Il decreto legislativo 27 giugno 2022, n. 104, cosiddetto Decreto Trasparenza, con cui il Governo ha attuato la direttiva UE 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea, ha imposto al datore di lavoro nuovi obblighi informativi circa l’utilizzo nel contesto pubblico o privato, di sistemi decisionali o di monitoraggio automatizzato dei lavoratori.
Al fine di armonizzare questi nuovi obblighi con quanto previsto dal Regolamento n. 679/2016 e più in generale dalla disciplina in materia di trattamento dati personali, il Garante della privacy è recentemente intervenuto per fornire linee guida operative a favore dei datori di lavoro che si trovano a dover attuare le nuove previsioni normative.
Il Garante ha ritenuto opportuno intervenire sul tema, al fine di precisare che gli obblighi imposti dal Decreto Trasparenza non sono assolutamente da intendersi come sostitutivi rispetto a quanto previsto dalla normativa privacy. Ma prima di chiarire quanto espresso dall’Autorità garante, è opportuno richiamare sinteticamente quanto prevede il Decreto Trasparenza.
I nuovi obblighi informativi a carico del datore di lavoro previsti dal Decreto Trasparenza
L’articolo 2 introduce nel D.lgs. n. 152 del 1997, un nuovo articolo 1-bis, rubricato “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”, secondo cui il datore di lavoro che utilizzi sistemi decisionali o di monitoraggio automatizzati, deve informare preventivamente il lavoratore nel caso in cui tali sistemi siano “deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.
L’articolo dispone che le informazioni devono essere fornite con almeno 24 ore di preavviso dalla loro attuazione, comunicando:
- le finalità dei sistemi automatizzati;
- le categorie di dati e le misure principali impiegate per i sistemi automatizzati, inclusi i meccanismi di valutazione delle prestazioni;
- la logica ed il funzionamento dei sistemi automatizzati;
- le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione;
- il responsabile del sistema di gestione della qualità;
- il livello di accuratezza, robustezza e cybersicurezza dei sistemi automatizzati;
- le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
Le decisioni automatizzate secondo il GDPR
Si tratta di obblighi informativi ulteriori rispetto a quelli che il GDPR indica in merito all’adozione di un processo decisionale automatizzato da parte di un titolare del trattamento.
L’articolo 13 del Regolamento n. 679/2016 obbliga, infatti, il titolare del trattamento a fornire all’interessato un’informativa, quando si intende impiegare un processo decisionale automatizzato, compresa la profilazione e, nel caso di decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo sull’interessato, stabilisce di indicare la logica utilizzata, nonché le conseguenze previste per tale trattamento.
L’articolo 22 del Regolamento interviene inoltre sui trattamenti effettuati mediante sistemi automatizzati che adottano decisioni che possono incidere a livello giuridico o simile, imponendo al titolare di introdurre misure adeguate per proteggere i diritti, le libertà e i legittimi interessi degli interessati e prevedere per l’interessato il diritto di chiedere e ottenere l’intervento umano ed esprimere la propria opinione e di confutare la decisione automatizzata adottata.
I chiarimenti del Garante finalizzati ad armonizzare le due discipline
Con le odierne indicazioni, il Garante Privacy sulla scorta dei primi chiarimenti già forniti con la circolare n. 19 del 20/9/2022 e con la circolare n. 4 del 10/8/2022, al fine di coordinare le reciproche posizioni e le linee interpretative in merito all’applicazione del Decreto, intende dunque armonizzare le disposizioni del GDPR e quelle previste dal decreto Trasparenza, ponendosi aperto ad un confronto con l’intento di giungere ad una decisione condivisa.
L’Autorità, pertanto, sottolinea come le nuove norme non sono sostitutive di quelle previste dal GDPR, ma aggiuntive, come del resto sottolineato anche nel testo del decreto trasparenza.
Il Garante suggerisce, innanzitutto, che l’informativa di cui al D.lgs. n. 104/22 sia fornita unitamente all’informativa privacy generale destinata al dipendente. Dunque, raccomanda di prevedere un unico e chiaro documento che contenga anche le informazioni richieste dal Decreto Trasparenza fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (v. art. 12 del Regolamento), nonché, come previsto dal comma 6 dell’art. 1-bis, “in formato strutturato, di uso comune e leggibile da dispositivo automatico”.
Il Garante ricorda che il datore di lavoro, titolare del trattamento, deve altresì rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento).
In particolare, se intende utilizzare gli strumenti decisionali di cui al Decreto trasparenza per raccogliere informazioni sui dipendenti, dovrà verificare la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice (lo stesso comma 1 dell’art. 1-bis del Decreto prevede espressamente che “resta fermo quanto disposto dall' articolo 4 della legge 20 maggio 1970, n. 300”) nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni e fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice).
Gli artt. 113 e 114 del Codice sono infatti considerati, nell’ordinamento italiano, disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento, la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione determina l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.
Il titolare del trattamento è tenuto, ricorda il Garante a rispettare i principi generali del trattamento (art. 5 del Regolamento) e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (richiamate anche dal comma 4 dell’art. 1-bis introdotto dal Decreto).
Inoltre, in attuazione del principio di responsabilizzazione deve valutare se i trattamenti che intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerati la natura, l'oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (art. 35 del Regolamento).
Valutazione d'impatto, privacy by design e default
Il titolare, poi, nel verificare la sussistenza dell’obbligo di procedere ad una valutazione di impatto deve tenere conto delle indicazioni fornite anche a livello europeo sul punto, in merito, in particolare: alla particolare “vulnerabilità” degli interessati nel contesto lavorativo; al fatto che l’impiego nell’ambito lavorativo di sistemi che comportano il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.
Considerato l’ambito di applicazione oggettivo del Decreto trasparenza, possono, peraltro, venire in rilievo anche altri dei criteri individuati dal Comitato europeo per la protezione dei dati ai fini della valutazione dell’obbligo di redigere una valutazione d’impatto sulla protezione dei dati (valutazione o assegnazione di un punteggio; processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente; trattamento di dati su larga scala; creazione di corrispondenze o combinazione di insiemi di dati; uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative; trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto).
Al riguardo, si ricorda che, nella maggior parte dei casi, un titolare del trattamento può considerare che un trattamento che soddisfi almeno due criteri debba formare oggetto di una valutazione d'impatto sulla protezione dei dati e che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che configuri un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d'impatto sulla protezione dei dati.
Resta in ogni caso fermo che la redazione di una valutazione d’impatto è sempre obbligatoria nel caso in cui si faccia ricorso a “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche” (art. 35, par. 3, lett. a), del Regolamento).
In tale quadro, dovrà essere rispettato altresì il principio della “protezione dei dati fin dalla progettazione” e quello della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento), scegliendo solo trattamenti strettamente necessari per conseguire una specifica e lecita finalità. Ciò comporta quindi che, per impostazione predefinita, il titolare del trattamento deve limitarsi a raccogliere dati personali che siano esclusivamente necessari per la specifica finalità del trattamento.
In attuazione di tali principi, il titolare del trattamento, anche quando utilizza sistemi tecnologici realizzati da terzi, dovrà eseguire, avvalendosi del supporto del responsabile della protezione dei dati, ove nominato, un’analisi dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, in particolare le norme nazionali che disciplinano le condizioni per l’impiego degli strumenti tecnologici sul posto di lavoro.
Occorre, scrive il Garante, ricordare che anche questi trattamenti devono confluire nel registro dei trattamenti, di cui all’art. 30 del Regolamento. Tale registro, idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, è infatti indispensabile per consentire al titolare di censire i trattamenti effettuati e documentarne la conformità alla disciplina in materia di protezione dei dati personali.
Accesso ai dati personali
Considerato che il Decreto prevede infine che con riguardo ai rapporti di lavoro instaurati anteriormente al 1° agosto 2022, i dipendenti possono ottenere i predetti elementi informativi a seguito di specifica richiesta scritta rivolta al datore di lavoro, il quale è tenuto a fornire riscontro entro 60 giorni, l’Autorità precisa che resta salvo il diritto per l’interessato di ottenere l’accesso ai propri dati personali comprese le ulteriori informazioni previste dal Decreto alle condizioni e nei tempi previsti dall’art. 15 Regolamento in materia di diritto di accesso ai propri dati personali.
Infine, il Garante si sofferma sui sistemi che prendono decisioni unicamente automatizzate compresa la profilazione, che producano effetti giuridici o incidano comunque significativamente sull’interessato. In questo caso, occorre assicurare all’interessato l’intervento umano, nonché il diritto di esprimere la propria opinione e di confutare la decisione.