dimostrare l’idoneità delle stesse durante tutta la durata del trattamento.

Tutto ciò premesso, risulta accertato, che il Ministero al momento degli accertamenti ispettivi, con riferimento al trattamento dei dati personali effettuato attraverso il sistema informativo delle comunicazioni obbligatorie non aveva correttamente adempiuto al principio di accountability e degli obblighi di privacy by design e by default, imposti dalla disciplina in materia di protezione dei dati personali.

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal Ministero, ai sensi dell’art. 168 del Codice nel corso dell’istruttoria e degli elementi forniti dal Ministero stesso nelle memorie difensive e in sede di audizione, seppure meritevoli di considerazione, non consentono tuttavia, come sopra illustrato e motivato, di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva la violazione da parte del Ministero del principio di minimizzazione e dell’obbligo di adottare idonee misure tecniche e organizzative come previste dall’art. 89 del Regolamento avuto riguardo ai trattamenti svolti per scopi statistici, nonché del principio di accountability e dell’obbligo di privacy by design e by default (artt. 5, par. 1, lett. c), par. 2, 25 e 89 del Regolamento).

Ciò premesso, tenuto conto che:

- il Ministero ha completato l’implementazione delle misure di pseudonimizzazione primaria e che sono in corso le attività volte a realizzare quelle di pseudonimizzazione secondaria;

- il Ministero ha avviato le attività volte a rilevare automaticamente le singolarità nel dataset statistico, in particolare in sede di diffusione dei risultati statistici, su cui è in corso un confronto l’ISTAT, visto il ruolo di coordinamento che quest’ultimo è chiamato a svolgere nei confronti dei soggetti Sistan;

- il fatto è imputabile a un comportamento colposo del Ministero ampiamente motivato in atti, il quale non ha causato effetti negativi significativi sugli individui (art. 83, par. 2, lett. a) del Regolamento);

- non risultano pervenuti segnalazioni o reclami aventi ad oggetti i trattamenti statistici svolti dal Ministero;

- non risultano precedenti violazioni pertinenti, aventi ad oggetto i trattamenti svolti per scopi statistici, commesse dal titolare del trattamento, né sono stati precedentemente disposti, in relazione ai predetti trattamenti, provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

- il Ministero si è dimostrato collaborativo nel corso dell’accertamento ispettivo e del presente procedimento, mettendo prontamente in atto misure correttive in relazione al trattamento dei dati personali effettuato, volte a sanare le violazioni contestate;

le circostanze del caso concreto inducono a qualificare il trattamento come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b) e 83, par. 2 del Regolamento, per il mancato rispetto previsioni degli artt. 5, par. 1, lett. c), par. 2, 25 e 89 del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all'art. 17, comma 4 del Regolamento del Garante n. 1/2019.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) e f) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dal Ministero del Lavoro e delle Politiche Sociali (P.I. 80237250586), ufficio di statistica con sede a Roma, via Veneto, n. 56, per la violazione degli artt. 5, par. 1, lett. c), par. 2, 25 e 89 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce il predetto Ministero per aver violato gli artt. 5, par. 1, lett. c), par. 2, 25 e 89 del Regolamento, come sopra descritti;

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge al titolare del trattamento di comunicare l’esito delle iniziative intraprese volte a completare il processo di realizzazione delle misure di pseudonimizzazione secondaria, nonché quelle finalizzate a rilevare automaticamente le singolarità nel dataset statistico, nel termine di 120 giorni dalla notifica del presente provvedimento;

d) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito web dell’Autorità;

e) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento del Garante n. 1/2019 e dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto ai sensi dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate. in conformità all’art. 58, par. 2 del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori