[doc. web n. 10079136]

Parere sullo schema di decreto del Ministro del lavoro e delle politiche sociali di attuazione degli artt. 25 e 26 del d.l. 7 maggio 2024, n. 60 - 13 novembre 2024

Registro dei provvedimenti
n. 662 del 13 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il d.l. 4 maggio 2023, n. 48, recante “Misure urgenti per l’inclusione sociale e l’accesso al mondo del lavoro”, convertito, con modificazioni, dalla l. 3 luglio 2023, n. 85, che introduce le misure dell’Assegno di inclusione (di seguito, ADI) e del Supporto per la formazione e il lavoro (di seguito, SFL), istituendo, a questo fine, il Sistema informativo per l’inclusione sociale e lavorativa (di seguito, SIISL);

VISTI i due decreti del Ministro del lavoro e delle politiche sociali 8 agosto 2023, recanti, rispettivamente, “Sistema informativo per l'inclusione sociale e lavorativa” (attuativo del SIISL) e “Supporto per la formazione e il lavoro” (attuativo del SFL) – su cui il Garante si è pronunciato con provv. n. 354 del 3 agosto 2023 (disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 9918937) e il decreto del Ministro del lavoro e delle politiche sociali 16 dicembre 2023 (attuativo dell’ADI) – su cui il Garante si è pronunciato con provv. n. 597 del 12 dicembre 2023 (doc. web n. 10000877);

VISTO il d.l. 7 maggio 2024, n. 60, recante “Disposizioni in materia di utilizzo delle risorse delle politiche di coesione europea”, convertito, con modificazioni, dalla l. 4 luglio 2024, n. 95, che, in particolare, stabilisce che:

- “1. I percettori della nuova prestazione di assicurazione sociale per l'impiego (NASPI) e quelli dell'indennità di disoccupazione per i lavoratori con rapporto di collaborazione coordinata e continuativa (DIS-COLL), di cui al decreto legislativo 4 marzo 2015, n. 22, sono iscritti d'ufficio alla piattaforma del sistema informativo per l'inclusione sociale e lavorativa (SIISL) di cui all'articolo 5 del decreto-legge 4 maggio 2023, n. 48, convertito, con modificazioni, dalla legge 3 luglio 2023 n. 85. Gli stessi soggetti sono tenuti alla sottoscrizione del curriculum vitae, del patto di attivazione digitale e del patto di servizio sulla piattaforma, nei modi e termini definiti con decreto del Ministro del lavoro e delle politiche sociali […]. A tal fine, potranno essere precompilate le informazioni presenti nelle banche dati del Ministero del lavoro e delle politiche sociali o presso le banche dati detenute da amministrazioni o enti pubblici, ferma restando la possibilità di integrazione e rettifica da parte dell'interessato. 2. I Centri per l'impiego individuano, anche per il tramite della piattaforma presente nel Sistema informativo per l'inclusione sociale e lavorativa, le offerte di lavoro più congrue, ai fini dei successivi adempimenti previsti dal decreto legislativo 4 marzo 2015, n. 22 […]” (art. 25, commi 1 e 2);

- “1. Il Ministero del lavoro e delle politiche sociali […] definisce: a) le modalità e le condizioni attraverso cui ai datori di lavoro è consentito pubblicare sul sistema informativo per l'inclusione sociale e lavorativa le posizioni vacanti all'interno dei loro organici; b) le modalità di accesso su base volontaria da parte degli utenti alla ricerca di occupazione, diversi dai soggetti obbligati a tale ricerca sulla base delle vigenti disposizioni. 2. All'interno del sistema informativo per l'inclusione sociale e lavorativa sono inserite anche le posizioni vacanti pubblicate dai datori di lavoro su piattaforme pubbliche nazionali e internazionali. 3. Al fine di favorire l'incontro tra domanda e offerta di lavoro, il Sistema Informativo per l'inclusione sociale e lavorativa utilizza, nei limiti consentiti dalle disposizioni vigenti, gli strumenti di intelligenza artificiale per l'abbinamento ottimale delle offerte e delle domande di lavoro ivi inserite […]” (art. 26, commi 1-3);

VISTA la nota inviata il 16 ottobre 2024, a seguito delle interlocuzioni intrattenute con l’Ufficio del Garante, con cui è stato trasmesso all’Autorità, ai fini dell’acquisizione del parere di competenza, lo schema di decreto del Ministro del lavoro e delle politiche sociali di attuazione dei menzionati artt. 25 e 26 del d.l. n. 60/2024;

RILEVATO che il suddetto schema di decreto stabilisce, in particolare:

- l’iscrizione d’ufficio al SIISL (gestito dal Ministero del lavoro e delle politiche sociali – di seguito, Ministero), per il tramite dell’INPS, dei richiedenti le misure della Nuova prestazione di assicurazione sociale per l'impiego (di seguito, NASPI) o dell’Indennità di disoccupazione per i lavoratori con rapporto di collaborazione coordinata e continuativa (di seguito, DIS-COLL), al momento dell’accoglimento della domanda, con la conseguente comunicazione, dall’INPS al SIISL, dei dati relativi a tali interessati e degli eventi concernenti le relative pratiche (art. 2, commi 1-3);

- la precompilazione, per il tramite del SIISL, delle informazioni relative al curriculum vitae, al Patto di attivazione digitale e degli elementi utili alla redazione del Patto di servizio personalizzato, utilizzando i dati pertinenti presenti in banche dati pubbliche indicate, fatta salva la facoltà di integrazione o rettifica degli stessi da parte dell’interessato (art. 2, commi 4-6, e allegato tecnico 1);

- la trasmissione, dall’INPS al SIISL, dei dati di contatto dei percettori di NASPI o DIS-COLL, come acquisiti dal predetto Istituto al momento della ricezione della domanda e qualora non già disponibili nell’Archivio unico dei contatti telematici (art. 3);

- la periodica messa a disposizione dei Centri per l’impiego, da parte del SIISL, delle informazioni relative ai beneficiari che non hanno effettuato attività di accesso alla piattaforma, né presentato autocandidature per offerte di lavoro pubblicate o per opportunità di formazione e che non risultano impegnati in percorsi formativi o in politiche attive (art. 6, commi 7 e 8);

- la possibilità per chiunque di iscriversi volontariamente al SIISL e di caricare il proprio curriculum vitae e manifestare il proprio interesse a svolgere un’attività lavorativa o formativa, consentendo all’utente anche di scegliere le categorie di imprese alle quali rendere visibile il proprio curriculum vitae o escluderne la visibilità (art. 8);

- l’accessibilità, da parte delle imprese, ai curricula vitae degli utenti che ne hanno autorizzato la visualizzazione e l’esportazione (quest’ultima nei limiti e nelle modalità compatibili rispetto alla finalità di supporto alle attività di selezione dei candidati), senza avere la visibilità delle generalità e dei dati di contatto degli interessati, se non solo dopo apposita richiesta di autorizzazione rivolta agli interessati stessi, da veicolare tramite il SIISL (art. 9, commi 7 e 8);

- il richiamo alle modalità e garanzie, nel trattamento dei dati personali, stabilite nel menzionato decreto attuativo del SIISL (art. 15);

RILEVATO, inoltre, che, “Allo scopo di favorire l’incontro tra domanda e offerta di lavoro”, il medesimo schema di decreto, con riferimento ai trattamenti connessi alla generazione e all’utilizzo (anche mediante messa a disposizione delle imprese e dei Centri per l’impiego) di un “indice di affinità” basato su un modello di calcolo algoritmico “per l’abbinamento ottimale delle offerte e delle domande di lavoro” (cfr. artt. 5, 6, 9 e 10), nonché alla compilazione del curriculum vitae (cfr. art. 4) e alla ricerca di corsi di formazione (cfr. art. 13) da parte degli interessati, prevede il ricorso a strumenti di Intelligenza artificiale (di seguito, IA), disponendo, al riguardo (art. 14), che:

- “ciascun utente iscritto volontariamente o d’ufficio riceve un’opportuna informativa, costantemente aggiornata, sul trattamento dei dati personali ai sensi e per gli effetti degli artt. 13 e 14 del regolamento (UE) 2016/679, finalizzata a renderlo edotto anche delle modalità di utilizzo dell’algoritmo di incontro dei dati e dei relativi effetti. Gli utenti potranno altresì prendere visione di un estratto della valutazione di impatto sulla protezione dei dati (DPIA) condotta ai sensi dell’art. 35 del Regolamento e redatta tenendo conto delle eventuali opinioni dei soggetti a vario titolo coinvolti nel trattamento in esame” (comma 2);

- i trattamenti effettuati attraverso strumenti di IA “avvengono nel rispetto dei principi in materia di protezione dei dati personali e, in particolare, nel rispetto dei principi di correttezza, trasparenza, minimizzazione, limitazione della finalità e della conservazione ed esattezza dei dati, a valle della valutazione d’impatto, attesi i rischi per i diritti e le libertà degli interessati, assicurando in particolare: il diritto di ottenere l’intervento umano e di esprimere la propria opinione e di contestare la decisione; l’esclusione dal trattamento dei dati appartenenti alle categorie particolari di cui all’art. 9 del Regolamento; a periodica revisione dell’algoritmo al fine di incrementarne l’efficacia, sulla base delle risultanze di attività di audit condotte dal titolare nonché di segnalazioni di anomalie provenienti dagli utenti; l’adozione di misure adeguate al fine di assicurare la trasparenza, la libera adesione e la revocabilità del ricorso all’algoritmo da parte dell’interessato” (comma 3);

- siano previste le seguenti misure: “a) sono adottate soluzioni efficaci per rendere l’utente pienamente informato e consapevole delle regole di calcolo dell’indice di affinità, anche mediante la pubblicazione di un estratto della valutazione di impatto sulla protezione dei dati; b) tutti gli utenti del SIISL possono non utilizzare l’indice di affinità; gli esiti dell’applicazione dell’indice di affinità sono memorizzati dal sistema per il tempo strettamente necessario alla finalità d’uso per cui la funzionalità è resa disponibile; c)  i dati forniti dall’utente e dalle aziende non sono utilizzati per perfezionare il modello, evitando che dati di bassa qualità possano influenzare il meccanismo di funzionamento dell’algoritmo; d) gli algoritmi di Intelligenza Artificiale utilizzati su SIISL sono testati su dati di produzione opportunamente pseudonimizzati, adottando meccanismi di hashing sugli identificativi; e)  le tipologie di dato utilizzate nell’esecuzione degli algoritmi di Intelligenza Artificiale riguardano formazione, esperienza lavorativa, competenze, aspettative lavorative e indirizzo di domicilio/residenza, sono escluse tipologie di dato relative alla sfera economica e sanitaria; f) gli algoritmi di Intelligenza Artificiale a supporto delle funzionalità di compilazione assistita del Curriculum e di Raccomandazione corsi, entrambe facoltative, sono impiegati in modo da mitigare e ridurre al minimo l’impatto di possibili risultati non corretti; g) il personale coinvolto nei trattamenti in esame è destinatario di una specifica formazione” (comma 4);

CONSIDERATO, preliminarmente, che i trattamenti di dati personali in esame presentano rischi elevati per i diritti e le libertà degli interessati, in quanto riguardano dati personali, su larga scala, relativi alla condizione sociale e alla situazione economica e finanziaria degli interessati, in quanto beneficiari di misure di sostegno da parte dello Stato, relativi principalmente a soggetti vulnerabili, in grado di condizionare l’accesso a servizi e prestazioni sociali nonché la riqualificazione professionale e l’inserimento lavorativo. Tali ultimi elementi devono essere adeguatamente individuati e mitigati nell’ambito della valutazione di impatto sulla protezione dei dati, e dei relativi aggiornamenti, che il titolare del trattamento deve effettuare ai sensi dell’art. 35 del Regolamento;

CONSIDERATO che, in primo luogo, lo schema di decreto in esame tiene conto delle osservazioni fornite dall’Ufficio durante lle interlocuzioni informali intercorse al fine di rendere conformi alla normativa in materia di protezione dei dati personali, in ossequio al principio di privacy by design e by default (art. 25 del Regolamento), i trattamenti ivi disciplinati, che hanno riguardato, in particolare:

- un maggior dettaglio nella definizione delle tipologie di dati personali trattate nell’ambito del SIISL per le finalità previste dalla normativa in esame, nonché nell’indicazione delle banche dati pubbliche dalle quali tali informazioni originano, nel rispetto dei principi di liceità, correttezza e trasparenza e di minimizzazione dei dati (art. 5, par. 1, lett. a) e c), del Regolamento). Resta in ogni caso fermo che, qualora sorgesse l’esigenza di incrementare il novero di dati personali e/o nuove operazioni di trattamento (come, ad esempio, la raccolta di informazioni presso banche dati ulteriori rispetto a quelle già previste), tali novità dovranno essere disciplinate in una base giuridica avente rango non inferiore all’attuale decreto ministeriale, previa consultazione del Garante, nel rispetto dell'art. 6, parr. 1, lett. e), e 3, e dell’art. 36, par. 4, del Regolamento, nonché dell’art. 2-ter del Codice (nonché, laddove fossero oggetto di trattamento categorie particolari di dati, nel rispetto dell’art. 9, par. 2, lett. g), del Regolamento e dell’art. 2-sexies del Codice);

- il trattamento dei soli dati personali degli interessati necessari al raggiungimento della specifica finalità di selezione, reclutamento e assunzione, raccogliendo le sole informazioni pertinenti rispetto alla formazione e al profilo professionale, al percorso di riqualificazione professionale intrapreso dall’interessato e alla natura della futura occupazione dello stesso, nel pieno coordinamento con le disposizioni nazionali, più specifiche e di maggior tutela, che garantiscono la dignità e la libertà degli interessati, anche nelle fasi antecedenti all’instaurazione del rapporto di lavoro (art. 88 del Regolamento, art. 113 del Codice), nel rispetto dei principi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, nonché di privacy by design e by default (art. 5, par. 1, lett. a), b) e c), e art. 25 del Regolamento);

- il conferimento dei dati di contatto al SIISL da parte degli interessati nonché la loro messa a disposizione di imprese e di Centri per l’impiego solo a seguito di autorizzazione resa dai medesimi, nel rispetto dei principi di liceità, correttezza e trasparenza e di minimizzazione dei dati (art. 5, par. 1, lett. a) e c), del Regolamento), nonché delle richiamate disposizioni nazionali che garantiscono la dignità e la libertà degli interessati, anche nelle fasi antecedenti all’instaurazione del rapporto di lavoro (art. 88 del Regolamento e art. 113 del Codice);

- le informazioni rese ai beneficiari in merito ai controlli effettuati dai Centri per l’impiego, e alle relative conseguenze, in ordine al rispetto degli obblighi gravanti sugli stessi, nel rispetto dei principi di liceità, correttezza e trasparenza e degli obblighi informativi (art. 5, par. 1, lett. a), e artt. 12 e ss. del Regolamento);

- le garanzie per gli interessati in merito alle operazioni di consultazione ed esportazione dei curricula vitae da parte delle imprese, nel rispetto dei principi di liceità, correttezza e trasparenza, di limitazione della finalità e di minimizzazione dei dati (art. 5, par. 1, lett. a), b) e c), del Regolamento);

- i tempi di conservazione, presso il SIISL, delle informazioni acquisite relativamente ai percettori di NASPI e DIS-COLL, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento);

CONSIDERATO, in secondo luogo, che lo schema di decreto prevede, all’interno del SIISL, trattamenti di dati personali da effettuarsi mediante strumenti di IA, in relazione ai quali, anche tenendo conto delle osservazioni fornite dall’Ufficio durante le interlocuzioni informali intercorse, sono state introdotte, all’art. 14, garanzie volte ad assicurare il rispetto della disciplina in materia di protezione dei dati personali, con particolare riferimento al rispetto dei principi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione dei dati e di privacy by design e by default, alla definizione delle tipologie di dati trattati con l’esclusione delle categorie particolari di dati, alla valutazione d’impatto sulla protezione dei dati e alle misure a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati, anche al fine di assicurare il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (cfr. spec. art. 5, par. 1, lett. a), b) e c), e artt. 6, 9, 12, 13, 14, 22, 24 e 35 del Regolamento);

RITENUTO che il parere debba essere reso nei termini indicati nell’art. 9, comma 3, del decreto legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205, considerato che, come riportato nelle premesse dello schema di decreto, l’intervento regolatorio in questione si colloca nel percorso di attuazione di politiche rientranti nell’ambito del Piano nazionale di ripresa e resilienza (PNRR);

RITENUTO, pertanto, di poter esprimere parere favorevole sullo schema di decreto in esame per i profili di competenza in relazione al quadro normativo vigente, fermo restando, in ogni caso, che, con riferimento ai trattamenti di dati personali effettuati mediante strumenti di IA, il titolare del trattamento, in ossequio al principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), è tenuto ad adottare, a valle della valutazione d’impatto svolta anche tenendo conto delle eventuali opinioni dei soggetti a vario titolo coinvolti nel trattamento in esame (art. 35 del Regolamento), misure tecniche e organizzative adeguate in relazione alle particolari caratteristiche dei trattamenti medesimi; resta fermo che, in tale quadro, il titolare è tenuto ad adottare processi di verifica della qualità dei modelli di calcolo alla base degli strumenti di IA impiegati, documentando adeguatamente, in rapporti periodici, le metriche utilizzate, le attività svolte, le eventuali criticità riscontrate e le misure di conseguenza adottate e a mettere a disposizione dell’Autorità, in caso di specifica richiesta, gli esiti di tali verifiche;

RITENUTI, inoltre, impregiudicati ulteriori requisiti e garanzie che potrebbero derivare dall’applicazione del nuovo quadro normativo in materia di IA (a partire dal regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024  che stabilisce regole armonizzate sull'intelligenza artificiale e modifica i regolamenti (CE) n. 300/2008, (UE) n. 167/2013, (UE) n. 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 – regolamento sull'intelligenza artificiale: cfr., al riguardo, art. 3, n. 1, con riferimento alla definizione di sistema di IA, e art. 111, par. 2, con riferimento agli obblighi relativi ai sistemi di IA messi in servizio prima del 2 agosto 2026; cfr. altresì la Resolution on Artificial Intelligence and Employment, adottata in occasione della 45th Closed Session of the Global Privacy Assembly, ottobre 2023, disponibile in https://globalprivacyassembly.org/wp-content/uploads/2023/10/1.-Resolution-on-AI-and-employment-1.pdf), con specifico riferimento ai sistemi di IA “ad alto rischio” quali quelli destinati a essere utilizzati per l'assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati (cfr. all. III, punto 4), lett. a), del summenzionato regolamento sull’IA);

RITENUTO, in ogni caso, che quando l’utilizzo di strumenti di IA comporta il trattamento di dati personali, occorre garantire il rispetto della disciplina in materia di protezione dei dati personali e l’applicazione delle garanzie ivi previste a tutela dei diritti e delle libertà fondamentali delle persone, la cui osservanza è assicurata dal Garante per la protezione dei dati personali nell’esercizio dei compiti e poteri attribuitigli dal Regolamento;

RITENUTO, infine, anche su tale base, necessario riservarsi di effettuare verifiche sui trattamenti posti in essere mediante strumenti di IA, con riguardo al rispetto delle garanzie a tutela dei diritti e delle libertà fondamentali delle persone fisiche;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro del lavoro e delle politiche sociali di attuazione degli artt. 25 e 26 del d.l. 7 maggio 2024, n. 60.

Roma, 13 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei