Decreto Trasparenza e lavoro: maggiori controlli e garanzie rigorose.

Arrivano dal Garante della privacy le prime indicazioni sul Decreto Trasparenza, alla luce della disciplina eurounitaria in materia di protezione dei dati. In particolare, l’attenzione dell’Autorità si focalizza sull’impiego di tali sistemi di monitoraggio particolarmente invasivi.

Informazioni ulteriori per il lavoratore

Tra le informazioni ulteriori che il datore di lavoro, in qualità di titolare del trattamento, deve fornire all’interessato rientrano:

– gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati;

– il funzionamento dei sistemi;

– i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati;

– inclusi i meccanismi di valutazione delle prestazioni;

– le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

– il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Il Garante auspica che tutte le informazioni siano complessivamente fornite al lavoratore prima dell’inizio del trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

Sistemi decisionali o di monitoraggio automatizzati

L’impiego di sistemi automatizzati può comportare il trattamento d’informazioni associate in via diretta o indiretta ai dipendenti, stante anche l’indeterminatezza e genericità della locuzione contenuta nel decreto, occorre in ogni caso che il titolare del trattamento verifichi la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali sistemi.

Il titolare del trattamento è inoltre tenuto a rispettare i principi generali del trattamento e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (richiamate anche dal comma 4 dell’art. 1-bis introdotto dal Decreto).

Inoltre, in attuazione del principio di responsabilizzazione, spetta al titolare valutare se i trattamenti che si intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerati la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.

Vulnerabilità degli interessati nel contesto lavorativo

Nella maggior parte dei casi, un titolare del trattamento può considerare che un trattamento che soddisfi almeno due criteri debba formare oggetto di una valutazione d’impatto sulla protezione dei dati e che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che configuri un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d’impatto sulla protezione dei dati.

Il titolare del trattamento non deve raccogliere dati personali che non siano necessari per la specifica finalità del trattamento. Ne deriva che, anche quando utilizza sistemi tecnologici realizzati da terzi, dovrà eseguire, avvalendosi del supporto del responsabile della protezione dei dati, ove nominato, un’analisi dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, in particolare le norme nazionali che disciplinano le condizioni per l’impiego degli strumenti tecnologici sul posto di lavoro.

Registro delle attività di trattamento

Tra gli obblighi generali connessi alle attività di trattamento dei dati personali il Regolamento prevede in particolare in capo al titolare del trattamento quello di redigere il registro delle attività di trattamento al ricorrere dei relativi presupposti.

Condividi l'articolo su:
No Comments

Sorry, the comment form is closed at this time.