Informiamo che il Garante per la protezione dei dati personali ha pubblicato le prime indicazioni sul proprio portale sull’applicazione del D.lgs n. 104 del 27/6/2022 (cd. “Decreto trasparenza” che ha introdotto, tra l’altro, specifici obblighi informativi a carico del datore di lavoro in favore dei lavoratori) volte ad orientare i Titolari del trattamento e promuoverne la consapevolezza rispetto ad un’attuazione, per quanto possibile, coordinata ed efficace delle nuove disposizioni, alla luce degli obblighi imposti loro dal Regolamento (UE) 2016/679 (GDPR ) e dal d. lgs. 30 giugno 2003, n. 196.
In breve quest’ultimo ha affermato, per quanto attiene ai profili rilevanti in materia di protezione dei dati, che i nuovi obblighi informativi non sostituiscono quelli del GDPR e sono previsti qualora il datore di lavoro utilizzi “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.
L’art. 4 del Decreto indica le specifiche informazioni che – in aggiunta a quanto previsto dagli artt. 13 e 14 del GDPR – il Titolare ha l’obbligo di fornire al lavoratore, qualora tratti dati personali attraverso i predetti sistemi decisionali o di monitoraggio automatizzati. Alcuni di tali elementi informativi integrano quanto previsto dagli artt. 13 e 14 del GDPR, altri costituiscono, invece, una specificazione degli stessi.
Considerato che l’impiego dei predetti sistemi dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili (art. 4, par. 1, nn. 1) e 2), GDPR) nel contesto lavorativo, secondo il Garante emerge, in via preliminare, la necessità che tale disciplina di settore sia coordinata, in sede applicativa, con la normativa in materia di protezione dei dati personali. Devono quindi, ad esempio, essere sempre considerati preliminarmente i profili di liceità (basi giuridiche), effettuate adeguate analisi e valutazioni di rischi (nonché, dove ne sussistano i presupposti, valutazioni d’impatto sulla protezione dei dati personali), rispettati i principi di privacy by design e by default, adeguatamente aggiornato il registro dei trattamenti, garantito il funzionamento della procedura per l’esercizio dei diritti degli interessati.
In applicazione dei principi di liceità, correttezza e trasparenza del GDPR, il Garante ritiene auspicabile – anche per evitare la frammentazione delle informazioni destinate agli interessati e nella prospettiva di una semplificazione degli adempimenti richiesti – che tutte le informazioni siano complessivamente fornite al lavoratore prima dell’inizio del trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, nonché, in formato strutturato, di uso comune e leggibile da dispositivo automatico.