Decreto Trasparenza e Privacy: gli obblighi per il datore di lavoro
Il Decreto Trasparenza (D.lgs 104/2022 del 27 giugno 2022) ha coinvolto tematiche riguardanti la protezione dei dati che si collegano all’utilizzo dell’Intelligenza Artificiale e quindi all’impatto che le tecnologie possono avere sulla privacy del lavoratore.
Si tratta, quindi, di comprendere in quali casi il datore di lavoro, in qualità di titolare del trattamento, debba fornire un’idonea informativa al lavoratore stesso, che deve essere anche trasmessa a rappresentanze sindacali e ispettorato del lavoro.
L’obbligo di informativa, evidenziata dalla Circolare Ministero del Lavoro e delle Politiche Sociali n. 19 del 20 settembre 2022, è riferibile ad alcuni specifici casi:
- l’assunzione o il conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio;
- la profilazione automatizzata dei candidati,
- lo screening dei curricula;
- l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
- gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, reti neurali, deep-learning, ecc.
Per valutare l’impatto di queste nuove tecnologie l’azienda deve svolgere una valutazione d’impatto (D.P.I.A).
La differenza la fa la presenza di strumenti che, raccogliendo dati ed elaborando questi tramite adeguati algoritmi, consentano di generare decisioni automatizzate. L’obbligo dell’informativa, è bene precisarlo, resta valido anche nel caso in cui ci sia un intervento umano, ma che risulti meramente accessorio.
Il decreto del 27 giugno 2022 impone perciò al titolare di sottoporre al soggetto l’informativa quando aspetti importanti della sua vita lavorativa vengono di fatto rimandati all’attività decisionale sviluppata da sistemi automatizzati. Un ambito in costante evoluzione. Da qui l’esigenza da parte del legislatore di disciplinare l’argomento.
Esistono anche casi nei quali va valutato l’aggiornamento dell’informativa: è la situazione ad esempio - evidenzia la circolare n. 19 del 20 settembre - «di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata a una decisione datoriale».
Vanno valutati anche i sistemi di videosorveglianza dei luoghi in cui lavora l’individuo e i sistemi di monitoraggio del lavoro in smartworking, oltre alle videoconferenze e la gestione della posta elettronica.
Un discorso a parte lo merita, invece, la previsione riguardante «le indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori». Anche in questa ipotesi il datore di lavoro ha l’obbligo di informare il lavoratore dell’utilizzo dei sistemi automatizzati, quali per esempio tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking.
Tra le attività a carico del consulente privacy e dell’azienda c’è quella di monitorare l’efficacia effettiva delle misure che vengono applicate:
- la presenza di «sistemi decisionali automatizzati» regolarmente censiti;
- la considerazione di tali sistemi nell’informativa e che questa sia stata trasmessa alle organizzazioni sindacali;
- la presenza di altri dispositivi non censiti;
- la presenza di strumenti in fase di introduzione;
- l’attività di formazione verso i soggetti coinvolti nei trattamenti;
- la conservazione delle informazioni.
Segue un rapporto di audit, che deve riportare anche eventuali rilievi in forma di osservazioni o non conformità, oltre alle evidenze riscontrate. Ciò che appare chiaro, alla luce delle disposizioni, è la necessità di pianificare l’audit con regolarità, considerando questo come un’occasione di analisi e crescita per l’azienda.