Sintesi della notizia
Ai fini della privacy, i nuovi obblighi informativi per i lavoratori imposti dal Decreto trasparenza sono previsti qualora il datore di lavoro utilizzi “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Approfondimento
Il D.Lgs. n. 104/2022, emanato in attuazione della Direttiva 2019/1152 in materia di condizioni di lavoro trasparenti e prevedibili nell’UE, ha introdotto nuovi ed ulteriori obblighi informativi in capo ai datori di lavoro, nel caso in cui vengano utilizzati “sistemi decisionali o di monitoraggio automatizzati“.
Per sistemi decisionali o di monitoraggio automatizzati si intendono quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate. La caratteristica di generare decisioni automatizzate appare quindi il discrimine per quei processi che ricadono sotto l’applicazione della norma in commento e per i quali sussiste l’obbligo dell’informativa anche nel caso di intervento umano meramente accessorio.
Nella sostanza, il decreto legislativo richiede che il datore di lavoro proceda all’informativa al lavoratore quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati.
In primo luogo il Garante privacy raccomanda che il titolare del trattamento verifichi la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali sistemi. Oltre a ciò dovranno essere rispettate le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.
In secondo luogo raccomanda il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni e fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata.

Soggetti interessati
I nuovi obblighi informativi introdotti dal Decreto trasparenza si applicano ai seguenti contratti:
• lavoro subordinato, a tempo determinato/indeterminato/parziale, lavoro agricolo compreso;
• lavoro somministrato;
• lavoro intermittente;
• collaborazione con prestazione prevalentemente personale e continuativa organizzata dal committente;
• collaborazione coordinata e continuativa;
• prestazione occasionale;
• rapporti di lavoro dei dipendenti PA;
• lavoro marittimo e della pesca;
• lavoro domestico.

Diversamente, le disposizioni in oggetto non si applicano ai seguenti rapporti di lavoro:
• lavoro autonomo (purché non integrante collaborazioni coordinate e continuative);
• tempo di lavoro predeterminato ed effettivo di durata pari o inferiore a una media di tre ore a settimana in un periodo di riferimento di quattro settimane consecutive;
• agenzia e rappresentanza commerciale;
• collaborazione prestata da familiari conviventi;
• amministrazioni pubbliche in servizio all’estero.

Il contenuto degli obblighi informativi
Il Decreto trasparenza all’articolo 4 indica le specifiche informazioni che il datore di lavoro deve fornire al lavoratore, nel caso in cui venga posto in essere un trattamento di dati personali attraverso sistemi decisionali o di monitoraggio automatizzati; come chiarito dal Garante, alcune informazioni costituiscono una novità rispetto a quanto già previsto dal GDPR, mentre altre costituiscono una specificazione di elementi informativi già individuati dalla disciplina generale di protezione dei dati personali.

Nuovi elementi informativi
Tra le informazioni ulteriori che il datore di lavoro, titolare del trattamento, deve fornire all’interessato, rientrano quelle relative a:
• gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati;
• il funzionamento dei sistemi;
• i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati (meccanismi di valutazione delle prestazioni inclusi);
• le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
• il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali/di monitoraggio automatizzati, le metriche utilizzate per misurare tali parametri e i relativi impatti potenzialmente discriminatori.

Valutazione d’impatto
Secondo quanto previsto dal GDPR, il titolare deve valutare se i trattamenti che intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche tali da rendere opportuna una preventiva valutazione di impatto sulla protezione dei dati personali.
Secondo quanto chiarito dal Garante, nel caso di utilizzo dei sistemi in esame è necessario considerare la presenza dei seguenti criteri:
• valutazione o assegnazione di un punteggio;
• processo decisionale automatizzato che ha effetti giuridici o che incide significativamente in modo analogo;
• trattamento di dati su larga scala;
• creazione di corrispondenze o combinazione di insiemi di dati;
• uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
• trattamento che impedisce agli interessati di esercitare un diritto/avvalersi di un servizio o di un contratto.

Il titolare dovrà effettuare una valutazione di impatto nel caso in cui il trattamento soddisfi almeno due dei citati criteri; la valutazione è in ogni caso obbligatoria nel caso in cui si faccia ricorso a una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche.

Protezione dei dati
Il Garante ricorda che, anche nel caso di utilizzo di sistemi decisionali/di monitoraggio è necessario:
• adottare misure tecniche ed organizzative adeguate ad attuare i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie per tutelare i diritti e le libertà degli interessati;
• porre in essere scelte tali da garantire che il trattamento venga effettuato per impostazione predefinita solo per quanto strettamente necessario a conseguire una specifica e lecita finalità; di conseguenza, il datore di lavoro non deve raccogliere dati personali che non siano necessari per la specifica finalità del trattamento.

Il titolare del trattamento dovrà quindi eseguire un’analisi dei rischi, e assicurarsi che siano disattivate le funzioni che non hanno una base giuridica/non sono compatibili con il trattamento/si pongono in contrasto con specifiche norme di settore.

Decorrenza e diritto di accesso
Le disposizioni introdotte dal Decreto trasparenza si applicano a tutti i rapporti di lavoro, compresi quelli già instaurati al 1° agosto 2022; nel caso di rapporti di lavoro instaurati:
• anteriormente a tale data, i dipendenti possono ottenere gli elementi informativi sopra descritti a seguito di specifica richiesta scritta rivolta al datore di lavoro, che dovrà fornire riscontro entro 60 giorni;
• successivamente a tale data, gli obblighi informativi devono essere adempiuti prima dell’inizio dell’attività lavorativa.

Secondo quanto chiarito dal Garante, è opportuno che le informazioni aggiuntive vengano fornite nello stesso documento di cui agli articoli 13 e 14, GDPR (vale a dire, nella medesima informativa privacy al lavoratore).