Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Privacy e accesso ai dati della Patente a Crediti: parere positivo del Garante

L’ispettorato Nazionale del Lavoro (INL) ha adottato il Decreto Direttoriale n. 43 del 25 giugno 2025 che disciplina le nuove modalità di visualizzazione e accesso alla Patente a Crediti nei cantieri (PaC), lo strumento previsto dal D.M. 132/2024 per qualificare e monitorare imprese e lavoratori autonomi che vi operano.

Il nuovo portale, che darà la possibilità di consultare un punteggio associato a ciascun operatore, fa parte di una serie di misure di sicurezza previste dal PNRR per tutelare la sicurezza dei lavoratori, incentivare il rispetto della legge e combattere il lavoro irregolare.

Qualche giorno prima dell’entrata in vigore, il Garante per la Protezione dei dati personali, con provvedimento n. 248 del 21 maggio 2025, aveva approvato lo schema di Decreto dell’INL, fornendo un riscontro positivo rispetto alle modalità di accesso alle informazioni relative alla PaC.

Decreto dell’INL: cosa prevede?

Il Garante, per la sua valutazione, si è soffermato, in particolare, sui seguenti aspetti del Decreto:

1) Accesso regolamentato: L’accesso al portale e la consultazione dei dati relativi alla Patente a Crediti è consentito solo a determinati soggetti per finalità specifiche.

2) Categorie di soggetti autorizzati alla consultazione: potranno consultare le PaC solamente “i titolari della patente stessa o i loro delegati, le pubbliche amministrazioni, i rappresentanti dei lavoratori per la sicurezza e i rappresentanti dei lavoratori per la sicurezza territoriale, gli organismi paritetici iscritti nel Repertorio nazionale, il responsabile dei lavori, i coordinatori per la sicurezza in fase di progettazione e di esecuzione dei lavori e i soggetti che intendono affidare lavori o servizi ad imprese o lavoratori autonomi che operano nei cantieri temporanei o mobili.” (Art. 4 del Decreto).

3) Modalità di accesso: l’accesso alla PaC può avvenire tramite SPID, CIE o altri strumenti che presentano livelli di sicurezza adeguati.

4) Misure di sicurezza per la protezione dei dati personali: l’INL ha dichiarato di aver implementato misure di sicurezza tecniche e operative sui sistemi tecnici dell’Ispettorato relative al sistema di gestione delle identità, il network, le postazioni di lavoro e l’accesso ai servizi e l’infrastruttura di cloud computing. (allegato A del Decreto)

5) Periodo di conservazione dei dati: il Decreto prevede che le informazioni saranno consultabili solamente per un determinato periodo di tempo, nel rispetto del principio di limitazione della conservazione ex art. 5, par. 1, lett. e), del GDPR.

6) Tipologia di dati trattati: le categorie di dati trattati sono stati considerati dal Garante “pertinenti e limitati a quanto necessario rispetto alle finalità perseguite” nel rispetto del principio di minimizzazione ex art. 5 par. 1 lettera c) del GDPR.

Il Garante stabilisce 2 condizioni per approvare le condizioni del decreto

In considerazione di tutto ciò, il Garante ha ritenuto lo schema di Decreto conforme alle disposizioni del Regolamento (UE) 2016/679 (GDPR), esprimendo parere favorevole condizionato, tuttavia, all’osservazione di due circostanze:

  • Crittografia delle password: le funzioni crittografiche devono assicurare un livello di sicurezza conforme alle previsioni degli artt. 5, par. 1, lett. f), 25 e 32 del GDPR;
  • Tracciamento e integrità dei log: devono essere specificate le misure che garantiscono l’immodificabilità e l’integrità dei file di log e devono essere indicati con precisione quali dati vengano registrati per ogni operazione, escludendo informazioni non necessarie come gli indirizzi e-mail.

Il portale, dunque, prevede la possibilità di consultare diverse informazioni, tra cui i dati identificativi del richiedente la patente, la ragione sociale dell’impresa o il nome e il cognome del lavoratore autonomo, il punteggio della patente e gli eventuali provvedimenti che hanno causato la decurtazione dei crediti, il tutto assicurando la protezione dei dati personali.