Il D.lgs. n. 104 del 27 giugno 2022 in materia di condizioni di lavoro trasparenti e prevedibili, il cosiddetto decreto trasparenza, è lo strumento legislativo nazionale attuativo della direttiva 2019/1152 del Parlamento europeo.
Tale documento introduce alcuni obblighi informativi a carico del datore di lavoro pubblico e privato e a favore del lavoratore.
Ciò premesso, cerchiamo di capire a cosa servono le Questioni interpretative e applicative del Decreto pubblicate dal Garante della Privacy e quali sono le principali indicazioni operative ivi fornite agli enti pubblici e alle imprese che devono applicare correttamente le disposizioni del decreto trasparenza.
In particolare, il Garante sottolinea l’importanza di conciliare le disposizioni di cui al D.lgs. 104/2022 con gli obblighi del Regolamento europeo 679/2016, meglio noto come GDPR (General Data Protection Regulation): quest’ultimo conserva la propria autonomia, ragione per cui le disposizioni del Decreto non possono essere considerate in alcun modo alternative alla disciplina in tema di protezione dei dati.
Quali sono gli obblighi informativi del decreto trasparenza?
Per comporre le due normative e fornire un quadro esaustivo a tutela dei dati personali, il Garante della Privacy ha emanato delle linee guida che spiegano in quale modo il decreto trasparenza e il GDPR si integrano, fermo restando l’assoluta validità delle norme in quest’ultimo contenute.
Le specifiche preliminari riguardano le tipologie di lavoratori per i quali il D.lgs. 104/2022 vale e le tempistiche:
- Il decreto trasparenza si applica a numerose tipologie di lavoratori, ma con diverse esclusioni come, ad esempio, i collaboratori esterni e i lavoratori autonomi. Per i soggetti valgono le regole di informativa, reclamo e opposizione come da artt. 13, 15 e 22 del GDPR.
- Le disposizioni del Decreto si applicano a tutti i rapporti di lavoro dipendenti, anche a quelli in essere prima del 1° agosto 2022 (data di entrata in vigore della Legge). Per i rapporti di lavoro instaurati anteriormente a tale data i dipendenti possono richiedere al datore di lavoro gli elementi informativi a seguito di una specifica richiesta scritta.
Entriamo adesso nel merito della novità focale del decreto trasparenza: il trattamento dei dati nei sistemi decisionali o di monitoraggio automatizzati. In tale situazione subentrano i seguenti principali obblighi informativi (sanciti dall’art. 4 del D.lgs. 104/2022 a integrazione degli artt. 13 e 14 del GDPR):
- il funzionamento dei sistemi;
- i dati utilizzati per addestrare e programmare i meccanismi decisionali o di monitoraggio automatizzati, compresi i parametri di valutazione delle prestazioni;
- gli aspetti del rapporto di lavoro sui quali impattano i sistemi decisionali o di monitoraggio automatizzati;
- il livello di cybersecurity e i criteri utilizzati per misurare tali performance;
- l’indicazione delle categorie di dati trattati.
Esempi pratici di sistemi di monitoraggio automatizzati
Abbiamo accennato agli obblighi informativi introdotti dal decreto trasparenza nel caso in cui il datore di lavoro privato o pubblico faccia uso di sistemi di monitoraggio automatizzati.
Ma quali sono gli strumenti decisionali o di controllo normati dal decreto trasparenza? Alcuni di essi sono considerati dal Garante particolarmente invasivi e impattanti, tra questi:
- Software per il riconoscimento emotivo;
- Sistemi per il riconoscimento facciale;
- Programmi di rating e di ranking;
- Strumenti di data analytics, machine learning e rete neurali.
Suddetti sistemi sono valutati a rischio elevato per la tutela della privacy e dei dati personali, dal momento che in pochi casi rispettano i principi di liceità e minimizzazione del dato previsti dal GDPR.
Vi sono poi tutta una serie di casistiche, ormai diventate prassi comune nei luoghi di lavoro, per i quali le norme del D.lgs. 104/2022 devono essere interpretate come prescrizioni di rafforzo e non come un via libera selvaggio all’impiego di decisori algoritmici.
Ecco alcuni casi d’uso pratici di sistemi automatici ampiamente diffusi:
- Rilevamento delle presenze;
- Monitoraggio dell’attività lavorativa in smart working;
- Videosorveglianza dei luoghi di lavoro;
- Rilevamento della posizione del lavoratore attraverso il compimento di una determinata mansione, come carico o scarico pacchi, mediante un palmare o altro dispositivo indossabile;
- Gestione della posta elettronica o delle videoconferenze quando si utilizzano piattaforme aziendali.
L’impatto della novità normativa sul monitoraggio automatizzato
Nelle linee guida il Garante della Privacy cita la norma di responsabilizzazione del titolare del trattamento dei dati a supporto della necessità di una valutazione preventiva dell’impatto sulla protezione dei medesimi.
In altre parole, è responsabilità del datore di lavoro valutare se il trattamento automatizzato, che intende adottare attraverso l’implementazione di sistemi tecnologici, presenta o meno un rischio elevato per i diritti e per la libertà dei lavoratori, considerati per definizione soggetti vulnerabili.
Se l’impiego di sistemi di decisione o di monitoraggio prevede un processo decisionale unicamente automatizzato, tale da produrre effetti giuridici o da incidere significativamente sulla persona interessata, bisogna garantire al lavoratore sia l’intervento umano di supervisione da parte del titolare del trattamento, sia il diritto di esprimere la propria opinione e di contestare la decisione.
In conclusione, secondo il Garante, il decreto trasparenza offre ai lavoratori un nuovo livello di tutela che integra e supporta le tutele previste dalla valutazione d’impatto come da art. 35 del GDPR e quelle sancite dall’art. 22, laddove si sia in presenza di una decisione unicamente automatizzata con effetti giuridici o assimilabili.