La privacy dopo il Decreto Trasparenza
Il Garante della privacy ha fornito le prime indicazioni interpretative sulle disposizioni introdotte dal D. Lgs. n. 104/2022 (“Decreto Trasparenza“) che maggiormente impattano sulla protezione dei dati personali. Al fine di orientare le scelte sul piano applicativo dei titolari del trattamento, il Garante ha manifestato la propria disponibilità ad avviare un confronto sui temi in oggetto.
Dopo un lungo periodo di attesa, il Garante privacy ha pubblicato le prime linee guida ad interpretazione del Decreto Trasparenza, varato in attuazione della Direttiva UE n. 2019/1152, al fine di aiutare le imprese nella comprensione dei suoi passaggi più complessi. L’oggetto principale di analisi consiste nell’introduzione di ulteriori obblighi informativi qualora si utilizzino “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.
Che cosa dice il Decreto Trasparenza?
A tale adempimento informativo, assai incisivo se si considera il tessuto imprenditoriale italiano, si aggiunge l’ulteriore obbligo datoriale (peraltro già disposto dall’art. 12 del Reg. UE n. 2016/679 – GDPR) di dare accesso a dati e di trasmettere informazioni ulteriori per iscritto ed entro 30 giorni, laddove il lavoratore ne faccia richiesta. Per comprendere che cosa intenda il Legislatore parlando di “sistemi decisionali o di monitoraggio automatizzati […]”, il Garante richiama la Circolare n. 19 del 20/9/2022 del Ministero del Lavoro e delle Politiche Sociali, che distingue due fattispecie all’interno della macro-categoria sopracitata:
- La prima, che si realizza quando tali sistemi sono volti a generare un procedimento decisionale che incide sul rapporto di lavoro, quali algoritmo/intelligenza artificiale da cui derivino decisioni automatizzate o rispetto alle quali il fattore umano risulti meramente accessorio. Rientrano in questa categoria assunzioni, assegnazione di incarichi mediante chatbots, profilazione automatizzata di candidati, assegnazione o revoca automatizzata di turni di lavoro, definizione dell’orario di lavoro, determinazione della retribuzione, utilizzo di software per il riconoscimento emotivo, test psicoattitudinali e via dicendo;
- La seconda, riferita alla sorveglianza e valutazione dei lavoratori, oltre che sistemi incidenti sulle prestazioni e l’adempimento delle obbligazioni negoziali, quali tablet, dispositivi digitali o per il riconoscimento facciale, GPS, e similari.
Quali sono gli altri obblighi del datore di lavoro?
Tuttavia, in caso di utilizzo dei sistemi sopracitati, gli obblighi in capo al datore non si esauriscono nella mera consegna dell’informativa disposta dal Decreto Trasparenza. Per assicurarsi della liceità del trattamento derivante dall’utilizzo di un sistema automatizzato, infatti, l’azienda deve effettuare la preventiva valutazione di impatto sulla protezione dei dati personali (DPIA), così come stabilito dall’art. 35 del Reg. UE n. 2016/679 – GDPR.
Solo a seguito dell’esito positivo della predetta valutazione, l’impresa potrà dotarsi di un sistema decisionale o di monitoraggio automatizzato. In aggiunta, il datore di lavoro dovrà valutare attentamente (e caso per caso) il rapporto del sistema che intende utilizzare con l’art. 4 dello Statuto dei lavoratori, tenendo a mente che non tutti i sistemi informatizzati sono necessariamente sistemi automatizzati ai sensi del Decreto Trasparenza e che, a seconda dei casi:
- Alcuni sistemi informatizzati, se automatizzati, ricadono nell’ambito di competenza del Decreto Trasparenza e risultano rilevanti anche sotto il profilo dell’ art. 4 Statuto dei Lavoratori;
- Alcuni sistemi informatizzati hanno un impatto ai sensi dell’art. 4 Statuto dei Lavoratori ma non del Decreto Trasparenza (ad esempio in caso di sistema di monitoraggio non automatizzato in quanto include, nel processo di trattamento dei dati, almeno un operatore fisico).
Al realizzarsi di queste ipotesi, il datore dovrà verificare la sussistenza di idonee ragioni organizzative e produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale che possano legittimare l’implementazione di tali sistemi previo apposito accordo con le rappresentanze sindacali o ottenimento di autorizzazione specifica da parte dell’Ispettorato del Lavoro territorialmente competente.
Quali sono gli obblighi privacy?
Oltre agli adempimenti di tipo prettamente giuslavoristico, come premesso, si aggiungono gli specifici obblighi del datore di lavoro in materia privacy, ai sensi del GDPR. In particolare:
- Predisposizione dell’informativa (ex artt. 1-bis del Decreto Trasparenza e 13 del GDPR);
- Integrazione del registro dei trattamenti con i nuovi trattamenti di dati personali effettuati mediante i sistemi decisionali o di monitoraggio automatizzati;
- Svolgimento di una valutazione d’impatto (DPIA) sui trattamenti oggetto di analisi;
- Aggiornamento della documentazione relativa al modello organizzativo privacy con riferimento alle funzioni competenti e di controllo e monitoraggio, alle nomine e istruzioni degli autorizzati al trattamento, alle policy e procedure;
- Selezione di fornitori di tali sistemi che siano di assicurare il rispetto degli obblighi previsti dal GDPR;
- Garanzia di un’adeguata tutela dei diritti e delle libertà degli interessati soggetti ai trattamenti in questione.
Conclusioni
A fronte di quanto sopra esposto, emerge un chiaro orientamento del Garante, volto a far sì che i datori di lavoro non interpretino le disposizioni di cui al Decreto trasparenza (D. Lgs. n. 104/2022) come sostitutive della disciplina in tema di protezione dei dati, che invece conserva la propria autonomia e che, pertanto, deve essere applicata in toto dall’organizzazione al proprio sistema di gestione dei dati. Il D. Lgs. n. 104/2022 non deve, in altre parole, essere interpretato come un “via libera” per l’impiego di decisori algoritmici.
Per il datore di lavoro il rispetto degli obblighi informativi e di trasparenza verso i lavoratori non significa solo evitare le sanzioni amministrative pecuniarie che la nuova normativa prevede e diversifica in relazione alle diverse mancanze che potrebbero concretamente rinvenirsi e/o delle eventuali sanzioni che potrebbero essere applicate a fronte di violazioni in materia di protezione dei dati personali ex art. 83 del GDPR, nonché di eventuali illeciti penali ex art. 167 e ss. del Codice della privacy.
Grazie all’applicazione delle disposizioni contenute nel Decreto, viene garantito al lavoratore un livello adeguato di trasparenza e prevedibilità, il che non può che sfociare naturalmente in un aumento della fiducia nei confronti dell’azienda e del suo appeal sia all’interno che all’esterno. Così facendo, si garantisce altresì al datore di lavoro una piena conoscenza e un controllo puntuale dei processi aziendali che utilizzano dati personali.
In conclusione, osservare le nuove prescrizioni significa soprattutto abbracciare la ratio fondante della Direttiva UE n. 2019/1152 e quindi aderire ad un approccio che consente di ridurre il probabile divario informativo tra datore di lavoro e lavoratore.