Decreto Trasparenza: ecco le indicazioni operative del Garante privacy
Il Decreto Trasparenza (Decreto legislativo 27 giugno 2022, n. 104 di attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea) ha introdotto, oltre a varie misure a tutela dei lavoratori, anche interessanti disposizioni che tutelano il lavoratore stesso in caso di utilizzo, da parte del datore di lavoro pubblico o privato, di sistemi decisionali o di monitoraggio automatizzato.
Proprio per comporre la disciplina del nuovo D.lgs. 104/2022 con la disciplina offerta dal GDPR in tema di sistemi decisionali automatizzati, il Garante Privacy è intervenuto il 24 gennaio elencando le Questioni interpretative e applicative del Decreto e offrendo le proprie indicazioni operative.
Quel che preoccupa il Garante è in particolare che i datori di lavoro finiscano per interpretare le disposizioni di cui al D.lgs. 104/2022 come sostitutive della disciplina in tema di protezione dei dati, che invece conserva la propria autonomia.
Decreto Trasparenza e decisioni automatizzate
La disciplina in tema di sistemi decisionali o di monitoraggio automatizzato trova spazio, nel D.lgs. 104/2022, all’articolo 2, che introduce nel D.lgs. 152 del 1997 un nuovo articolo 1-bis, rubricato “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”.
Secondo tale articolo il datore di lavoro deve previamente informare il lavoratore (nell’accezione ampia di questa categoria che ne fa il D.lgs. 104/2022) se utilizza sistemi decisionali o di monitoraggio automatizzati se questi sono “deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.
L’informativa che va resa al lavoratore (e che deve essere integrata nel caso di modifiche e comunicata con almeno 24 ore di anticipo rispetto alla loro adozione) in questo caso include:
- gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi automatizzati;
- gli scopi e le finalità dei sistemi automatizzati;
- la logica ed il funzionamento dei sistemi automatizzati;
- le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi automatizzati, inclusi i meccanismi di valutazione delle prestazioni;
- le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
- il livello di accuratezza, robustezza e cybersicurezza dei sistemi automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
Le decisioni automatizzate nel GDPR
Stiamo parlando quindi di nuovi e ulteriori obblighi rispetto a quelli imposti dal legislatore comunitario nel GDPR, il cui articolo 13 impone un’informativa limitatamente alla esistenza di un processo decisionale automatizzato, compresa la profilazione e, nel caso di decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo sull’interessato, di fornire informazioni significative sulla logica utilizzata, nonché sull’importanza e le conseguenze previste di tale trattamento nonché infine, sempre solo per le decisioni unicamente automatizzate con effetti giuridici o similari, l’articolo 22 prescrive di attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati, tra cui almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
La disciplina in tema di decisioni automatizzate contenuta nel GDPR è stata però accolta con perplessità dagli studiosi, e criticata perché generica e facilmente eludibile (il metodo più facile per sottrarsi alla parte più incisiva della disciplina è quello di “accompagnare” la decisione automatizzata ad una convalida umana, così da escludere che si possa parlare di decisione basata unicamente sul trattamento automatizzato.
Sebbene le linee guida del Gruppo Europeo dei Garanti abbiano precisato che non deve trattarsi di un intervento fittizio da parte dell’operatore umano, è evidente come sia difficile verificare qual è la soglia richiesta per ottenere tale intervento “effettivo” (qualcuno, anzi, dubita che sia sempre auspicabile l’intervento umano, che a volte è in grado di correggere in peius le decisioni algoritmiche, magari sommando ai pregiudizi del codice i propri).
Le linee guida del Garante
Proprio al fine di comporre queste due normative il Garante Privacy ha emanato le proprie indicazioni, manifestando anche la disponibilità ad avviare un tavolo di confronto per un’interpretazione condivisa della normativa.
L’Autorità, come anticipato, si preoccupa innanzitutto di ribadire che le disposizioni di cui al D.lgs. 104/22 non sostituiscono il GDPR, tanto che lo stesso Decreto fa salva l’applicabilità delle sanzioni previste dal GDPR.
Il Garante poi ammette, ed anzi auspica che l’informativa di cui al D.lgs. 104/22 venga fornita in una con l’informativa privacy rivolta al dipendente. Osta a questa ricostruzione (che infatti il Garante si limita ad incoraggiare e non ad imporre) il fatto che l’informativa di cui al D.lgs. 104/22 deve essere fornita al lavoratore prima dell’instaurazione del rapporto lavorativo, mentre l’informativa privacy va fornita nel momento in cui i dati sono ottenuti (e comunque entro un mese da tale data).
Un ulteriore coordinamento è necessario (e sottolineato dal Garante) quanto ai tempi per l’accesso ai dati. Secondo la disciplina di cui al D.lgs. 104/2022 i lavoratori già assunti alla data di entrata in vigore della nuova disciplina possono chiedere di ricevere le informazioni relative ai sistemi automatizzati in uso presso l’ente/azienda e ricevere riscontro entro 60 giorni, ma la normativa privacy prescrive, di regola, un riscontro entro 30 giorni. Il lavoratore ha quindi diritto a ricevere le informazioni di cui alla normativa privacy (nei limiti in cui la stessa sia applicabile al trattamento) entro 30 giorni, mentre potrà dover aspettare un altro mese per ottenere le informazioni di cui al D.lgs. 104/2022.
Il Garante si preoccupa poi di ricordare che le norma in tema di responsabilizzazione del titolare del trattamento rendono comunque necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.
Sarà il datore di lavoro a dover valutare se il trattamento automatizzato trattamenti che intende implementare presenta o meno un rischio elevato per i diritti e le libertà dei lavoratori. Sul punto va poi tenuto presente che l’elemento tecnologico (che necessariamente caratterizza decisioni e monitoraggio sistematico) è un costante richiamo del legislatore europeo nel sollecitare il ricorso ad una valutazione di impatto, nonché che il lavoratore è per definizione un soggetto vulnerabile.
Il Garante poi tiene a ricordare che il Decreto 104/2022 si applica a numerose tipologie di lavoratori, ma presenta alcune esclusioni (lavoratori autonomi, agenti, etc.), ebbene con riferimento ai soggetti esclusi dall’ambito di applicazione del Decreto il datore di lavoro deve comunque rispettare le disposizioni di cui agli artt. 13, 15 e 22 GDPR, in tema di informativa, reclamo, intervento umano e opposizione.
Il provvedimento del Garante si diffonde poi nel ricordare che i principi in tema di trattamento dei dati personali (liceità, correttezza, trasparenza), il principio di minimizzazione, di privacy by design e by default, il rispetto delle basi del trattamento, si applicano anche nel caso di decisioni e sistemi di monitoraggio automatizzati di cui al D.lgs. 104/2022 e rendono quindi necessaria una congiunta valutazione delle due discipline con l’obiettivo di rispettarle entrambe nell’implementare sistemi automatizzati, senza che sia pensabile sacrificare una a vantaggio dell’altra.
Il D.lgs. 104/2022 non deve, in altre parole, essere interpretato come un “via libera” per l’impiego di decisori algoritmici, rispettando le prescrizioni contenute nel Decreto. Va infatti considerato che alcuni strumenti particolarmente invasivi (il Garante menziona ad esempio “software per il riconoscimento emotivo”, “strumenti di data analytics o machine learning, rete neurali, deep-learning”, “sistemi per il riconoscimento facciale, sistemi di rating e ranking”) comportano rischi elevati e difficilmente possono rispettare i principi previsti dal GDPR (in tema di liceità e minimizzazione del dato).
Decisione automatizzata e unicamente automatizzata
La presa di posizione forse più interessante del Garante Privacy è quella che si ricava al punto 5 del provvedimento, laddove il Garante raccomanda ai datori di lavoro di verificare se l’impiego di sistemi di decisione o monitoraggio automatizzati integra un processo decisionale unicamente automatizzato, compresa la profilazione, che produca effetti giuridici o che incida significativamente sull’interessato. In tal caso bisogna garantire all’interessato l’intervento umano da parte del titolare del trattamento, nonché il diritto di esprimere la propria opinione e di contestare la decisione.
L’ottica del Garante è quindi quella per cui il D.lgs. 104/2022 trova applicazione anche nel caso in cui il decisore automatizzato non sia autonomo ma sia affiancato dall’operatore umano (del resto è ben difficile pensare che il discrimine cui fa riferimento il Garante sia quello della produzione di effetti giuridici o assimilabili, essendo abbastanza scontato che i sistemi decisionali disciplinati dal D.lgs. 104/22, deputati a decidere l’inizio o la fine del rapporto lavorativo e/o la sua gestione siano sprovvisti di effetti di rilievo giuridico).
Questa interpretazione (che visti i potenziali effetti di tali decisioni automatiche è senz’altro da preferire) finisce per espandere sostanzialmente l’applicabilità del D.lgs. 104/2022, rendendo così inutili gli escamotage predisposti da molti titolari per evitare l’applicazione dell’art. 22 GDPR.
Ad esempio, se guardiamo l’informativa del servizio di noleggio con conducente Uber, ci accorgiamo che l’azienda scientemente affianca l’operatore umano all’algoritmo tutte le volte in cui il trattamento avviene all’interno dell’UE o comunque la legge lo prescrive. In questo modo Uber (e con lui molti altri operatori) riesce a disinnescare i più incisivi meccanismi di tutela prescritti dal GDPR, scelta che però dall’entrata in vigore delle norme di attuazione della Direttiva (UE) 2019/1152 (come appunto il D.lgs. 104/2022) si rivelerà inutile (nel caso in cui gli addetti di Uber vengano riconosciuti come lavoratori, circostanza che però pare scontata visto che l’obiettivo della disciplina è proprio quello di estendere le tutele a tali soggetti) e costringerà comunque i datori di lavoro ad una compiuta informativa.
Secondo il Garante, quindi, per i lavoratori esiste un nuovo livello di tutela offerto dal D.lgs. 104/2022, su cui si innestano le tutele previste dalla valutazione d’impatto ai sensi dell’art. 35 GDPR (ove ne ricorrano i presupposti) e quelle previste dall’art. 22 GDPR ove si abbia a che fare con una decisione unicamente automatizzata con effetti giuridici o assimilabili.