DECRETO TRASPARENZA E TRATTAMENTO DI DATI PERSONALI

DECRETO TRASPARENZA E TRATTAMENTO DI DATI PERSONALI

Il Dlgs 104/2022 “Decreto Trasparenza” è stato pubblicato da alcuni mesi, ma i dubbi sono ancora molti; anzi, più si approfondisce il testo e maggiori sono le domande che non trovano risposte esaurienti. In questo articolo si approfondiranno i seguenti elementi, in attesa di ulteriori indicazioni da parte dei Ministeri e degli enti interessati:
– esempi di trattamenti di dati personali automatizzati e decisionali ed il criterio loro sotteso;
– l’informazione ai lavoratori;
– il Dlgs 104/2002 come fonte di opportunità.
Alcuni esempi di trattamenti automatizzati e decisionali ed il criterio loro sotteso.
La determinazione dei criteri che permettono di comprendere se un trattamento automatizzato o decisionale rientra o meno nel perimetro del Decreto è un tema oggetto di continuo dibattito.
A fronte dei potenziali trattamenti che potrebbero ricadere nel perimetro del Decreto deve fungere da “faro” il concetto di “trasparenza”, ovvero le informazioni devono essere rese al lavoratore con l’obiettivo prioritario di rendere “completamente trasparente un trattamento ad un dipendente”, sia che esso fornisca la sua prestazione direttamente al suo datore di lavoro o ad un committente (ad esempio un lavoratore somministrato).
Il concetto generale è espresso nel seguente passaggio del Dlgs n. 104/2022, con l’introduzione dell’art. 1-bis al D.lgs. n. 152/1997: “il datore di lavoro/committente renda una serie di informative sull’utilizzo di tali sistemi, volte a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.
Informare i lavoratori– alcune note sul modello da utilizzare per fornire le informazioni – Analizzando quanto recita l’Art. 1-bis, comma 2 del Dlgs 104/2022 “… Ai fini dell’adempimento degli obblighi di cui al comma 1, il datore di lavoro o il committente è tenuto a fornire al lavoratore, unitamente alle informazioni di cui all’ articolo 1, prima dell’inizio dell’attività lavorativa, le seguenti ulteriori informazioni:
a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi di cui al comma 1;
b) gli scopi e le finalità dei sistemi di cui al comma 1;
c) la logica ed il funzionamento dei sistemi di cui al comma 1;
d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi di cui al comma 1, inclusi i meccanismi di valutazione delle prestazioni;
e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse….”
È lecito porsi alcune domande e soffermarsi su alcuni punti:
Punto e – nella frase «le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità» il riferimento al Responsabile del sistema di gestione della qualità risulta francamente incomprensibile. Sarebbe stato più corretto un riferimento alle «funzioni responsabili per la corretta applicazione del sistema automatico o decisionale». Tale funzione/funzioni si evincerebbero dall’organigramma aziendale e dal mansionario, che dovrebbe essere integrato.
Punto f – ferme restando le definizioni, che sono piuttosto tecniche, per quanto riguarda il livello di accuratezza, robustezza e cybersicurezza di un applicativo, tale richiesta dovrebbe esser inoltrata al fornitore che l’ha sviluppato – se si tratta di un’attività, come di norma accade, terzializzata che deve fornire indicazioni a riguardo nel caso non siano già state oggetto del contratto. Se la soluzione è stata concepita internamente, tali livelli dovrebbero essere definiti come elementi di ingresso allo sviluppo.
Nello specifico, la «robustezza di un software o di un algoritmo» è una misura della capacità di un software di far fronte ad input non validi, interazioni utente di tipo imprevisto o situazioni eccezionali (che non sono state considerate nelle specifiche di sviluppo). Un sistema robusto continua a funzionare correttamente anche a fronte di tali eventi ed è in grado di gestire errori senza arresti anomali o senza produrre risultati errati, inoltre è in grado di adattarsi ai cambiamenti nel suo ambiente operativo (es. sistema operativo ed altri componenti software ed hardware).
L’applicazione del D.lgs 104/2022 come Opportunità
Per quanto in molti siano concordi nell’affermare che il Dlgs 104/2022 presenta più ombre che luci, non va dimenticato che la sua applicazione può presentare anche delle opportunità per le organizzazioni, come ad esempio cogliere l’occasione per verificare che tutti i trattamenti di dati personali che interessano i dipendenti siano stati tracciati nell’informativa «tradizionale» e nell’informativa Dlgs 104/2022, quindi procedere con gli adempimenti previsti.
Fonte: Federprivacy