sabato, Giugno 15, 2024
Labourdì

Il Garante Privacy sui sistemi di controllo automatizzati di cui al DL Trasparenza

A cura di Nicola Numeroso

 

Come noto, in data 13 agosto 2022 è entrato in vigore il cd. Decreto Trasparenza, d.lgs. 27 giugno 2022 n. 104, di attuazione della direttiva (UE) 2019/1152, che tra le varie modifiche in materia di contratti e rapporti di lavoro, ha introdotto al d.lgs. 26 maggio 1997, n. 152 ulteriori e specifici obblighi informativi per il datore di lavoro in caso di suo ricorso a sistemi decisionali o di monitoraggio automatizzati ai fini della gestione del rapporto di lavoro, dell’assegnazione di compiti e mansioni, ovvero per la sorveglianza e valutazione sulle prestazioni dei lavoratori (nuovo art. 1-bis d.lgs. n. 152/1997 introdotto dall’art. 4 d.lgs. n. 104/2022).

Trattasi di strumenti e tecnologie che, specie se impiegati nel contesto lavorativo, hanno un impatto rilevante in materia di protezione dei dati, determinando un elevato livello di rischio per i relativi diritti e libertà degli interessati, risulta pertanto necessario che nella applicazione di tale nuova disposizione si tenga conto della normativa in materia di protezione dei dati personali (Regolamento (UE) 2016/679; d.lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali); come del resto suggerito dallo stesso Decreto Trasparenza ove fa riferimento alla disciplina in materia di protezione dei dati personali nel caso di eventuali violazioni.

Pertanto, a tal fine, è intervenuto con apposito parere il Garante per la Privacy fornendo le prime utili indicazioni atte a conciliare il rispetto del Gdpr con il Decreto Trasparenza e supportare i datori di lavoro pubblici e privati nella corretta applicazione della normativa, fornendo così chiarimenti in merito alle questioni interpretative e applicative in materia di protezione dei dati sorte con l’introduzione di tali nuovi obblighi informativi.

Il Garante infatti si concentra nell’offrire un’interpretazione sistematica delle disposizioni del Decreto, alla luce della disciplina eurounitaria in materia di protezione dei dati.

Il Garante ha così innanzitutto chiarito che gli obblighi informativi introdotti per i datori di lavoro dal Decreto Trasparenza nel caso di utilizzo di sistemi automatizzati ai fini delle assunzioni o del conferimento dell’incarico non sostituiscono quelli già previsti dal GDPR, ricordando altresì che l’introduzione di tali nuove garanzie non modifica le tutele già previste dal Regolamento UE per la protezione dei dati personali e dallo Statuto dei lavoratori.

L’adozione di sistemi di monitoraggio nel contesto lavorativo deve quindi essere sempre oggetto di una preliminare verifica da parte del datore di lavoro delle condizioni di liceità stabilite dalla disciplina in materia di controlli a distanza, nonché di una valutazione dei rischi volta a verificarne l’impatto sui diritti e libertà degli interessati (art. 35 GDPR), oltre che l’effettuazione delle verifiche richieste in qualità di titolare del trattamento ai sensi degli artt. 5 e 6 del GDPR.

Il datore di lavoro, titolare del trattamento, deve pertanto rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2 GDPR). In particolare, dovrà quindi essere sempre verificata la sussistenza dei presupposti di liceità stabiliti dall’art. 4 dello Statuto dei Lavoratori, cui fa rinvio l’art. 114 del codice della privacy (lo stesso comma 1 dell’art. 1-bis del Decreto Trasparenza prevede espressamente che “resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300”), nonché il rispetto delle disposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni e fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o afferenti la sua sfera privata (art. 8 Statuto e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del codice privacy).

Con lo stesso provvedimento inoltre il Garante interviene anche fissando delle più precise delimitazioni all’utilizzo dei dispositivi elettronici atti al controllo delle performance, sollevando altresì criticità in particolare con riferimento all’utilizzo di sistemi più avanzati ed invasivi come il machine learning, il rating ed il ranking.

In particolare, sul punto il Garante ha sottolineato che le criticità riguardo l’impiego di tali sistemi di monitoraggio sono ravvisabili con riferimento alla natura dei dati trattati (ad es. dati biometrici e quelli relativi alle emozioni del lavoratore) ed in tema di proporzionalità del loro impiego in quanto rischiano di porsi in contrasto sia con i principi di protezione e trattamento dei dati personali che con le norme nazionali di settore a tutela della libertà, dignità e sfera privata del lavoratore, oltre che con la disciplina in materia di impiego di strumenti tecnologici nel contesto lavorativo.

Resta in ogni caso fermo che la redazione di una valutazione d’impatto è sempre obbligatoria allorquando si faccia ricorso a “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche” (art. 35, par. 3, lett. a) GDPR).

Quanto poi alla trasmissione delle informazioni al lavoratore nel caso di effettivo svolgimento di attività di questo tipo, vista la ratio comune di cui al GDPR ed al nuovo Decreto, secondo cui il lavoratore deve essere reso edotto prima dell’inizio del trattamento in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, il Garante suggerisce di includere tutto direttamente all’interno dell’informativa privacy di cui agli articoli 13 e 14 GDPR, unendo così i due documenti. Uniformandosi poi sul punto al regime transitorio già previsto dal Decreto Trasparenza prevedendo che per i rapporti di lavoro instaurati anteriormente alla data di entrata in vigore dello stesso, 1° agosto 2022, i lavoratori possono ottenere l’informativa del d.lgs. n. 104/2022 previa specifica richiesta scritta rivolta al datore, il quale è tenuto a fornire riscontro entro 60 giorni.

Il Garante ricorda infine che il datore di lavoro è sempre tenuto al rispetto dei principi generali del trattamento (liceità, privacy by design e by default) e a porre in essere tutti gli adempimenti previsti dalla normativa in materia di trattamento dei dati personali, analisi dei rischi, valutazione d’impatto, redazione del registro attività avvalendosi del supporto del Data Protection Officer.

In estrema sintesi, con il suo parere è ravvisabile da parte del Garante una critica verso questo ultimo intervento del legislatore, il quale sembra come se desse per scontato che sia perfettamente lecito fare questi monitoraggi e controlli automatizzati sui lavoratori, senza considerare invece quanto stabilito in linea generale dal GDPR che soprattutto con l’art. 22 stabilisce quale norma generale il divieto di fare uso di sistemi automatizzati, salvo eccezioni o condizioni specifiche, e comunque richiedendo sempre l’intervento umano, così quindi rimarcando e ricordando il ristretto campo stabilito dallo stesso GDPR.

Qui il testo del parere : Parere GDP

 

Lascia un commento