Il Garante della privacy fornisce un’interpretazione sistematica delle disposizioni del Decreto trasparenza, alla luce della disciplina eurounitaria in materia di protezione dei dati personali (Garante privacy, nota 24 gennaio 2023, n. 499).
Il Garante della privacy fornisce le prime indicazioni interpretative sulle disposizioni introdotte dal D.Lgs. n. 104/2022 (cosiddetto Decreto trasparenza) che maggiormente impattano sulla protezione dei dati personali.
Il decreto in questione, come noto, si applica ai contratti di tipo subordinato e ad altre forme di lavoro e ha introdotto, tra l’altro, l’obbligo per il datore di lavoro di informare adeguatamente i lavoratori nel caso utilizzi sistemi decisionali o di monitoraggio automatizzati ai fini della assunzione o del conferimento dell’incarico, o per altre attività collegate al rapporto di lavoro e alla sua gestione.
Tra le informazioni ulteriori che il datore di lavoro, in qualità di titolare del trattamento, deve fornire all’interessato rientrano: gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati; il funzionamento dei sistemi; i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni; le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; il livello di accuratezza, robustezza e cibersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
In applicazione del principio di liceità, correttezza e trasparenza, il Garante auspica che tutte le informazioni siano complessivamente fornite al lavoratore prima dell’inizio del trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in formato strutturato, di uso comune e leggibile anche da dispositivo automatico.
Considerato che l’impiego di tali sistemi decisionali o di monitoraggio automatizzati può comportare il trattamento d’informazioni associate in via diretta o indiretta ai dipendenti, il datore di lavoro deve, pertanto, rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.
Dovrà essere rispettato altresì il principio della “protezione dei dati fin dalla progettazione”, mediante l’adozione di misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e integrando nel trattamento le necessarie garanzie per tutelare i diritti e le libertà degli interessati.
Il trattamento dovrà essere, inoltre, conforme al principio della “protezione dei dati per impostazione predefinita”, ponendo in essere scelte tali da garantire che venga effettuato, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità. Ciò comporta quindi che, per impostazione predefinita, il titolare del trattamento non deve raccogliere dati personali che non siano necessari per la specifica finalità del trattamento.
Conseguentemente, il titolare del trattamento, anche quando utilizza sistemi tecnologici realizzati da terzi, dovrà eseguire, avvalendosi del supporto del responsabile della protezione dei dati, ove nominato, un’analisi dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, in particolare le norme nazionali che disciplinano le condizioni per l’impiego degli strumenti tecnologici sul posto di lavoro.
Possono poi essere impiegati anche strumenti e tecnologie, quali, ad esempio, software per il riconoscimento emotivo, strumenti di data analytics o machine learning, rete neurali, deep-learning, nonché sistemi per il riconoscimento facciale, sistemi di rating e ranking, che, nel contesto lavorativo, determinano un elevato livello di rischio per i diritti e le libertà degli interessati oggetto di specifica tutela nell’ambito del sistema di protezione dei dati personali. Infatti, le specificità delle tecnologie di questi sistemi, nonché la natura dei dati trattati (ad esempio, i dati biometrici e quelli relativi alle emozioni del lavoratore) e le funzionalità che spesso a essi sono associate, sollevano dubbi in ordine alla stessa proporzionalità del loro impiego, nonché di compatibilità con i principi generali in materia di protezione dei dati e con il quadro di garanzie in materia di libertà e dignità del lavoratore, potendosi, peraltro, porsi in contrasto con le disposizioni nazionali che vietano al datore di lavoro di trattare informazioni attinenti alla sfera privata del lavoratore.
Il Garante, infine, ha manifestato la propria disponibilità ad avviare un confronto sui temi in questione, anche al fine di superare le incertezze generatesi sul piano interpretativo e orientare le scelte sul fronte applicativo dei titolari del trattamento che hanno rivolto quesiti e richieste di chiarimento in proposito.