Sistemi automatizzati in contesti lavorativi: le indicazioni del Garante della privacy

Informative privacy “congiunte”, alto livello di attenzione e rigorose garanzie a tutela dei lavoratori. Sono solo alcune delle indicazioni fornite dal Garante privacy sui nuovi obblighi informativi e sulle modalità di utilizzo di sistemi decisionali o di monitoraggio automatizzati inseriti in contesti lavorativi. Le prime indicazioni, diffuse a fine gennaio scorso e inviate dal Garante per la protezione dei dati personali al ministero del Lavoro e all’Ispettorato Nazionale del Lavoro, si sono rese necessarie a seguito di numerosi quesiti posti da imprese e Pa, che si sono trovate a dover applicare le nuove disposizioni previste dal decreto Trasparenza (Dlgs 104/2002) nel pieno dell’agosto scorso.

Il decreto, dando attuazione alla Direttiva Ue 2019/1152, in materia di condizioni di lavoro trasparenti e prevedibili nell’Unione europea, ha introdotto nuovi ed importanti obblighi informativi in capo al datore di lavoro. Nei nuovi adempimenti è compreso il dovere di fornire un’informazione trasparente e “qualificata” (con precisi “elementi” informativi) nel caso in cui il datore di lavoro decida di utilizzare, nell’ambito della gestione del rapporto lavorativo, sistemi decisionali o di monitoraggio automatizzati. Tali strumenti raccolgono e rielaborano un elevato numero di dati personali dei lavoratori, pertanto è evidente come impattino fortemente sull'ambito della data protection.

Ecco perché il Garante privacy interviene per sottolineare la stretta correlazione delle nuove norme con quelle già previste dalla disciplina in materia di protezione dei dati personali, fornendo interessanti indicazioni per promuovere la consapevolezza dei titolari dal trattamento rispetto a un’attuazione coordinata ed efficace del decreto Trasparenza in rapporto al Gdpr e al Codice privacy.

Il nuovo articolo 1-bis del decreto, disposizione inserita nel corpus legislativo del Dlgs 157/1997, “costringe” ora il datore di lavoro pubblico o privato ad informare il lavoratore sull’utilizzo di sistemi decisionali o di monitoraggio automatizzati che possano influenzare decisioni riguardanti l’assunzione o il conferimento di incarichi, l’assegnazione di compiti o mansioni, la gestione del rapporto contrattuale fino all’ambito della valutazione delle prestazioni lavorative.

Tra le informazioni che il datore di lavoro, in qualità di titolare del trattamento, deve fornire all’interessato (lavoratore) rientrano: gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi decisionali o di monitoraggio automatizzati; il funzionamento dei sistemi; i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni; le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Tali obblighi informativi, ha chiarito il Garante privacy, non sostituiscono quelli già previsti dal Gdpr e trasfusi nella cosiddetta “informativa privacy”, ma si aggiungono ad essi. Tra gli elementi che, invece, specificano la portata di quanto già previsto dal Gdpr rientrano la logica dei sistemi decisionali o di monitoraggio automatizzati e l'indicazione delle categorie di dati trattati, che nel Gdpr è specificamente prevista solo qualora i dati oggetto di trattamento non siano ottenuti presso l'interessato.

Il Garante privacy raccomanda che le specifiche informazioni riguardanti i sistemi decisionali o di monitoraggio automatizzati siano fornite congiuntamente alle informazioni contenute nell'informativa privacy ex articoli 13 e 14 Gdpr (quindi nello stesso documento), prima dell'inizio dell'attività lavorativa. La possibilità di fornire al lavoratore un unico documento, contenente entrambi i “gruppi” di informazioni, riguarda i rapporti di lavoro instaurati successivamente al 1° agosto 2022. Mentre i dipendenti che hanno iniziato il rapporto di lavoro precedentemente a tale data possono ottenere tutte le informazioni previste a seguito di specifica richiesta scritta rivolta al datore di lavoro. Le informazioni vanno trasmesse in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, nonché in formato strutturato, di uso comune e leggibile da dispositivo automatico.

Si potrebbe anche aggiungere, riguardo agli aspetti “formali” delle informative (congiunte), la preferenza per una redazione dei documenti in grado di evidenziare, con l’aiuto di titoletti e paragrafi dedicati, le informazioni riguardanti l’ambito del decreto Trasparenza, considerando di applicare le più moderne tecniche del legal design.

Altri adempimenti privacy da “armonizzare” Il Garante privacy pone anche l'accento sulla verifica della sussistenza di idonei presupposti di liceità prima di decidere di utilizzare sistemi decisionali o di monitoraggio automatizzati. L’adozione di sistemi di monitoraggio nel contesto lavorativo deve sempre essere sempre preceduta da una preliminare verifica delle condizioni di liceità stabilite dalla disciplina in materia di controlli a distanza (articolo 4, Statuto dei lavoratori), nonché da una valutazione dei rischi per verificarne l'impatto sui diritti e sulle libertà degli interessati.

L’Autorità di controllo “mette in guarda” i datori di lavoro riguardo all'adozione di strumenti con logiche di machine learning, di rating e ranking, sistemi particolarmente invasivi che pongono criticità in termini di proporzionalità e necessario bilanciamento con i principi di protezione dei dati e con le norme nazionali di settore a tutela della libertà, della dignità e della sfera privata del lavoratore. Sulla tematica, infine, del registro del trattamento del suo necessario aggiornamento, in seguito all’eventuale inserimento di sistemi automatizzati e di monitoraggio, viene chiarito che il titolare del trattamento non è tenuto a informare gli interessati della predisposizione del registro e di ogni suo successivo aggiornamento.