Gli standard sociali richiedono alle aziende di trattare dati spesso delicati sui lavoratori. Dalla SA 8000 alla UNI/PDR 125:2022, emergono rischi privacy legati a survey, segnalazioni, audit, comitati etici e dati particolari, con adempimenti specifici in ottica GDPR.

Standard sociali e condizioni di lavoro

Negli ultimi anni si sono affermati diversi standard sociali volti a promuovere condizioni di lavoro eque, inclusive e rispettose della dignità delle persone. Il più noto a livello internazionale è la norma SA 8000, nella sua versione più recente SA 8000:2026, che ha aperto la strada a un filone di standardizzazione progressivamente arricchito da nuovi strumenti. In Italia, un ruolo di primo piano è ricoperto dalla UNI/PDR 125:2022 “Sistema di gestione per la parità di genere”, che ha acquisito rilievo anche grazie all’inserimento nel contesto normativo nazionale del c.d. gender pay gap, tema cui si ricollega direttamente il decreto approvato in via definitiva dal Consiglio dei ministri del 30 aprile 2026, recante il recepimento della direttiva UE 2023/970 sulla trasparenza salariale.

Implicazioni privacy e GDPR

Analizziamo le implicazioni che l'implementazione, il mantenimento, la valutazione e la verifica di tali standard generano sul piano della protezione dei dati personali, con particolare riferimento a quelli appartenenti alle categorie particolari ai sensi dell’art. 9 del Regolamento (UE) 2016/679 (GDPR). L’obiettivo è fornire un quadro tecnico-operativo utile ai soggetti coinvolti (responsabili HR, auditor, DPO, consulenti privacy e responsabili dei sistemi di gestione, ecc.) — affinché possano affrontare con consapevolezza le criticità che questo tipo di standard comporta.

La SA 8000 e gli strumenti italiani

La SA 8000 è stato il primo standard di responsabilità sociale a diffondersi su scala internazionale, elaborato da Social Accountability International (SAI). Si basa su diverse aree tematiche quali: lavoro minorile, lavoro forzato, salute e sicurezza, libertà di associazione e contrattazione collettiva, discriminazione, pratiche disciplinari, orario di lavoro, retribuzione, privacy e sistema di gestione. La sua adozione richiede sin dall’avvio una raccolta strutturata di dati relativi ai lavoratori.

In Italia, UNI — l’Ente Italiano di Normazione — ha promosso una serie di Prassi di Riferimento (PDR) scaricabili gratuitamente dal sito www.uni.com, che hanno ampliato il perimetro degli standard sociali disponibili. Tra le più significative:

    • UNI/PDR 125:2022 “Sistema di gestione per la parità di genere”
    • UNI/PDR 80:2021 “Linee guida per l’accesso al lavoro e l’inserimento delle persone con disabilità”
    • UNI/PDR 110:2023 “Sistema di gestione per la salute e la sicurezza psicologica sul lavoro”

Rischi legati al trattamento di dati sensibili

Gli standard condividono una caratteristica comune: coinvolgono direttamente il personale aziendale e richiedono il trattamento di informazioni talvolta molto delicate, come l’orientamento sessuale, lo stato di salute, l’appartenenza a categorie protette, o situazioni di disagio lavorativo anche sul piano personale.

Fase iniziale: la raccolta di dati

L’applicazione di uno standard sociale non si esaurisce in un momento puntuale, ma prevede fasi distinte e ricorrenti, ciascuna delle quali presenta specifici profili di rischio per la protezione dei dati personali.

La fase iniziale di implementazione di una norma sociale richiede una fotografia dettagliata della composizione del personale. Nel caso della UNI/PDR 125:2022, ad esempio, è necessario rilevare informazioni relative a: la distribuzione di genere per livello, ruolo, retribuzione, accesso alla formazione e alle promozioni. Queste rilevazioni comportano il trattamento di dati personali dei lavoratori che, se non opportunamente anonimizzati o aggregati, potrebbero consentire l’identificazione di singoli individui, specialmente in aziende di piccole dimensioni o con strutture organizzative poco complesse.

Il rischio è ulteriormente amplificato quando si trattano dati appartenenti alle categorie particolari, quali: dati sanitari, relativi all’orientamento sessuale, all’origine etnica o a condizioni di disabilità.

Raccomandazioni per la gestione dei dati sensibili

Raccomandazioni

    • Limitare la raccolta di dati personali a quelli realmente necessari
    • Limitare il numero di persone che possono accedere a tali dati
    • Presentarli sempre in forma aggregata ed anonimizzata
    • Assicurarsi che per tali categorie, come richiede il GDPR, il trattamento avvenga a fronte di una base giuridica rafforzata (tipicamente il consenso esplicito o una norma di legge) e misure di sicurezza adeguate

Survey e indagini

Più della metà degli standard sociali richiede delle attività di survey che possono essere condotte con modalità diverse (questionari, interviste, ecc.). Tali attività di norma sono condotte in forma anonima per facilitare la partecipazione. Ciò non toglie che laddove sono richieste informazioni demografiche, come l’età, il reparto di appartenenza, lo stato civile e simili, sia possibile, almeno in via teorica, identificare il personale mediante cluster analitici.

Raccomandazioni

Raccomandazioni

    • Nelle survey limitare il numero di domande che potrebbero identificare dei cluster di soggetti
    • Sempre che possibile, favorire l’identificazione del singolo collaboratore

Segnalazioni e canali etici

La quasi totalità degli standard sociali prevede meccanismi di segnalazione per atti di molestia, bullismo, aggressione fisica, verbale o digitale, comportamenti discriminatori o pressioni indebite. Questi sistemi, spesso denominati “caselle etiche” o “canali di segnalazione”, sono soggetti anche alla normativa sul whistleblowing (D.Lgs. 24/2023 in Italia, che recepisce la Direttiva UE 2019/1937).

Dal punto di vista della privacy, questi canali presentano criticità rilevanti. Le segnalazioni contengono dati personali sia del segnalante che del presunto responsabile, nonché di eventuali testimoni degli eventi e, laddove indicate, anche di persone informate.

Raccomandazioni

Raccomandazioni

  • Il trattamento dei dati derivante dalla gestione delle segnalazioni deb