Con comunicazione del 24 gennaio 2023, inviata al Ministero del Lavoro e all’Ispettorato Nazionale del Lavoro, il Garante della Privacy ha fornito chiarimenti in merito ad alcune questioni interpretative e applicative in materia di protezione dei dati, connesse all’entrata in vigore del D. Lgs. n. 104/2022 in materia di condizioni di lavoro trasparenti e prevedibili (c.d. “Decreto Trasparenza”), il quale, come noto, ha l’obiettivo di fornire ai lavoratori una maggiore trasparenza delle informazioni sulle condizioni e le caratteristiche del rapporto di lavoro (si veda la news pubblicata il 3 agosto 2022).
In particolare, il Garante, nella comunicazione in esame, ha prestato particolare attenzione sul tema del corretto assolvimento degli obblighi informativi nell’ipotesi di utilizzo di sistemi decisionali o di monitoraggio automatizzati, deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni, nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori, al fine di chiarire talune conflittualità (si veda la news pubblicata in data 12 settembre 2022) tra le disposizioni previste dal Decreto Trasparenza e alcune norme preesistenti del GDPR – Regolamento UE 2016/679.
Infatti, l’utilizzo nel contesto lavorativo di strumenti di intelligenza artificiale maggiormente invasivi, quali, ad esempio, “machine learning”, “rating” e “ranking” (ossia, programmi di apprendimento automatico, indicatori di valutazione), suscita dubbi in merito alla stessa proporzionalità del loro impiego e rischia di porsi in contrasto con i principi di protezione dei dati e con le norme nazionali di settore a tutela della libertà, della dignità e della sfera privata del lavoratore, vista la natura dei dati trattati (si pensi, ad esempio, ai dati biometrici e quelli relativi alle emozioni del lavoratore).
1. Contenuto e momento entro il quale devono essere assolti gli obblighi informativi nell’ipotesi di utilizzo di sistemi decisionali o di monitoraggio automatizzati
Il Garante chiarisce, innanzitutto, che, nell’ipotesi di utilizzo di sistemi decisionali o di monitoraggio automatizzati previsti dal “Decreto Trasparenza”, gli obblighi informativi che devono essere forniti dal datore di lavoro, in quanto “titolare del trattamento”, non sostituiscono, ma si aggiungono a quelli già previsti dal GDPR (Art. 13 e 14 GDPR “informazioni da fornire”). Pertanto, viene raccomandato al datore di lavoro di fornire a ciascun lavoratore, congiuntamente (ovvero nello stesso documento), le specifiche informazioni sui predetti sistemi e, in particolare, le informazioni di cui agli artt. 13 e 14 del GDPR. Viene, altresì, raccomandato che tali informazioni debbano essere fornite al lavoratore prima dell’inizio del trattamento, in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Viene ribadito, con riferimento ai rapporti di lavoro già instaurati alla data del 1° agosto 2022, che i lavoratori possono ottenere le predette informazioni, a seguito di specifica richiesta scritta rivolta al datore di lavoro, il quale è tenuto a fornire riscontro entro 60 giorni. Resta salvo il diritto per l’interessato di ottenere l’accesso ai propri dati personali comprese le ulteriori informazioni previste dal Decreto Trasparenza alle condizioni e nei tempi previsti dall’art. 15 del GDPR in materia di diritto di accesso ai propri dati personali.
Con riferimento, invece, ai rapporti di lavoro instaurati successivamente a tale data, gli obblighi informativi aggiuntivi devono essere adempiuti, come previsto dall’art.1, comma 2, del “Decreto Trasparenza”, prima dell’inizio dell’attività lavorativa.
2. Sistemi decisionali o di monitoraggio automatizzati
Considerato che l’adozione dei sistemi decisionali o di monitoraggio automatizzati possono comportare il trattamento di informazioni associate in via diretta o indiretta ai lavoratori (vista anche l’indeterminatezza e genericità della locuzione contenuta nel Decreto Trasparenza), il Garante ritiene necessario che il datore di lavoro, quale titolare del trattamento, prima di effettuare trattamenti di dati personali dei lavoratori attraverso l’impiego di tali sistemi, verifichi la sussistenza delle condizioni di liceità stabilite dalla disciplina in materia di controlli a distanza (art. 4 della L. n. 300/1970 “Impianti audiovisivi”, cui fa rinvio l’art. 114 del Codice della Privacy “Controllo a distanza”), nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni e fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque attinenti alla sua sfera privata (art. 8 della L. n. 300/1970 “Divieto di indagini sulle opinioni”, cui fa rinvio l’art. 113 del Codice della Privacy “Raccolta di dati e pertinenze”).
A ciò si aggiunga che, in attuazione del principio di responsabilizzazione, secondo il quale i titolari del trattamento devono assicurare il rispetto dei principi applicabili al trattamento dei dati personali, spetta al titolare valutare se i trattamenti che si intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerati la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (art. 35 GDPR “Valutazione di Impatto sulla protezione dei dati”).
3. Registro delle attività di trattamento
Il GDPR prevede, come noto, tra gli obblighi generali in capo al titolare del trattamento connessi alle attività di trattamento dei dati personali, quello di redigere il registro delle attività di trattamento, qualora ricorrano i relativi presupposti. Lo scopo del registro è quello di fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione e di consentire al titolare di annoverare i trattamenti effettuati e documentarne la conformità alla disciplina in materia di protezione dei dati personali. Il Garante precisa che, in considerazione della funzione del registro, il datore di lavoro, titolare del trattamento, non è tenuto ad informare gli interessati della predisposizione del registro e di ogni aggiornamento dello stesso.
Per leggere il testo della comunicazione del Garante della Privacy clicca qui [1]