Decreto Trasparenza, valutazione d’impatto preventiva per i sistemi decisionali automatizzati

Il Garante privacy è intervenuto, nella newsletter del 24 gennaio 2023, sul decreto Trasparenza (Dlgs 104/2022), con l'intento di fornire interpretazioni e suggerire prassi applicative.
Il decreto è stato emanato in attuazione della direttiva comunitaria 1152/2019, relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea. La direttiva prevede (e il decreto trasparenza conferma) una serie di obblighi informativi, tra gli altri, sulle condizioni di lavoro, la durata dell'orario di lavoro, i permessi e in genere tutti gli istituti del rapporto di lavoro.
Il legislatore italiano però, rispetto al contenuto della direttiva, ha inserito nel decreto una serie di ulteriori obblighi, che a livello europeo sono ancora in discussione e che vedranno probabilmente la luce (non si sa ancora in quale forma) con l'approvazione della direttiva sul miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali, nonché del regolamento sull'intelligenza artificiale.
Ci si riferisce agli obblighi informativi relativi all'utilizzo da parte del datore di lavoro «di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini dell'assunzione o del conferimento dell'incarico, della gestione e della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori».
Ed è su questi obblighi che il Garante ha ritenuto necessario intervenire, considerato che l'impiego dei predetti sistemi dà certamente luogo a un trattamento di dati personali e che tale trattamento va coordinato con la normativa in materia.
Tuttavia anche l'intervento del Garante non vale a dissipare i dubbi su cosa si intenda per sistemi automatizzati, locuzione di cui egli stesso riconosce l'indeterminatezza e genericità. E in particolare quale sia il grado di automazione che fa rientrare un sistema nel perimetro della norma, considerato anche che i sistemi unicamente automatizzati sono oggetto di una specifica disposizione del Gdpr (articolo 22), che ne regolamenta l'utilizzo. Secondo l'interpretazione fornita il 20 settembre 2022 dall'Ispettorato del lavoro (circolare 19) si tratta di due tipologie di sistemi: quelli che attraverso l'attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale siano in grado di generare decisioni automatizzate e quelli deputati al controllo sempre con le medesime caratteristiche. A titolo esemplificativo vengono individuate le seguenti ipotesi: la profilazione automatizzata dei candidati, lo screening dei curricula, l'utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, eccetera; gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell'orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, eccetera., attraverso analisi statistiche, strumenti di data analytics o machine-learning, reti neurali, deep-learning, eccetera.
Sul versante del controllo e del monitoraggio della prestazione lavorativa l'identificazione è ancora più incerta: basti pensare che vengono (del tutto impropriamente) menzionati, tra gli altri, i tablet e i gps.
Secondo il Garante, è rispetto a tutti questi strumenti che il datore di lavoro ha l'obbligo in primo luogo di verificare la liceità e la proporzionalità del trattamento e la corrispondenza con quanto previsto dall'articolo 8 dello Statuto dei lavoratori, che vieta qualunque trattamento che non sia rilevante al fine di verificare l'attitudine del lavoratore.
Inoltre, proprio tenuto conto della peculiarità dei dati trattati, il Garante invita il datore a effettuare una valutazione d'impatto preventiva. E ancora: sarà necessario che il trattamento sia effettuato attraverso sistemi progettati per limitare acquisizioni di dati ulteriori rispetto alle finalità e sia conforme ai principi della protezione dei dati per impostazione predefinita.
Di tutto quanto detto sopra, il datore dovrà informare il lavoratore attraverso un unico documento (informativa privacy), specificando altresì gli strumenti di cybersecurity utilizzati e il loro funzionamento.
Insomma, una serie di obblighi (con relative sanzioni) particolarmente rilevanti, di non agevole comprensione e di ancor più difficile applicazione, di cui peraltro non vi è traccia nella direttiva che il decreto Trasparenza ha inteso attuare.
Una fuga in avanti del legislatore nazionale, che avrebbe meritato maggiore ponderazione, e che non è troppo tardi per correggere.