Il Decreto Trasparenza (D.lgs 104/2002), entrato in vigore lo scorso 14 agosto 2022, ha introdotto ulteriori e specifici obblighi informativi in capo al datore di lavoro che utilizzi “sistemi decisionali o di monitoraggio automatizzati” deputati a fornire indicazioni rilevanti ai fini della gestione del rapporto di lavoro nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.
Con la circolare n. 19 del 20 settembre 2022, il Ministero del Lavoro ha precisato che gli obblighi informativi di cui sopra sarebbero scattati “quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati”.
Nella medesima circolare, il Ministero ha citato alcune ipotesi, a titolo esemplificativo, di attività decisionale automatizzata, indicando assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, la determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, etc.
In tali ipotesi il datore di lavoro, è chiamato a fornire ulteriori informazioni – in aggiunta a quelle già previste dal GDPR- tra cui gli aspetti del rapporto di lavoro sui quali incide l'utilizzo di tali sistemi, gli scopi e le finalità dei sistemi utilizzati, la logica ed il funzionamento degli stessi, le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni, le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità, il livello di accuratezza, robustezza e cyber sicurezza dei sistemi.
Alla luce dei nuovi obblighi informativi, Il Garante Privacy, con newsletter del 24 gennaio 2023, ha osservato che la specificità di tali tecnologie potrebbe porsi in contrasto con le disposizioni nazionali che vietano al datore di lavoro di trattare informazioni attinenti alla sfera privata del lavoratore, visto che pongono in essere un trattamento di dati personali “particolarmente invasivo”.
L’Autorità , rendendosi disponibile ad avviare un confronto per superare le incertezze interpretative e orientare le scelte dei titolari del trattamento, ha quindi indicato i profili più delicati e le disposizioni del Regolamento Privacy da tenere a mente perché il trattamento sia lecito.
In particolare, in applicazione del principio di liceità, correttezza e trasparenza, l’Autorità auspica, per evitare la “frammentazione delle informazioni” destinate agli interessati e per “semplificare gli adempimenti richiesti al datore di lavoro”, che le informazioni siano fornite:
- complessivamente al lavoratore prima dell’inizio del trattamento;
- in forma concisa, trasparente, intelligibile e facilmente accessibile;
- con linguaggio semplice e chiaro;
- in formato strutturato, di uso comune e leggibile da dispositivo automatico;
- congiuntamente (quindi nello stesso documento) alle informazioni già previste dagli artt. 13 e 14 del Regolamento (es. informativa dipendenti);
Questo tipo di trattamento, potrebbe comportare inoltre l’acquisizione di informazioni associate in via diretta o indiretta ai dipendenti, quindi si rende necessario che il titolare del trattamento verifichi la sussistenza di un idoneo presupposto di liceità, oltre a valutare se l’utilizzo di tali sistemi possa presentare un rischio per i diritti e le libertà dei lavoratori.
Per fare ciò, in conformità del principio di responsabilizzazione e in considerazione della particolare vulnerabilità degli interessati, il titolare del trattamento, anche con il supporto del responsabile della protezione dei dati, dovrà:
- effettuare la preventiva “Valutazione di impatto” (DPIA);
- aggiornare il Registro delle attività di trattamento, col fine di fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione e di documentarne la conformità alla normativa privacy;
- valutare se i sistemi impiegati diano luogo anche a un processo decisionale unicamente automatizzato, compresa la profilazione. In questi casi deve comunque essere garantito all’interessato il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Per ogni ulteriore informazione scrivere a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.