De Luca & Partners

Decreto Trasparenza e data protection: il Garante per la protezione dei dati personali fornisce le prime indicazioni operative

GDPR General Data Protection Regulation Business Internet Technology Concept.

Lo scorso 24 gennaio 2023, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha fornito alcune indicazioni interpretative ed operative in materia di data protection, sorte a seguito dell’entrata in vigore del d. lgs. 27 giugno 2022, n. 104 (anche noto come “Decreto Trasparenza”).

Come noto, l’articolo 1-bis del Decreto Trasparenza ha individuato specifici obblighi informativi in caso di utilizzo di strumenti decisionali o di monitoraggio automatizzati, deputati a fornire indicazioni (i) rilevanti ai fini dell’assunzione o dell’affidamento dell’incarico, della gestione o cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni ovvero (ii) incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

Ciò premesso, mediante i chiarimenti in esame, il Garante ha individuato sia alcune informazioni ulteriori che il datore di lavoro dovrà fornire all’interessato – in aggiunta, quindi, a quanto già previsto dagli articoli 13 e 14 del Regolamento (UE) 2016/679 (il “GDPR”) – sia alcune indicazioni operative che specificano la portata degli articoli appena citati.

Tra le informazioni ulteriori, rientrano: ​(i) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati; ​(ii) il funzionamento di tali sistemi; ​(iii) i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni; ​(iv) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; ​(v) il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.​

In aggiunta, ciascun titolare del trattamento dovrà, a titolo esemplificativo e non esaustivo:

Inoltre, qualora siano impiegati dei sistemi che diano luogo a processi decisionali esclusivamente automatizzati che producano effetti giuridici o che incidano significativamente sull’interessato, il datore di lavoro dovrà altresì valutare delle soluzioni alternative, che consentano al lavoratore di esercitare il diritto di ottenere un intervento umano, di esprimere la propria opinione ovvero di contestare la decisione presa.

Alla luce di quanto sopra, i datori di lavoro dovranno effettuare delle analisi e delle valutazioni dei processi aziendali finalizzate ad individuare la presenza dei sistemi descritti, così da elaborare e definire le attività da doversi adottare caso per caso, al fine di garantire la conformità alle normative, tanto in materia di diritto del lavoro, quanto di data protection.

Altri insight correlati:

Exit mobile version