Il Garante privacy ha espresso un parere sugli obblighi informativi previsti dal Decreto Trasparenza in relazione ai sistemi decisionali e di monitoraggio automatizzati.
Dopo più di cinque mesi dall’entrata in vigore del D.lgs. 27 giugno 2022, n. 104 (il c.d. Decreto Trasparenza), il Garante per la protezione dei dati personali si è espresso sulle disposizioni di legge del decreto che presentano profili rilevanti in materia di protezione dei dati, in quanto, l’impiego dei c.d. sistemi decisionali e di monitoraggio automatizzati dà luogo a trattamenti di dati, riferiti a interessati, nel contesto lavorativo.
Il Garante si è principalmente espresso sulle informazioni ulteriori che il datore di lavoro deve fornire all’interessato, e sul loro rapporto con gli articoli 13, 14 e 22 del Regolamento UE 2016/679 (il GDPR). In particolare, il Garante specifica che la portata delle disposizioni del Decreto Trasparenza non sono da valutarsi come in contrasto con le informazioni minime dovute all’interessato ai sensi degli articoli 13 e 14, ma si tratta invero solo di un ulteriore livello di dettaglio in più rispetto a quanto previsto dalla normativa privacy.
Tra i rilievi più significativi, si segnala quanto segue:
Il contenuto degli obblighi informativi rispetto ai sistemi decisionali ai sensi del Decreto Trasparenza
Tra gli elementi che il datore di lavoro deve fornire, vi rientrano gli elementi riguardanti l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati, tra cui: gli aspetti del lavoro sul quale incide il sistema, il funzionamento di questi, i parametri utilizzati per programmare o addestrare il sistema, e gli altri elementi indicati all’articolo 4 del Decreto Trasparenza, che sono intesi come nuovi e aggiuntivi rispetto a quelli richiesti dal GDPR. Vi sono poi due elementi (i) la logica dei sistemi; e (ii) l’indicazione delle categorie di dati trattati, che il Garante ritiene essere solo specifiche degli articoli 13 e 14 del GDPR.
Il momento entro il quale devono essere assolti gli obblighi informativi
Il Garante interpreta le disposizioni del Decreto Trasparenza come applicabili sia ai rapporti lavorativi già instaurati, sia in ambito di selezione del personale (e.g., se vengono utilizzati sistemi di screening automatizzati di CV). In ragione di quanto espresso, il Garante ritiene che non vi siano dei termini precisi da rispettare per l’assolvimento degli obblighi informativi di cui al Decreto Trasparenza, ma che sia «auspicabile che tutte le informazioni siano complessivamente fornite al lavoratore prima dell’inizio del trattamento».
Inoltre, per quanto attiene ai sistemi nello specifico, il Garante precisa che, considerato che l’impiego di tali sistemi può comportare il trattamento di informazioni relative ai dipendenti, occorre in ogni caso che il titolare verifichi la sussistenza di un idoneo presupposto di liceità – a tale proposito, deve essere sempre verificata la sussistenza dei presupposti di liceità stabili dall’articolo 4 della l. 20 maggio 1970, n. 300 (lo Statuo dei Lavoratori), nonché il rispetto delle norme in tema di minimizzazione del trattamento.
Infine, occorre valutare se i sistemi impiegati danno luogo anche a un processo decisionale automatizzato: in questi casi troverà applicazione l’articolo 22 del GDPR, che stabilisce le ipotesi in cui l’interessato può decidere di non essere sottoposto a tali trattamenti.
L’Impatto per le aziende
Nonostante la tardività del parere, il Garante ha inteso sottolineare l’importanza delle disposizioni di legge del Decreto Trasparenza, evidenziando che non sono da valutarsi in contrasto con la normativa privacy, ma solo come una ulteriore specifica.
Il parere ci fa pensare che le autorità abbiano tardato l’enforcement del Decreto Trasparenza, nonostante la norma sia entrata in vigore ad agosto, per consentire alle aziende di avere più tempo per conformarsi. Tuttavia, vista l’attenzione che il Garante ha ora posto ora su tali disposizioni di legge, da un punto di vista privacy, sarà necessaria una conformità al più presto rispetto agli obblighi informativi di cui al Decreto Trasparenza.
Maggiori approfondimenti sugli obblighi privacy derivanti dal Decreto Trasparenza sono disponibili in questo articolo: “Decreto Trasparenza: Nuovi obblighi anche privacy di informazione su utilizzo di sistemi decisionali automatizzati”.