In data 29 luglio 2022 è stato pubblicato in Gazzetta Ufficiale il decreto legislativo 27 giugno 2022 n.104, di recepimento della Direttiva (UE) 2019/1152 (c.d. Decreto Trasparenza). Tale decreto, operativo dal 13 agosto 2022, introduce nuovi obblighi per i datori di lavoro. La novità che interessa chi si occupa di privacy è l’introduzione dell’art. 1-bis riguardante “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati” intendendo quindi l’utilizzo di strumenti che possono essere utilizzati dalla fase di selezione del personale e sino alla gestione ed alla conclusione del rapporto di lavoro.
Il processo decisionale automatizzato nel GDPR
Il processo decisionale completamente automatizzato consiste nella capacità di un sistema di prendere decisioni impiegando mezzi tecnologici senza il coinvolgimento umano. Le decisioni automatizzate possono essere basate su qualsiasi tipo di dati quali: dati forniti direttamente dall’interessato (ad es. le risposte a un questionario), dati osservati riguardo a una persona (ad es. i dati relativi all’ubicazione raccolti tramite un’applicazione) e dati derivati o desunti, come un profilo della persona che è già stato creato (ad es. un punteggio sull’affidabilità creditizia). Come poi osservato, tale procedimento può ricorrere a sua volta alla profilazione a seconda di come vengono utilizzati i dati (ad es. le linee guida del WP29 riportano il caso della multa per eccesso di velocità rilevata sulla base delle prove provenienti da telecamere: in questo caso trattasi di una decisione automatizzata che non coinvolge profili. Si tratterebbe invece di profilazione se l’importo della multa fosse il risultato di una valutazione che coinvolge altri fattori quali le abitudini di guida, altre violazioni al codice della strada, ecc.).
L’art. 22 del GDPR dice che “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona” salvo il caso in cui la decisione sia necessaria per la conclusione di un contratto tra l’interessato ed il Titolare del trattamento, sia autorizzata dal diritto dell’Unione o di uno Stato membro cui è soggetto il Titolare del trattamento o si basi su un consenso esplicito dell’interessato. In sintesi, come anche spiegato dal WP29, l’art. 22 del GDPR stabilisce che:
- Di norma, esiste un divieto generale all’adozione di decisioni completamente automatizzate relative alle persone fisiche, compresa la profilazione, che hanno un effetto giuridico o che incidono in modo analogo significativamente. Una decisione, abbiamo detto essere totalmente automatizzata quando il risultato della valutazione deriva esclusivamente da un algoritmo che traduce l’insieme dei dati raccolti in un risultato senza la partecipazione di un essere umano che possa modificare il risultato attraverso una sua decisione. Tale decisione dovrà poi produrre effetti giuridici che vanno ad incidere in modo significativo sui diritti e le libertà dell’interessato, in modo prolungato o definitivo, sino ad arrivare alla sua esclusione o discriminazione;
- Esistono eccezioni alla regola;
Laddove si applichi una di tali eccezioni, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione.
Art. 22 – Esecuzione di un contratto
Dalla lettura dell’art.22 c.1 notiamo che il legislatore parla di “esecuzione di un contratto”. Leggiamo che Il Titolare del trattamento potrebbe voler ricorrere a processi decisionali basati unicamente sul trattamento automatizzato per finalità contrattuali ritenendo che sia il modo più appropriato per conseguire l’obiettivo. Un esempio interessante riportato sul testo WP251 riguarda l’annuncio di lavoro di un’azienda. Essendo il posto molto ambito, l’azienda riceve decine di migliaia di candidature. In ragione del volume eccezionalmente elevato di candidature questa potrebbe ritenere molto difficile individuare i candidati idonei senza prima utilizzare mezzi unicamente automatizzati per scartare le candidature non pertinenti.
In questo caso potrebbe essere necessario ricorrere a un processo decisionale automatizzato per stilare un elenco ristretto di possibili candidati allo scopo di stipulare un contratto con un interessato. L’azienda potrebbe utilizzare tale processo, ai sensi dell’art.6, par.1, lett. b) del GDPR, per dare maggiore coerenza e correttezza nel processo decisionale (ad es. ridurre l’errore umano o eliminare eventuali raccomandazioni) e per diminuire i tempi, e quindi i costi, del processo di selezione o di valutazione del rapporto di lavoro. Tuttavia il WP29 ci ricorda che tali considerazioni non sono comunque sufficienti a definire come “necessario” il trattamento in quanto la stessa nozione di “necessità” deve essere interpretata in modo restrittivo, ovvero, che sarà il Titolare del trattamento a dovere dimostrare che non ci sono ulteriori mezzi alternativi meno invasivi per raggiungere lo stesso obiettivo (leggi anche Parere 06/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE. Commissione europea, 9 aprile 2014.
Articolo 1-bis D. Lgs. 104/2022 del Decreto Trasparenza
Passiamo ora alla lettura del nuovo articolo introdotto nel Decreto Trasparenza. Innanzitutto, il datore di lavoro “è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori” nel pieno rispetto dell’art. 4 della legge 20 maggio 1970, n. 300 (Statuto dei lavoratori) sui controlli a distanza (comma 1). È chiaro come si faccia riferimento a strumenti che possono essere utilizzati nelle diverse fasi di un rapporto di lavoro (precontrattuale e contrattuale) che aiutino il datore di lavoro, attraverso l’utilizzo di apposite metriche, a valutare il candidato e/o il lavoratore.
Il datore di lavoro sarà altresì tenuto a fornire all’interessato ulteriori informazioni: su quali aspetti del rapporto di lavoro incide l’utilizzo di tali sistemi, gli scopi e le finalità, la loro logica e il funzionamento, le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi inclusi i meccanismi di valutazione delle prestazioni, le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione, il responsabile del sistema di gestione della qualità (poiché si presuppone che tali metriche siano sotto il controllo di un SGQ), il livello di accuratezza, robustezza e cybersicurezza dei sistemi nonché le metriche utilizzate per misurare tali parametri e gli impatti potenzialmente discriminatori delle metriche stesse (comma 2). Dal canto suo il lavoratore, anche attraverso le rappresentanze sindacali, potrà accedere ai dati e richiedere ulteriori informazioni (comma 3).
Obblighi per il datore di lavoro
Il datore di lavoro sarà quindi tenuto a:
- integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati (comma 4);
- aggiornare il registro dei trattamenti riguardanti le attività soggette a tali obblighi, incluse quelle di sorveglianza e monitoraggio (comma 4);
- rispettare le disposizioni previste dal Regolamento (UE) 2016/679 attraverso un’opportuna analisi dei rischi e una DPIA sugli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del GDPR (comma 4);
- informare i lavoratori, almeno 24 ore prima, di ogni modifica incidente sulle informazioni fornite che comportino variazioni delle condizioni di svolgimento del lavoro (comma 5);
Le informazioni e i dati di cui ai commi da 1 a 5 del dovranno quindi essere comunicati dal datore di lavoro ai lavoratori in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico.
Tali obblighi informativi gravano anche sul committente nell’ambito di rapporti di agenzia, di rappresentanza commerciale ed altri rapporti di collaborazione che si concretino in una prestazione di opera continuativa e coordinata, prevalentemente personale, anche se non a carattere subordinato (art. 409, n. 3, C.p.c. e art. 2, comma 1, D.lgs. n.81/2015), mentre non si applicano alle informazioni necessarie alla tutela dei segreti commerciali (art. 98 D.lgs. n. 30/2005).
Conclusioni
L’utilizzo dell’AI per governare determinati processi si sta facendo sempre più strada. È quindi necessario un intervento legislativo che vada a tutelare il lavoratore, la parte più vulnerabile, dall’essere semplicemente giudicato o valutato attraverso un meccanismo decisionale. I principi di protezione dei dati stabiliti dall’art.5 del GDPR restano quindi applicabili a tutti i processi decisionali automatizzati che trattino dati personali, come anche i diritti dell’interessato (artt.12-23 GDPR). In questo mese di agosto saranno diverse le attività che le aziende dovranno porre in essere.
Laddove ci sia un processo decisionale in atto che riguardi i lavoratori e questo processo sia in tutto o in parte automatizzato, sarà necessaria un’attenta valutazione dell’impatto che il trattamento avrà sugli interessati attraverso una “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche” (art.35, comma 3, lett. a) GDPR).
Articolo originariamente pubblicato il 14 Set 2022
