Il 13 agosto 2022 è entrato in vigore il c.d. Decreto Trasparenza, che ha introdotto ulteriori obblighi informativi in capo al datore di lavoro. Sin dalla sua pubblicazione, è emersa la necessità di un intervento interpretativo da parte del Garante Privacy, dati i rilevanti profili in materia di protezione dei dati personali che necessitano di coordinamento.

L’art. 4 del Decreto Trasparenza introduce nel D.Lgs. 152/97, l’art. 1 bis nuovi obblighi informativia carico del datore di lavoro. In particolare, gli aspetti del rapporto di lavoro sui quali si è soffermata l’Autorità con nota del 24 gennaio 2022 riguardano:

  • l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati;
  • il funzionamento dei sistemi;
  • i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Alcuni dei nuovi obblighi informativi invocano quanto già previsto dagli artt. 13 e 14 GDPR, altri costituiscono, invece, una specificazione degli stessi.

L’esigenza di coordinamento scaturisce, altresì, ai fini di una corretta interpretazione sulla legittimità dei trattamenti inclusi nel Decreto e richiamate nella Circolare interpretativa del Ministero del lavoro n. 19/2022. Secondo quest’ultima, infatti, rientrano nei processi che devono essere oggetto di obblighi informativi strumenti e tecnologie, quali, ad esempio, software per il riconoscimento emotivo, “strumenti di data analytics o machine learning, rete neurali, deep-learning, nonché sistemi per il riconoscimento facciale, sistemi di rating e ranking.

L’obiettivo del Legislatore europeo

Tali trattamenti comportano un’invasività nella sfera di riservatezza del lavoratore sicché l’Autorità ribadisce la necessità un’interpretazione dinamica che non trascuri le tutele poste dalla regolamentazione europea e in particolare quelle fissate dall’art. 22 GDPR.

Quest’ultima disposizione disciplina la protezione dei dati personali dell’interessato trattati tramite dati processi decisionali automatizzati, compresa la profilazione, che producono effetti giuridici o analoghi sulla sua persona. Con tale norma, il Legislatore europeo ha inteso irrobustire le tutele prevedendo ulteriori garanzie per l’interessato: il titolare del trattamento risulta, infatti, tenuto ad attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, e almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.