Il Decreto Trasparenza è la legge di recepimento della direttiva UE 2019/1152. Riguarda la tutela dei lavoratori e in particolare l’utilizzo da parte del datore di lavoro di sistemi decisionali o di monitoraggio automatizzato. Tale Decreto inserisce nuovi obblighi rispetto a quelli imposti dal GDPR, tra cui quello per il datore di lavoro di informare il lavoratore se vengono utilizzati sistemi decisionali o di monitoraggio automatizzati per ricavare informazioni “ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.
Il Garante privacy, dopo avere ricevuto numerose domande da pubbliche amministrazioni e aziende, è intervenuto fornendo alcune indicazioni operative per interpretare al meglio il decreto e per permettere la combinazione della nuova normativa con quanto già previsto dal GDPR e dallo Statuto dei lavoratori.
Il Garante sottolinea che l’informativa necessaria ai fini del D.lgs. 104/22 deve essere fornita al dipendente sotto forma di informativa per la privacy, in modo che il lavoratore possa conoscere i parametri utilizzati per programmare i sistemi automatizzati. Inoltre, il documento deve essere aggiornato in caso di modifiche e le variazioni devono essere comunicate agli interessati con almeno 24 ore di anticipo rispetto alla loro adozione.
Il Garante raccomanda l’utilizzo corretto di sistemi di machine learning, di rating e ranking. Questi strumenti possono portare a criticità per quanto riguarda il principio di proporzionalità dei dati raccolti e a violazioni delle norme a tutela della libertà, della dignità e della sfera privata del lavoratore. Al fine di non violare tali diritti è necessaria una preventiva valutazione di impatto sulla protezione dei dati e il costante controllo del titolare, responsabilizzato dal Decreto Trasparenza.
L’Autorità ricorda e sottolinea l’importanza del fatto che l’utilizzo di sistemi automatizzati deve sempre rispettare anche il principio di minimizzazione, di privacy by design e by default e le basi del trattamento.
(S.F.)