Garante Privacy: attenzione all’accountability nella gestione dei dati

L'art. 4 del Decreto Trasparenza introduce nel D.Lgs. 152/97, l'art. 1-bis nuovi obblighi informativi a carico del datore di lavoro. In particolare, gli aspetti del rapporto di lavoro sui quali si è soffermata l'Autorità con nota del 24 gennaio 2022 riguardano:

• l'utilizzo dei sistemi decisionali o di monitoraggio automatizzati;
• il funzionamento dei sistemi;
• i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni;
• le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
• il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Alcuni dei nuovi obblighi informativi invocano quanto già previsto dagli artt. 13 e 14 GDPR, altri costituiscono, invece, una specificazione degli stessi.

L'esigenza di coordinamento scaturisce, altresì, ai fini di una corretta interpretazione sulla legittimità dei trattamenti inclusi nel Decreto e richiamate nella Circolare interpretativa del Ministero del lavoro n. 19/2022. Secondo quest'ultima, infatti, rientrano nei processi che devono essere oggetto di obblighi informativi strumenti e tecnologie, quali, ad esempio, software per il riconoscimento emotivo, “strumenti di data analytics o machine learning, rete neurali, deep-learning, nonché sistemi per il riconoscimento facciale, sistemi di rating e ranking.

L'obiettivo del Legislatore europeo

Tali trattamenti comportano un'invasività nella sfera di riservatezza del lavoratore sicché l'Autorità ribadisce la necessità un'interpretazione dinamica che non trascuri le tutele poste dalla regolamentazione europea e in particolare quelle fissate dall'art. 22 GDPR.

Quest'ultima disposizione disciplina la protezione dei dati personali dell'interessato trattati tramite dati processi decisionali automatizzati, compresa la profilazione, che producono effetti giuridici o analoghi sulla sua persona. Con tale norma, il Legislatore europeo ha inteso irrobustire le tutele prevedendo ulteriori garanzie per l'interessato: il titolare del trattamento risulta, infatti, tenuto ad attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, e almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

Il lavoratore deve essere, pertanto, posto nelle condizioni di conoscere il trattamento automatizzato dei dati che lo riguarda. Risulta, pertanto, fondamentale il rispetto delle prescrizioni di cui all'art. 13 del GDPR il quale, alla lettera f) del paragrafo 2, sancisce l'obbligo di comunicare all'interessato informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. A ciò si unisce quanto disposto dal Considerando 59, secondo il quale risulta opportuno, per il titolare del trattamento, agevolare da parte dell'interessato l'esercizio del diritto di accesso. Il Considerando 71 integra i già menzionati diritti con quello di ottenere una specifica spiegazione della decisione presa dal processo decisionale automatizzato.

Invero, l'art. 15 del GDPR, che riconosce all'interessato il diritto di accesso ai dati personali trattati dal titolare, richiama quanto disposto dall'art. 13, ribadendo il diritto dell'interessato ad accedere a tali informazioni.

L'intervento del Garante

A tali prescrizioni, il Garante nella nota interpretativa in esame ricorda la necessità di focalizzare, altresì, la tutela relativamente alla legittimità del trattamento che potrebbe essere minacciata dal mancato rispetto dell'art. 114 del Codice privacy. Lo stesso cita il rispetto dell'art. 4 dello Statuto dei Lavoratori che, come noto, intende porre in garanzia della riservatezza e della dignità del lavoratore determinati limiti al controllo tecnologico del lavoratore che potrebbe scaturire dall'utilizzo dei sistemi decisionali e di monitoraggio automatizzati.

Il Garante ribadisce l'importanza il principio di accountability che impone l'adozione di determinate misure volte a garantire l'applicazione di tutti gli adempimenti necessari al rispetto delle prescrizioni privacy. Tra queste, la valutazione d'impatto che ai sensi dell'art. 35 del GDPR risulta obbligatoria ogni qualvolta il trattamento dei dati personali che si intende realizzare presenti dei rischi elevati per le garanzie e i diritti degli interessati.

Nel verificare la sussistenza dell'obbligo di procedere ad una valutazione di impatto, il titolare del trattamento deve tenere conto delle indicazioni fornite anche a livello europeo sul punto, in merito, in particolare al fatto che l'impiego nell'ambito lavorativo di sistemi che comportano il monitoraggio sistematico, inteso come trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti può presentare rischi, in termini di possibile monitoraggio dell'attività dei dipendenti.

In virtù del principio di accountability, l'Autorità rammenta la conformità all'obbligo di privacy by design e privacy by default di cui all'art.  25 del GDPR secondo i quali il titolare del trattamento deve realizzare scelte tali da garantire che, per impostazione predefinita, venga effettuato solo il trattamento necessario a raggiungere una lecita e specifica finalità.

Infine, relativamente al diritto di accesso il Decreto prevede che con riguardo ai rapporti di lavoro instaurati anteriormente al 1° agosto 2022 i dipendenti possono ottenere i già menzionati elementi informativi a seguito di specifica richiesta scritta rivolta al datore di lavoro, il quale è tenuto a fornire riscontro entro 60 giorni.  L'Autorità nella nota interpretativa in commento precisa che il riconoscimento del diritto di accesso nel termine sopra indicato non compromette l'esercizio del diritto di accesso nei modi e nei termini indicati dall'art. 15 del GDPR.