NEWS

'Decreto Trasparenza' e trattamenti di dati personali: tra dubbi ed opportunità

Il Dlgs 104/2022 “Decreto Trasparenza” è stato pubblicato da alcuni mesi, ma i dubbi sono ancora molti; anzi, più si approfondisce il testo e maggiori sono le domande che non trovano risposte esaurienti. In questo articolo si approfondiranno i seguenti elementi, in attesa di ulteriori indicazioni da parte dei Ministeri e degli enti interessati:

(Nella foto: l'Ing. Monica Perego, docente al Webinar 'Il Decreto Trasparenza e le implicazioni sulla protezione dei dati personali')

- esempi di trattamenti di dati personali automatizzati e decisionali ed il criterio loro sotteso;
- l’informazione ai lavoratori;
- il Dlgs 104/2002 come fonte di opportunità.

Alcuni esempi di trattamenti automatizzati e decisionali ed il criterio loro sotteso - La determinazione dei criteri che permettono di comprendere se un trattamento automatizzato o decisionale rientra o meno nel perimetro del Decreto è un tema oggetto di continuo dibattito.

A fronte dei potenziali trattamenti che potrebbero ricadere nel perimetro del Decreto deve fungere da “faro” il concetto di “trasparenza”, ovvero le informazioni devono essere rese al lavoratore con l’obiettivo prioritario di rendere “completamente trasparente un trattamento ad un dipendente”, sia che esso fornisca la sua prestazione direttamente al suo datore di lavoro o ad un committente (ad esempio un lavoratore somministrato).

Prima di analizzare alcuni casi che abbracciano uno spettro ampio della casistica, giova ricordare il significato del termine “automaticamente”, così come definito dal Dizionario Treccani: “per mezzo di un congegno automatico o in modo automatico, senza intervento diretto della volontà o di un’azione esterna”; lo stesso dizionario definisce “decisionale” come “Relativo al decidere, alla decisione: potere, facoltà d.; che ha potere di prendere decisioni: organo, centro decisionale”.

Il concetto generale è espresso nel seguente passaggio del Dlgs n. 104/2022, con l’introduzione dell’art. 1-bis al D.lgs. n. 152/1997: “il datore di lavoro/committente renda una serie di informative sull’utilizzo di tali sistemi, volte a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori”.

Alcuni esempi tra i tanti possibili che può aiutare ad individuare delle casistiche di carattere generale e settoriale, che poi devono ovviamente essere contestualizzate:

- software per la tenuta sotto controllo dei sistemi di gestione (compresi quelli di whistleblowing);
- piattaforme di formazione e-learning completamente automatizzate (presenza, risultati, ripetizione di lezioni/test, tempo di permanenza, comprese le risposte formulate in test a sorpresa per verificare la presenza effettiva), con rilevazione automatica dei tempi di collegamento; esse sono gestite totalmente da società terze, parzialmente da società terze o dal Datore di lavoro
- assistenza da remoto e/o gestione dei ticket; esempio: portale che effettua trattamenti automatizzati e/o decisionali tramite la funzione dispatching, che, in base a più tabelle (servizi erogati al cliente, skill del personale tecnico dedicato all’assistenza personale contattabile in turno) analizza la richiesta, la categorizza e assegna in automatico la richiesta all’operatore libero, sulla base delle informazioni disponibili (da valutare anche implicazioni come ADS);
- consolle per operare sulle soluzioni software, per impostare, ad esempio, privilegi e diritti per gli utenti con attivazione della profilazione dei servizi relativi agli accessi ai dati, come nel caso di Microsoft Office 365 Admin Center. Attraverso tali sistemi un utente, con ruoli privilegiati come l’amministratore di sistema, può accedere a dati di collaboratori che utilizzano i sistemi e “volendo” raccogliere informazioni quali il tempo trascorso in chiamate/riunioni, i dispositivi utilizzati, il numero di messaggi scambiati, ecc., nonché accedere a documenti, e-mail e messaggi scambiati, ad esempio tramite Teams.

Oltre ad applicazioni generali sono interessanti da esplorare anche alcune di carattere settoriale; giusto per fare alcuni esempi:

Scuola – applicazione (anche integrata nel registro elettronico) che tiene sotto controllo quali circolari sono state «scaricate» o «non scaricate» dal singolo docente (con valenza di onere probatorio)
Sanità – sistema gestione delle cartelle elettroniche che tramite sistemi di risk management permette di rilevare in automatico la presenza di errori di compilazione od omissione di dati
Sanità - richiesta cartelle cliniche: il sistema, in modo automatico, gestisce la richiesta ed invia una segnalazione al singolo reparto per richiedere l’aggiornamento della cartella e, periodicamente, in caso di richiesta inevasa, ricorda alla funzione designata del reparto di provvedere all’aggiornamento
Trasporto pubblico - autisti di mezzi pubblici dotati di telecamere che si attivano automaticamente, a cui accede il personale della sala di controllo, solo a seguito di brusca frenata, urto o altro evento “riconosciuto come anomalo”. Le immagini sono immediatamente registrate ed il sistema fornisce anche informazioni sull’autista

Nell’individuazione di tali trattamenti, non va poi trascurato il tema delle “informazioni classificate come segreto aziendale”.

Informare i lavoratori – alcune note sul modello da utilizzare per fornire le informazioni - Analizzando quanto recita l’Art. 1-bis, comma 2 del Dlgs 104/2022 “… Ai fini dell'adempimento degli obblighi di cui al comma 1, il datore di lavoro o il committente è tenuto a fornire al lavoratore, unitamente alle informazioni di cui all' articolo 1, prima dell'inizio dell'attività lavorativa, le seguenti ulteriori informazioni:

a) gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi di cui al comma 1;
b) gli scopi e le finalità dei sistemi di cui al comma 1;
c) la logica ed il funzionamento dei sistemi di cui al comma 1;
d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi di cui al comma 1, inclusi i meccanismi di valutazione delle prestazioni;
e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse….”

È lecito porsi alcune domande e soffermarsi su alcuni punti:

Punto e – nella frase «le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità» il riferimento al Responsabile del sistema di gestione della qualità risulta francamente incomprensibile. Sarebbe stato più corretto un riferimento alle «funzioni responsabili per la corretta applicazione del sistema automatico o decisionale». Tale funzione/funzioni si evincerebbero dall’organigramma aziendale e dal mansionario, che dovrebbe essere integrato.
Punto f – ferme restando le definizioni, che sono piuttosto tecniche, per quanto riguarda il livello di accuratezza, robustezza e cybersicurezza di un applicativo, tale richiesta dovrebbe esser inoltrata al fornitore che l’ha sviluppato - se si tratta di un’attività, come di norma accade, terzializzata che deve fornire indicazioni a riguardo nel caso non siano già state oggetto del contratto. Se la soluzione è stata concepita internamente, tali livelli dovrebbero essere definiti come elementi di ingresso allo sviluppo.

Nello specifico, la «robustezza di un software o di un algoritmo» è una misura della capacità di un software di far fronte ad input non validi, interazioni utente di tipo imprevisto o situazioni eccezionali (che non sono state considerate nelle specifiche di sviluppo). Un sistema robusto continua a funzionare correttamente anche a fronte di tali eventi ed è in grado di gestire errori senza arresti anomali o senza produrre risultati errati, inoltre è in grado di adattarsi ai cambiamenti nel suo ambiente operativo (es. sistema operativo ed altri componenti software ed hardware).

L’applicazione del D.lgs 104/2022 come Opportunità - Per quanto in molti siano concordi nell’affermare che il Dlgs 104/2022 presenta più ombre che luci, non va dimenticato che la sua applicazione può presentare anche delle opportunità per le organizzazioni, come ad esempio cogliere l’occasione per verificare che tutti i trattamenti di dati personali che interessano i dipendenti siano stati tracciati nell’informativa «tradizionale» e nell’informativa Dlgs 104/2022, quindi procedere con gli adempimenti previsti.

È questa l’occasione per evidenziare:

- la necessità di DPIA, anche se non rientra nel Dlgs 104/2002;
- la necessità di accordo sindacale, anche se non rientra nel Dlgs 104/2022 (non tutti gli accordi sindacali comprendono i trattamenti previsti dal Dlgs 104/2022, ma tutti quelli previsti dal Dlgs 104/2022 dovrebbero prevedere accordo sindacale);
- la revisione di alcune procedure.

Tali controlli, ovviamente, vanno ripetuti ad intervalli (secondo quanto indicato dallo scadenziario), per assicurarsi della correttezza dell’applicazione, e potrebbero (anzi dovrebbero) essere oggetto di audit.

Conclusioni - Il Dlgs 104/2022 presenta numerose problematiche, ma anche utili “sorprese”, offrendo l’occasione alle aziende di approfondire alcuni aspetti talvolta trascurati o sotto traccia. In questo articolo si è cercato perciò di valorizzare anche le luci di questo Decreto, da molti criticato per la sua indeterminatezza.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Banche dati per fare campagne di marketing, chi le compra deve essere in grado di dimostrare la loro conformità al GDPR
Next Comitato europeo per la protezione dei dati: illegale la pubblicità personalizzata su Facebook, Instagram e WhatsApp

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy