Lo scorso 24 gennaio il Garante ha inviato una comunicazione al Ministero del Lavoro e all’Ispettorato Nazionale del Lavoro contenente le prime indicazioni interpretative in relazione al cd. Decreto Trasparenza.
Il Decreto, che come noto è entrato in vigore in data 13 agosto 2022, ha introdotto nuovi obblighi informativi in capo al datore di lavoro in caso di utilizzo di sistemi automatizzati decisionali o di monitoraggio automatizzati.
Di seguito le principali indicazioni fornite dal Garante:
- Necessaria interazione del nuovo quadro regolatorio con la vigente disciplina di protezione dei dati personali
In via preliminare il Garante ha chiarito che, poiché l’impiego di sistemi automatizzati dà luogo a “trattamenti” di dati personali, riferiti a soggetti “interessati”, identificati o identificabili nel contesto lavorativo, è necessario che tale nuova disciplina di settore sia coordinata, in sede applicativa, con la normativa in materia di protezione dei dati personali (Regolamento (UE) 2016/679 (di seguito anche Regolamento) e d. lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali).
- Nuovi obblighi informativi
L’art. 4 del Decreto indica le specifiche informazioni che – in aggiunta a quanto previsto dagli artt. 13 e 14 del GDPR – il datore di lavoro ha l’obbligo di fornire al lavoratore, qualora tratti dati personali attraverso i predetti sistemi decisionali o di monitoraggio automatizzati.
Alcuni di tali elementi informativi integrano quanto previsto già dagli artt. 13 e 14 del Regolamento, altri costituiscono, invece, una specificazione degli stessi.
2.1) Il contenuto:
Tra le informazioni ulteriori che il datore di lavoro, in qualità di titolare del trattamento, deve fornire all’interessato rientrano: gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati; il funzionamento dei sistemi; i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni; le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
Tra gli elementi che, invece, specificano la portata di quanto già compreso negli artt. 13 e 14 del Regolamento, rientrano: la logica dei sistemi decisionali o di monitoraggio automatizzati, compresa la profilazione; la necessità di indicazione delle categorie di dati trattati, che nel Regolamento è specificamente prevista solo qualora i dati oggetto di trattamento non siano ottenuti presso l’interessato (art. 14, par. 1, lett. d), del Regolamento).
- Sistemi decisionali o di monitoraggio automatizzati:
Poiché l’impiego dei sistemi decisionali automatizzati può comportare il trattamento d’informazioni associate in via diretta o indiretta ai dipendenti, il Garante ha specificato che il Titolare del trattamento deve sempre rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.
In particolare, dovrà quindi essere sempre verificata:
- la sussistenza dei presupposti di liceità del trattamento;
- il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni e fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata;
Inoltre, in attuazione del principio di responsabilizzazione, il Titolare dovrà valutare se, in ragione delle tecnologie impiegate e in considerazione della natura, dell’oggetto, del contesto e delle finalità perseguite, i trattamenti che intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (art. 35 del Regolamento).
- Il momento entro il quale devono essere assolti gli obblighi informativi
Le disposizioni del Decreto si applicano a tutti i rapporti di lavoro, anche a quelli già istaurati, a partire dal 1° agosto 2022.
Con riferimento ai rapporti di lavoro instaurati successivamente a tale data, gli obblighi informativi devono essere adempiuti per espressa disposizione normativa, prima dell’inizio dell’attività lavorativa; con riguardo invece ai rapporti di lavoro instaurati anteriormente a tale data è previsto che i dipendenti possano ottenere i predetti elementi informativi a seguito di specifica richiesta scritta rivolta al datore di lavoro, il quale dovrà fornire risposta entro 60 giorni.
- Come adempiere?
Il Garante consiglia di integrare i nuovi obblighi informativi nelle informative privacy già in essere, così da fornire al lavoratore un’unica informativa.