Decreto Trasparenza: il Garante Privacy si esprime in merito agli obblighi introdotti in materia di protezione dei dati personali

Come noto, lo scorso 13 agosto 2022 è entrato in vigore il D.Lgs. 104/2022 (c.d. “Decreto Trasparenza”), in attuazione della Direttiva UE 1152/2019, relativa al miglioramento delle condizioni di lavoro nell’UE, che ha introdotto ulteriori obblighi informativi qualora il datore di lavoro utilizzi “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori”.

L’impiego di tali sistemi decisionali e di monitoraggio automatizzati dà luogo a trattamenti di dati personali e presenta, quindi, profili rilevanti in materia. In ragione di ciò, le nuove disposizioni necessitano di essere coordinate con la normativa applicabile in materia di protezione dei dati personali, in particolare con il Regolamento UE 2016/679 (“GDPR”) e il D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018 (“Codice Privacy”).

A seguito delle Circolari interpretative dell’Ispettorato Nazionale del Lavoro e del Ministero del Lavoro (Circolare n. 19 del 20/9/2022 e Circolare n. 4 del 10/8/2022), il Garante per la protezione dei dati personali, in data 24/1/2023, ha rilasciato un documento relativo alle questioni interpretative e applicative in materia di protezione dei dati personali connesse ai nuovi obblighi introdotti con il Decreto Trasparenza.

Il presente contributo è volto a sintetizzare le osservazioni del Garante e a riassumere gli adempimenti che i datori di lavoro sono tenuti a porre in essere – relativamente ai profili in materia di protezione dei dati personali – anche alla luce dell’interpretazione sistematica del Garante.

Per maggiori approfondimenti, anche relativi agli aspetti di natura prettamente giuslavoristica, si rimanda agli ulteriori contributi (rispettivamente del 8/8/2022 e del 4/10/22), predisposti a cura dello Studio Morri Rossetti.

Utilizzo di sistemi decisionali o di monitoraggio automatizzati

L’elemento del Decreto Trasparenza che ha destato maggiori perplessità è la previsione in virtù della quale il datore di lavoro è chiamato a informare il dipendente ove questi utilizzi sistemi decisionali o di monitoraggio automatizzati. Le difficoltà interpretative di tale previsione sono principalmente dovute all’individuazione di tali sistemi, essendo tale definizione particolarmente generica.

La Circolare n. 4 del 10/8/2022 aveva fornito una propria interpretazione al riguardo, identificando come tali gli strumenti che – anche ove vi sia un intervento umano meramente accessorio – generino decisioni automatizzate sulla base dei dati da essi stessi raccolti ed elaborati, alle quali sia interamente rimessa la disciplina della vita lavorativa del dipendente (con la conseguenza di un rilevante impatto su quest’ultima).

La Circolare forniva anche degli esempi pratici in cui sussiste l’obbligo di informativa:

1. assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, etc.;
2. gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, etc.

In alternativa, non è necessario procedere all’informativa nel caso, ad esempio, di utilizzo di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata a una decisione datoriale.

Con riferimento, poi, ai sistemi incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori, il datore di lavoro ha l’obbligo di informare il lavoratore dell’utilizzo di tali sistemi automatizzati, quali – a puro titolo di esempio: tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc., purché tali sistemi incidano “sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

La Circolare precisava, in aggiunta, che si deve ritenere sussistente l’obbligo informativo anche in relazione all’utilizzo di sistemi decisionali o di monitoraggio automatizzati integrati negli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, allorquando presentino le caratteristiche tecniche e le funzioni descritte in precedenza.

Le prime indicazioni del Garante Privacy

Secondo quanto riportato dalle prime indicazioni del Garante, la disciplina del Decreto Trasparenza, che trova applicazione sia nel caso in cui il trattamento da parte del datore di lavoro venga effettuato in fase di pre-assunzione, che nel caso in cui venga posto in essere in costanza di rapporto di lavoro, è considerabile una disciplina maggiormente specifica e tutelante per gli interessati nel contesto lavorativo, conformemente a quanto previsto dall’art. 88 del GDPR.

Tale disciplina trova giustificazione anche in considerazione del fatto che l’impiego di tali sistemi di monitoraggio particolarmente invasivi – come sottolineato dal Garante – pone, anzitutto, un tema di liceità dei trattamenti di dati personali effettuati mediante gli stessi, tenuto conto della disciplina di settore in materia di impiego di strumenti tecnologici nel contesto lavorativo (cfr. art. 114 del Codice Privacy, che rimanda all’art. 4 dello Statuto dei Lavoratori).

Inoltre, le specificità delle tecnologie di questi sistemi, nonché la natura dei dati trattati (ad esempio, i dati biometrici e quelli relativi alle emozioni del lavoratore) e le funzionalità che spesso ad essi sono associate, sollevano, altresì, dubbi in ordine alla stessa proporzionalità del loro impiego, nonché di compatibilità con i principi generali in materia di protezione dei dati e con il quadro di garanzie in materia di libertà e dignità del lavoratore, potendosi, peraltro, porsi in contrasto con le disposizioni nazionali che vietano al datore di lavoro di trattare informazioni attinenti alla sfera privata del lavoratore (cfr. art. 113 del Codice Privacy, che rimanda all’art. 8 dello Statuto dei Lavoratori).

• I nuovi obblighi informativi

L’articolo 4 del Decreto Trasparenza ha pertanto introdotto, inter alia, nuovi obblighi informativi in capo al datore di lavoro, tra cui quello di informare adeguatamente i lavoratori nel caso utilizzi sistemi decisionali o di monitoraggio automatizzati ai fini della assunzione o del conferimento dell'incarico, o per altre attività collegate al rapporto di lavoro e alla sua gestione. Alcune delle specifiche informazioni che devono essere fornite ai dipendenti integrano quanto previsto dagli artt.13 e 14 del GDPR, mentre altre ne costituiscono una specificazione.

Tra le informazioni ulteriori che il datore di lavoro, in qualità di titolare del trattamento, deve fornire all’interessato rientrano:

1. gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di sistemi decisionali o di monitoraggio automatizzati;
2. il funzionamento dei sistemi;
3. i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni;
4. le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
5. il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Tra gli elementi che, invece, specificano gli obblighi informativi di cui agli artt. 13 e 14 del GDPR, rientrano:

1. la logica dei sistemi decisionali o di monitoraggio automatizzati (la cui indicazione è espressamente richiesta dai menzionati articoli nel caso di ricorso ai processi decisionali automatizzati, compresa la profilazione, di cui all’art. 22 del GDPR; e
2. l’indicazione delle categorie di dati trattati (informazione richiesta ai sensi dell’art. 14(1)(d)), qualora i dati oggetto di trattamento non siano ottenuti presso l’interessato.

Quanto al momento entro il quale devono essere assolti gli adempimenti informativa, fatto salvo quanto previsto dagli articoli 13 e 14 del GDPR, il Garante conferma che:

1. per i rapporti di lavoro instaurati anteriormente all’1° agosto 2022, è previsto che i dipendenti possano ottenere i predetti elementi informativi a seguito di specifica richiesta scritta rivolta al datore di lavoro;
2. per i rapporti di lavoro instaurati successivamente a tale data, gli obblighi informativi aggiuntivi devono essere adempiuti, per espressa disposizione normativa (art. 1(2), del D.Lgs. 152/1997), prima dell’inizio dell’attività lavorativa.

In un’ottica di evitare la frammentazione delle informazioni destinate agli interessati e nella prospettiva di una semplificazione degli adempimenti richiesti al datore di lavoro, il Garante consiglia che tutte le informazioni siano complessivamente fornite al lavoratore prima dell’inizio del trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, e congiuntamente (quindi nello stesso documento) alle informazioni di cui agli artt. 13 e 14 del GDPR.

• Gli ulteriori adempimenti in materia di protezione dei dati personali

In aggiunta a quanto sopra, considerato che l’impiego di sistemi di monitoraggio nel contesto lavorativo può comportare il trattamento di informazioni associate – direttamente o indirettamente – ai dipendenti, il datore di lavoro, titolare del trattamento, prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali sistemi, dovrà altresì:

1. verificare la sussistenza di un idoneo presupposto di liceità, ai sensi degli artt. 5(1)(a) e 6 del GDPR,
2. verificare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo, in particolare nel rispetto delle disposizioni dello Statuto dei lavoratori (ad es. verifica della sussistenza dei presupposti stabiliti dall’art. 4; rispetto delle disposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni e fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata); e
3. rispettare i principi generali della normativa in materia di privacy, nonché porre in essere tutti gli adempimenti previsti dalla normativa applicabile.

In ogni caso, il Garante ha ribadito che l’introduzione delle nuove garanzie non modifica le tutele già previste dal GDPR e dallo Statuto dei lavoratori.

Il trattamento, inoltre, dovrà essere oggetto, da parte del datore di lavoro, di una valutazione dei rischi per verificarne l’impatto sui diritti e sulle libertà degli interessati e, laddove sia necessario – in ragione delle tecnologie impiegate e considerata la natura, l'oggetto, il contesto e le finalità perseguite – di una preventiva valutazione di impatto sulla protezione dei dati personali, ai sensi dell’art. 35 del GDPR (“DPIA”), obbligatoria qualora “si faccia ricorso a “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.

Nel verificare la necessità di procedere con una DPIA – come indicato nelle Linee Guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati – il titolare del trattamento deve considerare altresì la vulnerabilità degli interessati nel contesto lavorativo, nonché la circostanza che l’impiego nell’ambito lavorativo di sistemi che comportano il monitoraggio sistematico, può presentare rischi, in termini di possibile monitoraggio dell’attività dei dipendenti. Sul punto, il Garante Privacy ricorda che nella maggior parte dei casi, un titolare del trattamento può considerare che un trattamento che soddisfi almeno due criteri debba formare oggetto di una DPIA e che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che configuri un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d'impatto sulla protezione dei dati.

In tale quadro, rimane ferma la necessità di rispettare il principio di privacy by design e privacy by default: da un lato, mediante l’adozione di misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del GDPR e tutelare i diritti e le libertà degli interessati; dall’altro, ponendo in essere scelte tali da garantire che venga effettuato, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità.

In attuazione di tali principi, il titolare del trattamento, anche quando utilizza sistemi tecnologici realizzati da terzi, dovrà eseguire, avvalendosi del supporto del DPO, ove nominato, un’analisi dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, in particolare le norme nazionali che disciplinano le condizioni per l’impiego degli strumenti tecnologici sul posto di lavoro.

Tra gli obblighi generali connessi alle attività di trattamento dei dati personali, vi è altresì l’obbligo della tenuta e dell’aggiornamento del Registro delle attività di trattamento (obbligo che sussiste nelle ipotesi individuate dall’articolo 30 ma che rappresenta una delle misure organizzative più idonee a dimostrare l’accountability del titolare).

Tale registro consente di fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione ed è indispensabile per consentire al titolare di censire i trattamenti effettuati e documentarne la conformità alla disciplina in materia di protezione dei dati personali.

Conclusioni

Anche alla luce delle osservazioni del Garante, al fine di adempiere agli obblighi introdotti dal Decreto Trasparenza, si consiglia di:

• analizzare le condizioni contrattuali standard che il datore sottopone ai propri dipendenti al momento dell’instaurazione del rapporto di lavoro, assicurandosi che tutti gli elementi della norma di riferimento siano già ivi ricompresi e, in caso negativo, procedere quanto prima alla loro integrazione;
• mappare i sistemi decisionali o di monitoraggio automatizzati utilizzati e che rientrino nell’ambito di applicazione individuato dalla norma e dalle relative circolari interpretative – anche attraverso la tenuta e l’aggiornamento del registro;
• effettuare una valutazione dei rischi per verificare l’impatto dei trattamenti sui diritti e sulle libertà degli interessati e, laddove sia necessario – in ragione delle tecnologie impiegate e considerata la natura, l'oggetto, il contesto e le finalità perseguite – una preventiva valutazione di impatto sulla protezione dei dati personali, ai sensi dell’art. 35 del GDPR;
• verificare la sussistenza di idonei presupposti di liceità che giustifichi i trattamenti e prevedere che l’utilizzo di tali sistemi rispetti i principi in materia di protezione dei dati personali;
• assicurarsi che l’informativa sul trattamento dei dati personali dei dipendenti contenga le ulteriori informazioni richieste dalle disposizioni introdotte dal Decreto Trasparenza.

Naturalmente, ove tali sistemi automatizzati dovessero comportare forme, anche solo potenziali, di controllo dell’attività dei lavoratori, sarebbe necessario seguire le procedure di confronto sindacale o amministrative previste dallo Statuto dei Lavoratori.