Transparency and data protection decree: the Italian Data Protection Authority gives its first operational guidelines

Lo scorso 24 gennaio 2023, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha fornito alcune indicazioni interpretative ed operative in materia di data protection, sorte a seguito dell’entrata in vigore del d. lgs. 27 giugno 2022, n. 104 (anche noto come “Decreto Trasparenza”).

Come noto, l’articolo 1-bis del Decreto Trasparenza ha individuato specifici obblighi informativi in caso di utilizzo di strumenti decisionali o di monitoraggio automatizzati, deputati a fornire indicazioni (i) rilevanti ai fini dell’assunzione o dell’affidamento dell’incarico, della gestione o cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni ovvero (ii) incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

Ciò premesso, mediante i chiarimenti in esame, il Garante ha individuato sia alcune informazioni ulteriori che il datore di lavoro dovrà fornire all’interessato – in aggiunta, quindi, a quanto già previsto dagli articoli 13 e 14 del Regolamento (UE) 2016/679 (il “GDPR”) – sia alcune indicazioni operative che specificano la portata degli articoli appena citati.

Tra le informazioni ulteriori, rientrano: ​(i) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati; ​(ii) il funzionamento di tali sistemi; ​(iii) i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni; ​(iv) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; ​(v) il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.​

In aggiunta, ciascun titolare del trattamento dovrà, a titolo esemplificativo e non esaustivo:

• effettuare delle valutazioni sul rispetto dei principi generali del trattamento, tra cui i principi di “privacy by design” e “privacy by default”;
• verificare preliminarmente la sussistenza delle condizioni di liceità stabiliti anche dalla disciplina applicabile in materia di controlli a distanza;
• realizzare tutti gli adempimenti previsti dalla normativa in materia di protezione dei dati personali;
• rispettare le condizioni per un lecito impiego di strumenti tecnologici nel contesto lavorativo; ​
• in attuazione del principio di accountability, valutare se effettuare una preventiva valutazione di impatto (i) in ragione delle tecnologie impiegate e considerati (ii) la natura, l’oggetto, il contesto e le finalità perseguite; ​
• aggiornare il Registro dei trattamenti.

Inoltre, qualora siano impiegati dei sistemi che diano luogo a processi decisionali esclusivamente automatizzati che producano effetti giuridici o che incidano significativamente sull’interessato, il datore di lavoro dovrà altresì valutare delle soluzioni alternative, che consentano al lavoratore di esercitare il diritto di ottenere un intervento umano, di esprimere la propria opinione ovvero di contestare la decisione presa.

Alla luce di quanto sopra, i datori di lavoro dovranno effettuare delle analisi e delle valutazioni dei processi aziendali finalizzate ad individuare la presenza dei sistemi descritti, così da elaborare e definire le attività da doversi adottare caso per caso, al fine di garantire la conformità alle normative, tanto in materia di diritto del lavoro, quanto di data protection.

Altri insight correlati:

• Circolare Ministero del Lavoro no. 19 del 20 settembre 2022: nuovi chiarimenti sul Decreto Trasparenza 
• Decreto trasparenza: nuovi obblighi per il datore di lavoro