Decreto Trasparenza: non tutti i trattamenti automatizzati prevedono necessariamente una componente decisionale
Il D.lgs 104/2022 “Decreto trasparenza” è stato pubblicato da poco più di un mese e già si sono aperti molti dibattiti, vista la complessità delle tematiche trattate e l'indeterminatezza di alcuni aspetti. Recenti Circolari, la n. 4 dell'Ispettorato Nazionale del Lavoro e la n. 20 del Ministero del Lavoro, hanno cercato di chiarire alcuni punti. In questo articolo si affronteranno alcune tematiche relative alla protezione dei dati personali; nello specifico:
(Nella foto: l'Ing. Monica Perego, docente al webinar 'Il Decreto Trasparenza e le implicazioni sulla protezione dei dati personali')
- il criterio che permette di capire se un trattamento automatizzato o decisionale rientra o meno nel Decreto;
- la struttura della DPIA;
- le procedure di gestione della protezione dati che sono da integrare/modificare.
Il criterio che permette di capire se un trattamento automatizzato o decisionale rientra o meno nel Decreto - È chiaro che l'elemento più critico, per l’applicazione del D.lgs. 104, è l’individuazione di quei trattamenti che presentano le caratteristiche di un processo automatico o decisionale (attenzione “o” non “e”!!!).
In termini generali si può affermare che tendenzialmente tutti i trattamenti decisionali presentano una caratteristica di automazione, ma non è vero il contrario. Ci sono diversi trattamenti automatizzati che non prevedono necessariamente una componente decisionale.
Il problema, in ogni caso, è quello di comprendere quali trattamenti siano da considerare nel perimetro del D.lgs 104/2002, in quanto, per essi, le misure richieste sono complesse e non si può trascurare che i trattamenti che riguardano le risorse umane sono prevalentemente automatizzati. A fronte di possibili elenchi che possono servire da guida è opportuno, per la loro individuazione, basarsi sulle seguenti considerazioni:
- La Circolare n. 19 del 20.09.2022 Ministero del Lavoro cita:
- “[…] Ad esempio, l’obbligo dell’informativa sussiste nelle seguenti ipotesi: assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
- gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc. […];
Per identificare i trattamenti è necessario tenere sempre l’attenzione focalizzata sulla finalità del Decreto, ovvero la “Trasparenza verso i lavoratori”.
Alcuni esempi:
- Un sistema di rilevazione presenze che trasmette, senza alcun intervento umano, i dati direttamente al consulente del lavoro, è un trattamento automatizzato, ma già ampliamente considerato dalla informativa tradizionale. Trattarlo in modo congruente al D.lgs. 104/2022 rischia di svilire la finalità del Decreto e creare inutile burocrazia.
- Un sistema che controlla la navigazione sul WEB effettuata da un lavoratore, rileva eventuali anomalie (es. superamento di una soglia predefinita per il numero di volte in cui la password è digitata in modo errato) e blocca (decisione) automaticamente l’accesso al Web del collaboratore. Tale trattamento rientra a pieno titolo nel D.lgs. 104/2022. Il lavoratore deve essere informato della presenza del controllo, in modo esplicito e trasparente, attraverso il modello di informativa richiesto dal D.lgs 104/2002 (più ampio di quello previsto dal GDPR).
Non è quindi più sufficiente il solo Regolamento interno per il personale.
- In un centro Logistico il sistema rileva automaticamente la posizione del lavoratore a cui è stato fornito un wearable. Sulla base della sua posizione il sistema gli fornisce le indicazioni sul percorso ottimale da seguire per comporre gli ordini. Il lavoratore deve essere a conoscenza che la sua posizione è rilevata, anche se tale aspetto è già oggetto di un accordo sindacale. Infatti, anche in questo caso, l’informativa da fornire ai lavoratori, secondo il modello richiesto dal D.lgs 104/2022 contiene, di norma, più informazioni di quanto riportato nell’accordo sindacale.
Nel corso di tali analisi, non va poi trascurato il tema delle “informazioni classificate come segreto aziendale”.
In sintesi, è sempre necessario basarsi sul principio della trasparenza, cogliendo l’essenza del Decreto.
La struttura della DPIA - Come richiamato dall’art. 4 “Modifiche al decreto legislativo 26 maggio 1997, n. 152” il datore di lavoro o il committente deve effettuare una “… valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo….”. A tal fine, è possibile utilizzare il format standard aziendale, di norma previsto dalla procedura Privacy by design, della DPIA o, più opportunatamente, ricorrere ad un modello integrato con quanto richiesto dall’Articolo 1-bis, comma 2; elementi integrativi da considerare possono riguardare:
- gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi;
- gli scopi, le finalità, la logica ed il funzionamento dei sistemi oggetto della DPIA;
- le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi oggetto della DPIA, inclusi i meccanismi di valutazione delle prestazioni;
- le misure di controllo adottate per le decisioni automatizzate e gli eventuali processi di correzione;
- le analisi e valutazioni in merito al livello di accuratezza, robustezza e cybersecurity, nonché alle metriche ed al loro impatto potenzialmente discriminatorio.
Le procedure dei sistemi di gestione della protezione dei dati da integrare/modificare - L’introduzione del D.lgs 104/2022 porta inevitabilmente alla modifica di alcune procedure che afferiscono al sistema di gestione della protezione dei dati personali. Le procedure immediatamente impattate sono le seguenti:
- Introduzione collaboratore (varie forme di collaborazione), per integrazione informativa;
- Cambio mansione/collaboratore, per integrazione informativa (quando la nuova mansione la contempla);
- Dimissione collaboratore, per archiviazione/cancellazione/distruzione dati collaboratore nei tempi previsti: 5 anni dalla conclusione del rapporto di lavoro (vedi art. 3);
- Privacy by design, nel caso di introduzione di nuovo trattamento che ricade nel perimetro D.lgs. 104/2022 prevedere aggiornamento informativa collaboratore, registro, analisi dei rischi, DPIA e trasmissione a rappresentanze sindacali;
- Approvvigionamenti, nel caso in cui l’organizzazione si configura come Titolare del trattamento e tratta dati dei dipendenti del Responsabile nel ruolo di committente;
- Commerciale, nel caso in cui l’organizzazione si configura come Responsabile del trattamento ed il Titolare del trattamento (cliente) tratta dati dei dipendenti del Responsabile nel ruolo di committente.
Inoltre possono essere integrate alcune procedure di sistema come:
- gestione della documentazione;
- pianificazione ed esecuzione degli audit sul sistema di gestione e conformità legislativa.
Non è prevista, stando a quanto riportato nell’art. 4 del suddetto decreto, alcuna richiesta di modifica della procedura di diritto all’accesso, in quanto i dati ai quali il lavoratore, direttamente o per tramite le rappresentanze sindacali, può accedere, sono già contemplati dal REG. EU 2016/679 e quindi dalle procedure che ogni organizzazione dovrebbe aver predisposto.
Conclusioni - Le tematiche che sono state affrontate nell’articolo sono solo una parte di quelle ancora aperte. Si pensi ad esempio ai concetti di “accuratezza” e “robustezza” così come richiamati dall’art. 1-bis, comma 2 del Decreto quando introduce le informazioni che il datore di lavoro o il committente devono fornire al lavoratore.
Solo nei prossimi mesi, con un'applicazione più consolidata e con l'emissione di ulteriori indicazioni operative, come recita la circolare n. 4 dell'Ispettorato Nazionale del Lavoro, sarà possibile disporre di ulteriori elementi.
Per approfondimenti sul Decreto Trasparenza, vedasi anche gli articoli:
- "Decreto Trasparenza: impatti sulla privacy dei lavoratori e ricadute operative per imprese e DPO"
- Sistemi automatizzati e privacy, lavoratori più tutelati con il 'Decreto Trasparenza'
- Decreto Trasparenza: sistemi automatizzati, l’informativa va delimitata
- Decreto Trasparenza: webinar sulle implicazioni per la protezione dei dati personali