Data ProtectionDecreto trasparenza, i chiarimenti del Garante privacy

3 Febbraio 2023
https://studioiadecola.it/wp-content/uploads/2023/02/1675411453570.jpg
ASCOLTA ARTICOLO

Articolo pubblicato su altalex.

Dopo le circolari interpretative del Ministero del lavoro e delle Politiche sociali, il Garante interviene al fine di coordinare le reciproche posizioni e le linee interpretative in merito all’applicazione del Decreto trasparenza fornendo un’interpretazione sistematica, alla luce della disciplina eurounitaria in materia di protezione dei dati.

Il d.lgs. 27 giugno 2022, n. 104 di attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea (cd. “Decreto trasparenza”), introduce specifici obblighi informativi a carico del datore di lavoro pubblico e privato in favore dei lavoratori (leggi l’articolo Adempimenti privacy e prime indicazioni operative dopo il decreto trasparenza).

Scopo dell’iniziativa del Garante privacy è quella di orientare gli enti pubblici e le imprese che devono dare attuazione alle disposizioni del Decreto trasparenza e promuovere la consapevolezza dei titolari del trattamento rispetto ad un’attuazione, per quanto possibile, coordinata ed efficace delle nuove disposizioni, alla luce degli obblighi imposti loro dal Regolamento europeo 679/2016 “GDPR”.

1. Interazione del nuovo quadro regolatorio con la disciplina di protezione dei dati personali e sua compatibilità

Per quanto attiene ai profili rilevanti in materia di protezione dei dati, i nuovi obblighi informativi imposti dal Decreto trasparenza sono previsti qualora il datore di lavoro utilizzi “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Considerato che l’impiego dei predetti sistemi dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili (art. 4, par. 1, nn. 1) e 2), gdpr) nel contesto lavorativo, emerge, in via preliminare, la necessità che tale disciplina di settore sia coordinata, in sede applicativa, con la normativa in materia di protezione dei dati personali (gdpr) e d. lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali).

Nel quadro del gdpr, che ha previsto garanzie generali e uniformi su tutto il territorio dell’Unione in materia di trattamento di dati personali, la disciplina posta dal Decreto trasparenza, che trova applicazione sia qualora il trattamento da parte del datore di lavoro venga effettuato prima dell’instaurarsi del rapporto di lavoro che in costanza di rapporto, può quindi essere considerata una disciplina più specifica e di maggior tutela per gli interessati nel contesto lavorativo, pienamente compatibile con quanto previsto dall’art. 88 del Regolamento, in quanto introduce, a livello nazionale, misure più appropriate e specifiche, con riferimento all’attuazione, nel contesto lavorativo, del principio di trasparenza e garanzie determinate in caso di impiego di sistemi decisionali o di monitoraggio nell’ambito dei rapporti di lavoro.

2. Ambito soggettivo di applicazione

Con riferimento all’ambito soggettivo di applicazione della disciplina, l’art. 1 del Decreto trasparenza prevede che le disposizioni trovino applicazione nel caso di: contratto di lavoro subordinato, ivi compreso quello di lavoro agricolo, a tempo indeterminato e determinato, anche a tempo parziale; contratto di lavoro somministrato; contratto di lavoro intermittente; rapporto di collaborazione con prestazione prevalentemente personale e continuativa organizzata dal committente di cui all’art. 2, co. 1, del d. lgs. 15 giugno 2015, n. 81; contratto di collaborazione coordinata e continuativa di cui all’art. 409, n. 3, c.p.c.; contratto di prestazione occasionale di cui all’art. 54-bis del d. l. 24 aprile 2017, n. 50, convertito, con modificazioni, dalla l. 21 giugno 2017, n. 96.

Le norme di nuova introduzione si applicano altresì ai rapporti di lavoro dei dipendenti delle pubbliche amministrazioni di cui all’art. 1, co. 2, del d. lgs. 30 marzo 2001, n. 165, e a quelli degli enti pubblici economici, nonché ai lavoratori marittimi, ai lavoratori della pesca (fatta salva la disciplina speciale vigente in materia) e ai lavoratori domestici (fatta eccezione per le previsioni di cui agli artt. 10 e 11).

Restano quindi fuori dall’applicazione della norma i rapporti di lavoro autonomo di cui al titolo III del libro V del codice civile e quelli di lavoro autonomo di cui al d. lgs. 28 febbraio 2021, n. 36, purché non integranti rapporti di collaborazione coordinata e continuativa, di cui all’art. 409, n. 3, del c.p.c.; i rapporti di lavoro caratterizzati da un tempo di lavoro predeterminato ed effettivo di durata pari o inferiore a una media di tre ore a settimana in un periodo di riferimento di quattro settimane consecutive; i rapporti di agenzia e rappresentanza commerciale; i rapporti di collaborazione prestati nell’impresa del datore di lavoro dal coniuge, dai parenti e dagli affini non oltre il terzo grado, che siano con lui conviventi; i rapporti di lavoro del personale dipendente di amministrazioni pubbliche in servizio all’estero, limitatamente all’art. 2 del d. lgs. 26 maggio 1997, n. 152, come modificato dal Decreto; i rapporti di lavoro del personale di cui all’art. 3 del d. lgs. 30 marzo 2001, n. 165 (relativamente alle disposizioni di cui al Capo III del Decreto).

3. Gli obblighi informativi introdotti dal Decreto trasparenza

L’art. 4 del Decreto introduce, nel d. lgs. 26 maggio 1997 n. 152, l’art. 1-bis (“Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”) che indica le specifiche informazioni che, in aggiunta a quanto previsto dagli artt. 13 e 14 gdpr, il datore di lavoro ha l’obbligo di fornire al lavoratore, qualora tratti dati personali attraverso i predetti sistemi decisionali o di monitoraggio automatizzati.

Tra le informazioni ulteriori che il datore di lavoro, nella sua qualità di Titolare del trattamento, deve fornire all’interessato rientrano:

  • gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati;
  • il funzionamento dei sistemi;
  • i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cibersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse;
  • nonché la logica dei sistemi decisionali o di monitoraggio automatizzati, la cui indicazione, nell’impianto degli artt. 13 e 14, è espressamente richiesta nel caso di ricorso ai processi decisionali automatizzati, compresa la profilazione, di cui all’art. 22 gdpr e
  • l’indicazione delle categorie di dati trattati, che nel gdpr è specificamente prevista solo qualora i dati oggetto di trattamento non siano ottenuti presso l’interessato (art. 14, par. 1, lett. d), del Regolamento).

Per quanto concerne il momento entro il quale devono essere assolti gli obblighi informativi, la norma in commento stabilisce che le disposizioni del Decreto si applicano a tutti i rapporti di lavoro, anche a quelli già instaurati alla data del 1° agosto 2022. Per i rapporti di lavoro instaurati anteriormente a tale data è previsto che i dipendenti possano ottenere i predetti elementi informativi a seguito di specifica richiesta scritta rivolta al datore di lavoro. Con riferimento ai rapporti di lavoro instaurati successivamente a tale data gli obblighi informativi aggiuntivi devono essere adempiuti, per espressa disposizione normativa (art. 1, comma 2, del D.Lgs. 26 maggio 1997, n. 152), prima dell’inizio dell’attività lavorativa.

Valgono sul punto le già note raccomandazioni del Garante privacy, in applicazione del principio di liceità, correttezza e trasparenza (artt. 5, par. 1, lett. a), del Regolamento), anche per evitare la frammentazione delle informazioni destinate agli interessati e nella prospettiva di una semplificazione degli adempimenti richiesti al datore di lavoro, che tutte le informazioni siano complessivamente fornite al lavoratore prima dell’inizio del trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (v. art. 12 del Regolamento), nonché, come previsto dal comma 6 dell’art. 1-bis, “in formato strutturato, di uso comune e leggibile da dispositivo automatico”.

Per tali ragioni, le specifiche informazioni sui sistemi decisionali o di monitoraggio automatizzati dovranno essere integrate nell’informativa sul trattamento dei dati ai sensi degli artt. 13 e 14 gdpr.

4. Sistemi decisionali o di monitoraggio automatizzati. La Valutazione di impatto

L’art. 1-bis, introdotto dall’art. 4 del Decreto nel d.lgs. 26 maggio 1997, n. 152, individua specifici obblighi informativi in caso di ricorso, da parte del datore di lavoro, a “sistemi decisionali automatizzati. Per sistemi decisionali o di monitoraggio automatizzati si intendono quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate. La caratteristica di generare decisioni automatizzate appare quindi il discrimine per quei processi che ricadono sotto l’applicazione della norma in commento e per i quali sussiste l’obbligo dell’informativa anche nel caso di intervento umano meramente accessorio.

Nella sostanza, il decreto legislativo richiede che il datore di lavoro proceda all’informativa quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati.

In primo luogo il Garante privacy raccomanda che il titolare del trattamento verifichi la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a) e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali sistemi. Oltre a ciò dovranno essere rispettate le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento). In particolare, dovrà quindi essere sempre verificata la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice (lo stesso comma 1 dell’art. 1-bis del Decreto prevede espressamente che “resta fermo quanto disposto dall’ articolo 4 della legge 20 maggio 1970, n. 300”).

In secondo luogo raccomanda il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni e fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice). Gli artt. 113 e 114 del Codice sono infatti considerati, nell’ordinamento italiano, disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento, la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione determina l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

Inoltre, in attuazione del principio di responsabilizzazione (che impone l’adozione di adeguate misure tecniche e organizzative atte a garantire, e consentire al titolare di dimostrare, che il trattamento avvenga in conformità alla normativa vigente; cfr. artt. 5, par. 3, 24 e 25 del Regolamento), spetta al titolare valutare se i trattamenti che si intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerati la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (art. 35 del Regolamento).

In titolare, nel verificare la sussistenza dell’obbligo di procedere ad una valutazione di impatto deve tenere conto delle indicazioni fornite anche a livello europeo sul punto, in merito, in particolare alla particolare “vulnerabilità” degli interessati nel contesto lavorativo oltre al fatto che l’impiego nell’ambito lavorativo di sistemi che comportano il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” può presentare rischi, in termini di possibile monitoraggio dell’attività dei.

Considerato l’ambito di applicazione oggettivo del Decreto, possono, peraltro, venire in rilievo anche altri dei criteri individuati dal Comitato europeo per la protezione dei dati ai fini della valutazione dell’obbligo di redigere una valutazione d’impatto sulla protezione dei dati (valutazione o assegnazione di un punteggio; processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente; trattamento di dati su larga scala; creazione di corrispondenze o combinazione di insiemi di dati; uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative; trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto).

Come regola generale per i Titolari del trattamento si può considerare che un trattamento che soddisfi almeno due criteri debba formare oggetto di una valutazione d’impatto sulla protezione dei dati e che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che configuri un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d’impatto sulla protezione dei dati.

Resta in ogni caso fermo che la redazione di una valutazione d’impatto è sempre obbligatoria allorquando si faccia ricorso a “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche” (art. 35, par. 3, lett. a), del Regolamento).

In tale quadro, dovrà essere rispettato altresì il principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento) mediante l’adozione di misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati (art. 5 del Regolamento) e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati.

In attuazione del principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento), il titolare del trattamento, anche quando utilizza sistemi tecnologici realizzati da terzi, dovrà eseguire, avvalendosi del supporto del responsabile della protezione dei dati, ove nominato, un’analisi dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, in particolare le norme nazionali che disciplinano le condizioni per l’impiego degli strumenti tecnologici sul posto di lavoro.

Ricorda, poi, il Garante privacy l’obbligo generale in capo al Titolare di redigere e mantenere aggiornato il registro delle attività di trattamento al ricorrere dei relativi presupposti (art. 30 del Regolamento), strumento  per sua natura idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione di riferimento, indispensabile per consentire al titolare di censire i trattamenti effettuati e documentarne la conformità alla disciplina in materia di protezione dei dati personali.

Resta, infine, in capo al Titolare, l’onere (peraltro preesistente al Decreto trasparenza in quanto sancito all’art. 22 gdpr) di valutare attentamente se i sistemi impiegati diano luogo anche a un processo decisionale unicamente automatizzato, compresa la profilazione, che produca effetti giuridici o che incida significativamente sull’interessato. in questi casi trova applicazione l’art. 22 del Regolamento  che stabilisce le ipotesi in cui il diritto di non essere sottoposto a tali trattamenti può essere derogato e le garanzie per l’interessato, tra cui, in particolare, il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione (v. anche il cons. 71 del Regolamento, relativo alla adozione di misure tecniche e organizzative per garantire “che siano rettificati i fattori che comportano inesattezze di dati e sia minimizzato il rischio di errori”, nonché per scongiurare “effetti discriminatori” nei confronti degli interessati).

5. Accesso ai dati personali

Considerato che il Decreto prevede infine che con riguardo ai rapporti di lavoro instaurati anteriormente al 1° agosto 2022 i dipendenti possono ottenere i predetti elementi informativi a seguito di specifica richiesta scritta rivolta al datore di lavoro, il quale è tenuto a fornire riscontro entro 60 giorni (v. art. 16), precisa l’Autorità di controllo che resta salvo il dirittoper l’interessato di ottenere l’accesso ai propri dati personali comprese le ulteriori informazioni previste dal Decreto alle condizioni e nei tempi previsti dall’art. 15 gdpr.

https://studioiadecola.it/wp-content/uploads/2021/01/studio-legale-avvocato-iadecola-web-chiaro.png
Viale Bovio n. 161 - 64100 Teramo
348.54.44.842
PI. 01819860675
Follow on LinkedIn

Copyright © Studio Iadecola

Geminit Web Marketing