Il pasticcio, se così possiamo chiamarlo, nasce in sede di attuazione della Direttiva (UE) 2019/1152 relativa all’introduzione di tutele volte ad assicurare condizioni di lavoro trasparenti e prevedibili nell’Unione europea.
Il punto è che, nel trasporre il citato atto legislativo in sede domestica, si è colta l’occasione per introdurre una previsione in materia di sistemi di sorveglianza e decisione automatizzata nel contesto lavorativo, assente nella direttiva, e difficilmente consentita dal perimetro della legge delega 53/2021 (ma di questo non parleremo qui).
È cioè evidente l’impatto diretto sull’articolata normativa di protezione dei dati personali, in particolare sul GDPR, di cui il legislatore italiano, pur operando richiami, sembra avere dimenticato ampie porzioni. A suo modo, anche questa è una forma di esercizio dell’oblio.
Ne sono derivate, com’è prevedibile, varie incertezze, tanto più in un contesto delicato come quello degli adempimenti in ambito lavoristico, che il recentissimo intervento del Garante del 24 gennaio scorso (ancorché datato 13.12.2022) qui appresso analizzato, ha il pregio di sciogliere, riportando il testo a sistema.
Privacy negli ambienti di lavoro: i servizi che aiutano le aziende a gestirla
Indice degli argomenti
Sistemi decisionali automatizzati: la novità del decreto trasparenza
Procediamo con ordine. Con D.lgs. 27 giugno 2022 n. 104, detto anche “decreto trasparenza”, ossia l’atto normativo di attuazione della direttiva, veniva inoculato nel corpo del vecchio D.lgs. 152/1997 un art. 1-bis dal forte sapore di controllo algoritmico, recante “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”. La disposizione è in vigore dal 13 agosto 2022.
Il tutto apparentemente avveniva senza previa consultazione del Garante privacy, dunque in violazione di legge (art. 36.4 GDPR). Quantomeno lo si evince dall’omissione di riferimenti all’incombente sia nel preambolo del neo-decreto sia nei lavori della XVIII legislatura.
La nuova disposizione, pur rubricata come introduzione di ulteriori obblighi informativi, dunque costruita a beneficio dei lavoratori, sembrerebbe implicitamente consentire (non vietandoli e ritenendoli anzi suscettibili di informazione al lavoratore) “l’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.
Vero che per espressa previsione resta fermo l’art. 4 Statuto dei lavoratori, ma è difficile comprendere le ragioni di un elenco come quello appena esposto, che in ampie parti sembra porsi in rotta di naturale collisione proprio con l’articolo 4. Si pensi al monitoraggio “deputato a fornire […] indicazioni incidenti” sull’adempimento della prestazione lavorativa e sulla sua sorveglianza.
Ci si può perciò legittimamente chiedere quale sia la valenza derogatoria che la nuova disposizione apporta (se la apporta), celata nel ventre del cavallo di legno dei rafforzati obblighi informativi.
Decreto trasparenza: pleonasmi e dubbi
A rendere, se ce ne fosse bisogno, più confuso il quadro, e involontariamente ironica la denominazione di “decreto trasparenza”, è l’introduzione nel nuovo 1-bis di garanzie già esistenti, come il diritto di accesso ai dati personali, cfr. comma 3, o l’obbligo di informare sulle finalità del trattamento, cfr. comma 2, lett. b). È un po’ come reinventare la ruota.
Altrove si aprono aree di incertezza. Potrebbe non essere del tutto chiaro, per esempio, se allorché la novella nazionale fa riferimento a “sistemi decisionali” e a “decisioni automatizzate” voglia piuttosto intendere in modo ristretto le decisioni unicamente automatizzate e significative normate all’art. 22 GDPR, oppure, e alla lettera, qualsiasi decisione presa con l’ausilio di sistemi elettronici o di altro genere, ma nella quale l’apporto umano potrebbe essere rilevante. È un punto che ha notevole incidenza, poiché nell’ultimo caso l’area di applicazione del citato 1-bis risulta notevolmente più estesa.
Dubbi sorgono anche sul fatto che il comma quarto del nuovo art. 1-bis sembra introdurre nell’informativa anche “le istruzioni per il lavoratore in merito alla sicurezza dei dati”, operando, all’apparenza, una sorta di crasi inopportuna tra gli articoli 13 e 29 GDPR.
La stessa disposizione pare altresì imporre l’obbligo di integrare l’informativa con “l’aggiornamento del registro dei trattamenti”, ma se così fosse determineremmo un significativo aggravio sul titolare del trattamento rispetto all’assetto del GDPR, non giustificato da reali benefici per il lavoratore.
Ugualmente, potrebbe non essere del tutto limpido dalla formulazione del comma 4 se il richiamo all’obbligo di valutazione d’impatto introduca un nuovo caso obbligatorio di DPIA oppure semplicemente si limiti a rammentare (chissà poi perché in un testo normativo) la regola generale già vigente ex art. 35 GDPR, che non avrebbe bisogno di richiamo ma solo di applicazione.
Per vero, in altri casi l’art. 1-bis assolve a un’utile integrazione del quadro vigente, il che lo rende come si suol dire una “mixed bag”, una miscellanea di elementi negativi e positivi.
Appare per esempio opportuno, almeno ad opinione di chi scrive, che l’obbligo di chiarire “la logica ed il funzionamento dei sistemi”, precisato al comma secondo dell’art. 1-bis ma già contemplato da molti anni agli articoli 13.2.f) e 14.2.g) GDPR, sia rafforzato e riempito di contenuto attraverso la specificazione de:
- “le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi […] inclusi i meccanismi di valutazione delle prestazioni”;
- “le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità”;
- “il livello di accuratezza, robustezza e cybersicurezza dei sistemi […] e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse”.
Nessuna deroga al GDPR, ma precisazioni di liceità
Come si notava, le scelte lessicali adottate nella novella potrebbero legittimare, se lette con malizia, pratiche altamente invasive. Ecco, a peggiorare il tutto è intervenuta la casistica individuata dal Ministero del Lavoro e delle Politiche sociali con circolare n. 19 del 20 settembre 2022, dove leggiamo tra gli esempi di sistemi decisionali automatizzati: “software per il riconoscimento emotivo”, “strumenti di data analytics o machine learning, rete neurali, deep-learning”, “sistemi per il riconoscimento facciale, sistemi di rating e ranking”. Insomma, siamo nel pieno tritacarne degli algoritmi di controllo applicati alla prestazione lavorativa.
A questo punto interviene il Garante. L’Autorità con garbato eufemismo rileva come “particolarmente avvertita” “l’esigenza di coordinamento”, ponendo immediatamente il primo fondamentale paletto: occorre cioè chiedersi, avanti a ogni altra cosa, se i sistemi in parola siano leciti e in quale misura. L’art. 1-bis, in altre parole, non apre a deroghe di nessun genere in termini di garanzie del soggetto vulnerabile.
A essere onerato dell’obbligo di porsi la questione della compatibilità dei sistemi decisionali e di monitoraggio con la normativa vigente è solo e soltanto il titolare del trattamento, ossia il datore di lavoro pubblico e privato (o il committente), posto che “l’impiego di tali sistemi di monitoraggio particolarmente invasivi, pone, anzitutto, un tema di liceità dei trattamenti di dati personali effettuati mediante gli stessi” e in particolare suscita dubbi in ordine al rispetto del principio di proporzionalità.
Il secondo paletto fondamentale riguarda la collocazione della novella nella gerarchia delle fonti. L’Autorità di controllo correttamente riconduce il decreto trasparenza non nell’area delle deroghe ma in quella delle precisazioni di garanzia, e per l’esattezza all’art. 88 GDPR (in connessione con l’art. 6.2). Sia qui incidentalmente notato che non c’è traccia, al momento in cui si scrive, dell’assolvimento dell’obbligo di notifica alla Commissione prescritto dal paragrafo 3 di detta previsione, come può constatarsi dalla pagina pubblica dedicata alle notifiche.
La corretta collocazione dell’art. 1-bis tra le disposizioni di garanzia ha per conseguenza che nessuna previsione ivi contenuta può derogare al Regolamento in peius per il lavoratore. Ciò pone uno spartiacque netto: sono fatte salve le sole disposizioni migliorative delle garanzie del soggetto vulnerabile, ossia del lavoratore, mentre le altre vanno interpretate in senso strettamente conforme alla disciplina vigente.
Occorre rifarsi innanzitutto dall’art. 5 GDPR e alle norme di maggior dettaglio e precisazione costituite dagli artt. 113 e 114 del codice privacy. Ciò significa che resta dunque fermo non solo l’art. 4 Stat. Lav., ma (almeno) anche l’art. 8 Stat. Lav. e l’art. 10 d.lgs. 276/2003.
DPIA, registri, informativa, decisione automatizzata: le altre precisazioni del Garante
Veniamo ora ad alcuni passaggi salienti dell’impostazione del Garante, di chiarimento a vari interrogativi che si erano posti. Partiamo con la DPIA. Il nuovo art. 1-bis d.lgs. 152/1997 dispone che “al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal” GDPR “, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti”, procedendo altresì, se ce ne sono i presupposti, a consultazione preventiva.
Qui è bene notare che, nonostante la formulazione, non viene introdotto un nuovo caso di DPIA obbligatoria, ma il richiamo di legge si intende fatto ai casi in cui tale incombente sia già previsto in base alle regole generali. Lo chiarisce il Garante, ricordando in particolare le linee guida europee e una breve rassegna degli indici rilevanti, inclusa la situazione di “vulnerabilità” del lavoratore, e richiamando altresì il proprio provvedimento dell’11 ottobre 2018 [9058979] relativo ai casi in cui la DPIA è obbligatoria.
Resta invece sempre dovuta l’analisi del rischio, in applicazione della regola generale desumibile dall’art. 32 GDPR.
Veniamo ai registri del trattamento. Nonostante la confusa formulazione dell’art. 1-bis possa far ritenere altrimenti, l’Autorità chiarisce, in linea con il GDPR, che “il titolare del trattamento non è tenuto a informare gli interessati della predisposizione del registro e di ogni aggiornamento dello stesso”.
Informativa: rispetto alla corretta collocazione dei nuovi obblighi di comunicazione al lavoratore, il Garante evidenzia la necessità di astenersi da frammentazione e dispersione degli apporti conoscitivi, poiché ciò si porrebbe in disarmonia con l’art. 12 GDPR. Dunque, di regola, le ulteriori notizie previste dall’art. 1-bis vanno integrate nell’informativa ex art. 13 o se del caso 14 GDPR.
Infine, veniamo al modo di intendere la decisione automatizzata: il Garante interpreta, com’è conforme a diritto, l’espressione alla lettera, secondo cioè il significato proprio delle parole utilizzate dal legislatore. Ne deriva che rientra nel concetto anche la decisione non unicamente automatizzata, ossia quella in cui si affianca all’algoritmo un più o meno ampio margine di intervento umano. Invece, “se i sistemi impiegati diano luogo anche a un processo decisionale unicamente automatizzato, […] trova applicazione l’art. 22 del Regolamento”.
Conclusioni
Così opportunamente sfrondato, precisato e ricondotto a sistema, l’art. 1-bis del d.lgs. 152/1997 risulta privato del potenziale effetto di legittimare abusive modalità di controllo dell’attività lavorativa, tornando a collocarsi nell’orbita di garanzia del lavoratore che altrimenti connota il decreto trasparenza.
Va notato in proposito che le complessive modifiche apportate al d.lgs. 152/1997 sono senz’altro opportune e si collocano nel generale solco della direttiva UE 2019/1152.
Resta in ogni caso la disturbante presa d’atto che la consapevolezza del GDPR non sembra essere interamente penetrata negli uffici legislativi, e che altrettanto poco avvertita è l’esigenza di coinvolgere il Garante da subito nella verifica normativa, come invece l’art. 36.4 GDPR espressamente impone: “Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento [di dati personali]”.
Nella specie si sarebbe ottenuto un sostanziale guadagno di efficienza, evitando un intervento di correzione solo a posteriori da parte dell’Autorità, intervento che peraltro sconta purtroppo la fragilità giuridica di non essere stato trasfuso nel testo normativo, di non essere cioè entrato nell’impasto della norma, collocandosi oggi sul piano di interpretazione istituzionale, convincente ma non strettamente cogente.
In chiave positiva, leggiamo dell’avvio di un tavolo di confronto tra Garante, Ministero e Ispettorato Nazionale del lavoro, il che induce a confidare che le precisazioni sopra ricordate entreranno a pieno titolo quantomeno nella prassi applicativa.
