Decreto Trasparenza: l’autorità Garante fa chiarezza

Il Decreto Trasparenza si applica ai rapporti di lavoro, privati e pubblici, con contratto di lavoro subordinato, somministrato, intermittente, collaborazione con prestazione prevalentemente personale, prestazione occasionale.

Il testo normativo impone di fornire al lavoratore – entro termini temporali precisi - le informazioni sul rapporto di lavoro (articolo 1 D. lgs. 152/1997 novellato) e ha introdotto ulteriori specifici obblighi informativi nel caso di utilizzo di sistemi automatizzati a carico del datore di lavoro pubblico e privato in favore dei lavoratori (articolo 1-bis D. Lgs. 152/1997 novellato).

Dall’entrata in vigore del Decreto Trasparenza, i datori di lavoro – in qualità di titolari del trattamento - si sono per lo più preoccupati di adempiere agli obblighi lavoristici imposti dal testo normativo, in molti casi trascurando quasi totalmente gli aspetti relativi alla protezione dei dati personali connessi stante la difficoltà di comprendere a pieno la nozione di “sistema automatizzato” adottata dal Decreto Trasparenza.

A tal riguardo, la Circolare n. 19 del 20 settembre 2022 del Ministero del Lavoro – pur precisando che “che possono essere considerati automatizzati quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate (ndr., anche nel caso in cui sia previsto un intervento umano meramente accessorio)” - non è certo riuscita a dipanare dubbi e perplessità.

In questo contesto, in risposta ai numerosi dubbi e perplessità sollevati da pubbliche amministrazioni e imprese, è intervenuto il Garante per la protezione dei dati personali (l’ “Autorità”) con il provvedimento relativo a «Questioni interpretative e applicative in materia di protezione dei dati connesse all’entrata in vigore del d. lgs. 27 giugno 2022, n. 104 in materia di condizioni di lavoro trasparenti e prevedibili», pubblicato nella newsletter del 24 gennaio 2023.

Nel provvedimento, avuto riguardo agli aspetti data protection, fermi gli obblighi informativi previsti dal Decreto Trasparenza, l’Autorità ha preliminarmente, precisato la necessità di valutare il trattamento svolto nei confronti dei lavoratori in ottica di privacy by design e by default ai sensi dell’articolo 25 del Regolamento (UE) 2016/679 (“GDPR”) e nel rispetto degli articoli 113 e 114 del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018 (“Codice Protezione Dati”), che rinviano espressamente agli articoli 4 e 8 della L. 300/1970 (“Statuto dei Lavoratori”). 

A tal proposito, si ricorda che non soltanto le violazioni degli articoli del GDPR sono passibili di sanzioni (ai sensi dell’articolo 83, paragrafi 4 e 5 GDPR) ma anche degli articoli del Codice Protezione Dati (cfr. articolo 83, paragrafo 5, lett. d) GDPR).

Ferma la valutazione in termini di liceità del trattamento, si aggiungono ai già citati obblighi informativi (articoli 13 e 14 GDPR) diversi adempimenti in materia di protezione dei dati personali quali – a mero titolo esemplificativo e non esaustivo:

Al netto di quanto indicato, non si può prescindere da una piena comprensione da parte del titolare del trattamento della nozione di “sistema automatizzato” (cfr. Linee Guida sulla profilazione e sul ricorso a sistemi automatizzati elaborate dai garanti europei – c.d. WP29 – n. 251rev.01 del 3 ottobre 2017, riviste e adottate il 6 febbraio 2018), nonché da una piena conoscenza degli strumenti di trattamento aziendali nei confronti dei propri lavoratori realizzabile attraverso una verifica e mappatura interna dei sistemi, da condurre con le funzioni aziendali coinvolte.

In uno scenario come quello descritto, rispettare gli obblighi informativi e di trasparenza verso i lavoratori può essere visto dai titolari del trattamento come l’ennesimo “onere” imposto dalla normativa. Diversamente, è utile guardare al Decreto Trasparenza in termini di opportunità che può consentire di accrescere l’awareness aziendale e la fiducia da parte dei propri lavoratori in termini di trattamento dei propri dati.

Mappare adeguatamente gli strumenti aziendali può contribuire ad assicurare la piena governance del titolare del trattamento con il supporto delle funzioni aziendali coinvolte e delle funzioni indipendenti di governo e monitoraggio, quali ad esempio il Responsabile della qualità e il Responsabile della protezione dei dati.

È bene comunque ricordare che permangono ancora dubbi in tema di Decreto Trasparenza. Infatti, nel proprio provvedimento, l’Autorità ha manifestato la propria disponibilità ad avviare un tavolo di confronto con il Ministero e l’Ispettorato Nazionale del Lavoro volto a definire una corretta interpretazione delle norme introdotte dal cosiddetto Decreto Trasparenza.

Il momento è comunque propizio per i titolari del trattamento per agire e compiere le proprie valutazioni – stante anche il recente provvedimento dell’Autorità – senza attendere ulteriormente. Sebbene il Decreto Trasparenza possa essere passibile di future modifiche e integrazioni, si ricorda che la legge è già in vigore e con essa tutti gli adempimenti connessi.

Autori: