Indice: In breve | Cosa fa MCI e perché Meta lo ha sviluppato | Il quadro normativo europeo: GDPR e dati comportamentali | Italia: l'art. 4 dello Statuto dei lavoratori e il consenso | Errori comuni nella valutazione del tracciamento aziendale | Domande frequenti
In breve
* Meta ha avviato l'installazione del software MCI sui computer dei dipendenti negli Stati Uniti: registra movimenti del mouse, clic, sequenze di tasti e screenshot periodici
* L'obiettivo dichiarato è addestrare agenti di intelligenza artificiale capaci di svolgere compiti lavorativi in modo autonomo, senza intervento umano
* In Europa il GDPR richiede una base giuridica valida e un'informativa trasparente per raccogliere dati comportamentali dei dipendenti
* In Italia l'art. 4 dello Statuto dei lavoratori impone un accordo sindacale o l'autorizzazione dell'Ispettorato del lavoro prima di installare strumenti di controllo a distanza
* I lavoratori europei hanno diritto di accesso ai propri dati, diritto di opposizione al trattamento e diritto alla cancellazione
Cosa fa MCI e perché Meta lo ha sviluppato
Meta ha avviato nel 2025 l'installazione di Model Capability Initiative (MCI) sui computer aziendali dei dipendenti statunitensi. Il software opera in background mentre i lavoratori usano applicazioni e siti web interni, raccogliendo dati in quattro categorie principali. L'obiettivo dichiarato dalla società è costruire un dataset granulare di comportamenti reali per addestrare agenti di intelligenza artificiale autonomi, capaci di navigare interfacce, compilare documenti e gestire flussi operativi senza intervento umano.
1. Movimenti del mouse: la traiettoria del cursore sullo schermo, comprese le pause e le aree di esitazione durante la navigazione
1. Clic e interazioni: ogni clic su bottoni, link e campi di testo nelle applicazioni aziendali, con il contesto dell'azione registrata
1. Sequenze di tasti: i tasti premuti durante l'utilizzo degli strumenti di lavoro, che rivelano i percorsi decisionali del lavoratore
1. Screenshot periodici: istantanee dello schermo catturate in momenti selezionati per contestualizzare visivamente le azioni registrate
Mark Zuckerberg ha dichiarato pubblicamente che l'intelligenza artificiale è la priorità assoluta di Meta. La raccolta di dati comportamentali reali serve a insegnare agli agenti IA non solo cosa fa un lavoratore, ma come lo fa: le esitazioni, i percorsi alternativi, le sequenze di tasti che traducono una decisione in un'azione concreta sull'interfaccia. Secondo le informazioni disponibili, i dati vengono anonimizzati prima dell'uso per l'addestramento dei modelli e il tracciamento riguarda esclusivamente dispositivi aziendali, escludendo i dispositivi personali dei lavoratori.
Il quadro normativo europeo: GDPR e dati comportamentali
Il Regolamento generale sulla protezione dei dati (GDPR, Regolamento UE 2016/679) classifica i dati comportamentali raccolti da MCI come dati personali ai sensi dell'articolo 4. Ogni trattamento richiede una base giuridica valida tra quelle elencate all'articolo 6: consenso esplicito del lavoratore, legittimo interesse del datore di lavoro, o necessità contrattuale. Ciascuna opzione presenta limitazioni significative nel contesto del rapporto di lavoro.
L'articolo 88 del GDPR consente agli Stati membri di adottare norme più specifiche sulla privacy dei dipendenti. Germania, Francia e Paesi Bassi hanno già emanato legislazioni che limitano le modalità di raccolta dati sul personale, in alcuni casi richiedendo accordi collettivi preventivi o vietando il tracciamento continuativo senza consenso individuale verificabile. Il fatto che MCI operi finora solo negli Stati Uniti riflette la consapevolezza di queste restrizioni.
Un punto critico riguarda la trasparenza: i lavoratori devono ricevere un'informativa chiara ai sensi dell'art. 13 GDPR, che specifichi finalità, tempi di conservazione e basi giuridiche del trattamento. La raccolta di dati per addestrare modelli IA rientra nella definizione di profilazione ai sensi dell'articolo 4, paragrafo 4, con obblighi aggiuntivi di trasparenza e, nella maggior parte dei casi, obbligo di valutazione d'impatto sulla protezione dei dati (art. 35 GDPR).
Italia: l'art. 4 dello Statuto dei lavoratori e il consenso
In Italia la tutela contro il controllo a distanza è garantita dall'articolo 4 della legge 300/1970 (Statuto dei lavoratori), modificato dal decreto legislativo 151/2015. La norma distingue tra strumenti di lavoro puri (laptop, software di produttività) e strumenti con potenziale di controllo sull'attività del lavoratore: solo i secondi richiedono un accordo preventivo con le rappresentanze sindacali aziendali (RSA o RSU) oppure l'autorizzazione dell'Ispettorato territoriale del lavoro.
Un software che registra in modo sistematico clic, sequenze di tasti e screenshot rientra nella seconda categoria. I dati raccolti possono essere usati solo per finalità organizzative, produttive o di sicurezza, e non possono essere usati a scopo disciplinare senza un'informativa preventiva specifica ai lavoratori. Il Garante per la protezione dei dati personali ha ribadito in più occasioni che il consenso inserito nel contratto di lavoro non può legittimare il tracciamento sistematico, perché il rapporto di subordinazione esclude la libera espressione del consenso ai sensi del GDPR.
Il testo consolidato dello Statuto dei lavoratori - Normattiva fornisce il riferimento normativo aggiornato. Per il quadro regolatorio europeo, il Regolamento UE 2016/679 GDPR - EUR-Lex è la fonte primaria di riferimento.
Errori comuni nella valutazione del tracciamento aziendale
Confondere strumento di lavoro con strumento di sorveglianza: un'applicazione come Slack o Teams è uno strumento di lavoro; un software che registra ogni tasto premuto in background è uno strumento di controllo. La distinzione determina il regime autorizzativo: il primo non richiede accordi sindacali, il secondo sì, sia in Italia sia nella maggior parte dei paesi europei.
Ritenere che l'anonimizzazione elimini tutti gli obblighi GDPR: i dati comportamentali diventano anonimi ai sensi del GDPR solo se la reidentificazione è tecnicamente impossibile per chiunque. Dati granulari come la velocità di digitazione o i percorsi del mouse possono identificare un individuo in un gruppo ristretto, rendendo l'anonimizzazione incompleta e il trattamento ancora soggetto alle norme del regolamento.
Equiparare il consenso contrattuale al consenso GDPR: le autorità europee di protezione dei dati, compreso il Garante italiano, considerano il consenso dei dipendenti strutturalmente non libero a causa dello squilibrio di potere nel rapporto di lavoro. Il consenso inserito nel contratto non può quindi costituire la base giuridica per il tracciamento sistematico tramite sistemi IA.
Ignorare il diritto di accesso dei lavoratori: ai sensi dell'articolo 15 del GDPR, ogni lavoratore può richiedere copia dei dati personali che lo riguardano, compresi quelli raccolti da strumenti aziendali. L'azienda non può opporre il segreto industriale per i dati grezzi relativi al singolo individuo, anche se può oscurare informazioni che riguardano terze parti.
Domande frequenti
Un'azienda italiana può installare un software simile a MCI?
Sì, ma con vincoli precisi. Prima dell'installazione deve essere stipulato un accordo con le rappresentanze sindacali aziendali oppure ottenuta l'autorizzazione dell'Ispettorato del lavoro. I lavoratori devono ricevere un'informativa sui dati raccolti, le finalità e i tempi di conservazione. I dati non possono essere usati per valutazioni disciplinari senza una specifica comunicazione preventiva.
I dipendenti Meta in Europa sono soggetti allo stesso tracciamento?
Le informazioni disponibili indicano che MCI è attivo solo per i dipendenti negli Stati Uniti. Le normative europee - GDPR e leggi nazionali sui rapporti di lavoro - creano vincoli che renderebbero problematica un'estensione diretta del programma senza modifiche sostanziali al modello di consenso e ai meccanismi di trasparenza richiesti.
Cosa può fare un lavoratore monitorato senza informativa?
Può presentare un reclamo al Garante per la protezione dei dati personali, che ha il potere di ordinare la sospensione del trattamento e applicare sanzioni. Può esercitare il diritto di accesso (art. 15 GDPR) per ottenere copia dei dati raccolti e il diritto di opposizione (art. 21 GDPR). In ambito lavorativo può coinvolgere la rappresentanza sindacale aziendale per avviare la procedura prevista dall'art. 4 dello Statuto dei lavoratori.
Il tracciamento per addestrare l'IA è diverso dal controllo produttività?
Sì, per granularità e finalità. Il controllo della produttività misura gli output: ore lavorate, ticket chiusi, attività completate. Il tracciamento per addestrare agenti IA cattura il processo - le esitazioni, i percorsi alternativi, le sequenze di tasti - costruendo un profilo comportamentale molto più dettagliato. Questa differenza è rilevante ai fini dell'obbligo di valutazione d'impatto sulla protezione dei dati previsto dall'art. 35 del GDPR.
Il caso Meta rende visibile una tensione concreta tra innovazione tecnologica e tutele esistenti: la normativa europea, dal GDPR allo Statuto dei lavoratori, già prevede strumenti per regolare queste pratiche, ma la loro efficacia dipende dalla capacità di lavoratori, sindacati e autorità di vigilanza di riconoscerle e applicarle con la stessa velocità con cui le aziende le introducono. Non è un vuoto normativo che manca, ma una consapevolezza da costruire.