Garante per la protezione dei dati personali, 24 gennaio 2023
Questioni interpretative e applicative in materia di protezione dei dati connesse all’entrata in vigore del D.lgs. 27 giugno 2022, n. 104 in materia di condizioni di lavoro trasparenti e prevedibili (cd. “Decreto trasparenza”).
Il Garante della Privacy è intervenuto sul decreto Trasparenza (D.lgs. n. 104/2022), con l’intento di fornire interpretazioni e suggerire prassi applicative. Il decreto è stato emanato in attuazione della direttiva comunitaria 1152/2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea. Come noto il decreto, emanato in attuazione della direttiva UE 1152/2019, pone in capo al datore di lavoro una serie di obblighi informativi, tra gli altri, sulle condizioni di lavoro, la durata dell’orario di lavoro, i permessi e in genere tutti gli istituti del rapporto di lavoro, aggiungendo una serie di ulteriori obblighi che a livello europeo sono ancora in discussione, quale ad esempio quello di informare sull’eventuale utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini dell’assunzione o del conferimento dell’incarico, della gestione e della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.
Su questi particolari strumenti il Garante ha ritenuto necessario intervenire, considerato che l’impiego dei predetti sistemi dà certamente luogo a un trattamento di dati personali e che tale trattamento va coordinato con la normativa in materia. In primo luogo, secondo il Garante, il datore di lavoro ha l’obbligo di verificare la liceità e la proporzionalità del trattamento e la corrispondenza con quanto previsto dall’articolo 8 dello Statuto dei lavoratori, che vieta qualunque trattamento che non sia rilevante al fine di verificare l’attitudine del lavoratore. Inoltre, proprio tenuto conto della peculiarità dei dati trattati, si invita il datore di lavoro a effettuare una valutazione d’impatto preventiva. E ancora: sarà necessario che il trattamento sia effettuato attraverso sistemi progettati per limitare acquisizioni di dati ulteriori rispetto alle finalità e sia conforme ai principi della protezione dei dati per impostazione predefinita.
Di tutto quanto detto sopra, il datore di lavoro dovrà informare il lavoratore attraverso un unico documento (informativa privacy), specificando altresì gli strumenti di cybersecurity utilizzati e il loro funzionamento.