Con una recente comunicazione inviata al Ministero del Lavoro ed all’Ispettorato Nazionale del Lavoro, l’Autorità Garante per la protezione dei dati personali ha fornito le prime indicazioni, sotto il profilo della protezione dei dati personali dei lavoratori, in merito all’applicazione del D.Lgs. 27 giugno 2022, n. 104 (c.d. “Decreto Trasparenza”) in materia di condizioni di lavoro trasparenti e prevedibili, entrato in vigore il 13 agosto 2022.
L’art. 4, comma 2, del Decreto suddetto, infatti, inserisce nel D.Lgs. 152/1997 (concernente gli obblighi informativi del datore di lavoro nei confronti del lavoratore) l’art. 1-bis, introducendo così ulteriori obblighi informativi a carico del datore di lavoro in caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati, ovvero quei sistemi che attraverso la raccolta ed elaborazione dei dati, effettuata mediante algoritmo o intelligenza artificiale, siano in grado di generare una serie di decisioni automatizzate.
Ebbene, poiché l’impiego di tali sistemi dà luogo a trattamenti di dati personali, con l’entrata in vigore del Decreto Trasparenza il datore di lavoro è tenuto a fornire all’interessato informazioni più specifiche ed ulteriori rispetto a quelle già previste dagli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR). Ciò al fine di garantire una sempre maggiore certezza e trasparenza sul trattamento dei dati personali di ogni lavoratore.
In particolare, ricorrendo i presupposti di applicazione dei nuovi obblighi informativi, il datore di lavoro, in qualità di titolare del trattamento, dovrà rendere noti all’interessato, oltre a quanto già previsto dagli artt. 13 e 14 del GDPR: gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati, il funzionamento di tali sistemi ed i parametri utilizzati per programmarli o addestrarli; le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; il livello di accuratezza, robustezza e cybersicurezza dei sistemi, le metriche utilizzate per misurare tali parametri e gli impatti potenzialmente discriminatori delle stesse.
I nuovi obblighi informativi a carico dei datori di lavoro si applicano, in particolare, ai contratti di lavoro subordinato, somministrato e intermittente, ai rapporti di collaborazione con prestazione prevalentemente personale e continuativa organizzata dal committente, ai contratti di collaborazione coordinata e continuativa ed ai contratti di prestazione occasionale. Tali obblighi, inoltre, devono essere assolti, prima dell’inizio dell’attività lavorativa, per tutti i rapporti di lavoro e, per quelli già instaurati anteriormente al 1° agosto 2022, i dipendenti potranno avanzare specifica richiesta scritta al datore di lavoro al fine di ottenere le informazioni ulteriori, fermo restando il diritto di accesso ai propri dati personali alle condizioni e nei tempi previsti dall’art. 15 del GDPR.
Il Garante per la protezione dei dati personali auspica al riguardo che le specifiche informazioni sui sistemi decisionali o di monitoraggio vengano fornite al lavoratore congiuntamente alle informazioni di cui agli artt. 13 e 14 del GDPR, in forma concisa, trasparente, intelligibile e facilmente accessibile, ed utilizzando un linguaggio semplice e chiaro, conformemente a quanto previsto dall’art. 12 del GDPR. Ciò al fine sia di evitare la frammentazione delle informazioni destinate agli interessati, che di semplificare gli adempimenti a carico del datore di lavoro.
L’Autorità, inoltre, sottolinea nelle proprie indicazioni la necessità che il datore di lavoro, titolare del trattamento:
- verifichi la sussistenza di un idoneo presupposto di liceità ai sensi dell’art. 6 del GDPR prima di procedere al trattamento dei dati personali dei lavoratori attraverso i sistemi decisionali automatizzati;
- rispetti le condizioni per il lecito impiego di strumenti tecnologici nell’ambito dei rapporti di lavoro, ai sensi dell’art. 88 del GDPR, verificando sempre la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della L. n. 300/1970;
- rispetti i principi generali del trattamento, ai sensi dell’art. 5 del GDPR, e ponga in essere tutti gli adempimenti previsti dalla vigente normativa in materia di protezione dei dati personali;
- valuti se i trattamenti che intende effettuare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, tale da rendere necessaria una preventiva valutazione d’impatto sulla protezione dei dati personali, ai sensi dell’art. 35 del GDPR;
- rispetti i principi della protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), previsti all’art. 25 del GDPR.
Il Garante precisa, altresì, nelle prime indicazioni sul Decreto Trasparenza, che il datore di lavoro, quale titolare del trattamento, in presenza dei presupposti di cui all’art. 30 del GDPR, deve redigere il registro delle attività di trattamento, al fine di mappare tutti i trattamenti effettuati e documentarne la conformità alla disciplina in materia di protezione dei dati personali, pur non essendo comunque tenuto ad informare gli interessati della relativa predisposizione e degli eventuali aggiornamenti.
Infine, il Garante sottolinea che laddove l’utilizzo dei predetti sistemi dia luogo anche ad un processo decisionale unicamente automatizzato, compresa la profilazione, che produca effetti giuridici che riguardano l’interessato o che incida significativamente sulla sua persona, occorre tener conto, ai sensi dell’art. 22 del GDPR, delle ipotesi in cui sia consentito derogare al diritto dell’interessato a non essere sottoposto a tali trattamenti e delle garanzie a tutela di quest’ultimo, tra cui quella di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestarne la decisione.