Con il provvedimento n.284 del 21 maggio 2025, il Garante per la protezione dei dati personali (GPDP) ha espresso parere favorevole al sistema di accesso e consultazione della patente a crediti gestito dall’Ispettorato Nazionale del Lavoro (INL).

Cosa tratta

Come sappiamo, dal 1° ottobre 2024 le imprese e i lavoratori autonomi soggetti all’obbligo di patente a crediti, nuovo strumento di qualificazione di coloro che operano in cantieri temporanei e mobili, possono farne richiesta tramite il portale dedicato dell’INL. Il portale è stato pensato anche per la consultazione dei dati caricati, non sono dai diretti interessati, ma anche da parte di:

  • organi di vigilanza, per le attività di controllo di competenza;
  • pubbliche amministrazioni, per verificarne il possesso da parte di imprese e lavoratori autonomi coinvolti in procedure di appalto;
  • rappresentanti dei lavoratori per la sicurezza, soprattutto in caso di provvedimenti di sospensione della patente;
  • committenti che debbano verificare il requisito prima di affidare lavori o servizi o per accertare che il titolare della patente possa completare un lavoro a seguito di un provvedimento di sospensione;
  • organismi paritetici, ai fini delle proprie attività di controllo sulla efficacia del titolo abilitante;
  • coordinatori per la sicurezza in fase di progettazione e di esecuzione dei lavori, per poter svolgere la loro attività di coordinamento.

Il parere del Garante della Privacy

Precedentemente il Garante aveva espresso perplessità circa la gestione e la visibilità dei dati contenuti nel partale INL, ma ha promosso, con alcune riserve, l’attuale schema di decreto dell’INL che stabilisce le regole per la consultazione, come previsto dall’art. 2 del D.M. Lavoro n. 132/2024.

In particolare, il GPDP ha valutato positivamente:

  • il ruolo dell’INL come titolare autonomo del trattamento dei dati personali finalizzati alla gestione del servizio;
  • la suddivisione dei dati e i diversi livelli di abilitazione degli utenti, in modo che siano visibili solo le informazioni minime necessarie;
  • accesso al portale solo tramite autenticazione con SPID (con livello di sicurezza 2), CIE o strumenti di autenticazione equivalenti notificati ai sensi dell’art. 9 del Regolamento (UE) n. 910/2014, attraverso interrogazione puntuale;
  • i tempi di conservazione dei dati, che restano disponibili per il tempo di validità della patente a crediti, tranne le informazioni relative alle sanzioni che sono consultabili per cinque anni;
  • i sistemi di sicurezza informatica individuati dal decreto, fra cui protezione della rete aziendale e filtri di blocco della navigazione su siti pericolosi, tracciatura degli accessi, verifiche a campione, infrastruttura in cloud.

Il parere positivo del Garante è tuttavia soggetto a due condizioni, che vengono specificate nella nota:

  1. deve essere garantito un livello di sicurezza adeguato per le funzioni crittografiche utilizzate per la conservazione delle password;
  2. devono essere specificate le misure tecniche per garantire l’immodificabilità e l’integrità dei file di log e le informazioni raccolte devono essere limitate allo stretto necessario, escludendo l’indirizzo email.

Il testo integrale del parere del GPDP è disponibile in allegato.

Per approfondire: