g-docweb-display Portlet

Questioni interpretative e applicative in materia di protezione dei dati connesse all’entrata in vigore del d. lgs. 27 giugno 2022, n. 104 in materia di condizioni di lavoro trasparenti e prevedibili (c.d. “Decreto trasparenza”)

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: Newsletter del 24 gennaio 2023

 

 

Ministero del Lavoro

Ispettorato Nazionale del Lavoro
 

Oggetto: questioni interpretative e applicative in materia di protezione dei dati connesse all’entrata in vigore del d. lgs. 27 giugno 2022, n. 104 in materia di condizioni di lavoro trasparenti e prevedibili (c.d. “Decreto trasparenza”).

Come noto, in data 13 agosto 2022 è entrato in vigore il d.lgs. 27 giugno 2022, n. 104 di attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea (di seguito, il “Decreto”), che ha introdotto ulteriori obblighi informativi qualora il datore di lavoro utilizzi “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori”.

Poiché le nuove disposizioni di legge presentano profili rilevanti in materia di protezione dei dati, in quanto l’impiego dei predetti sistemi dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili (art. 4, par. 1, nn. 1) e 2), del Regolamento) nel contesto lavorativo, tale disciplina di settore deve essere necessariamente coordinata, in sede applicativa, con la normativa in materia di protezione dei dati personali (Regolamento (UE) 2016/679; d. lgs. 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali).

Lo stesso Decreto prevede, infatti, che resta salva “la configurabilità di eventuali violazioni in materia di protezione dei dati personali ove sussistano i presupposti di cui agli articoli 83 del Regolamento UE 2016/679 e 166 del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni”.

Al riguardo, nel prendere atto dei primi chiarimenti forniti da codesti Enti, sui profili di propria competenza, rispettivamente con circolare n. 19 del 20/9/2022 e con circolare n. 4 del 10/8/2022, e al fine di coordinare le reciproche posizioni e le linee interpretative in merito all’applicazione del Decreto si trasmette l’allegato documento che reca un’interpretazione sistematica delle disposizioni del Decreto, alla luce della disciplina eurounitaria in materia di protezione dei dati.

L’esigenza di coordinamento è particolarmente avvertita dall’Autorità anche in considerazione del fatto che la menzionata circolare del Ministero, nell’esemplificare i casi in cui possono trovare applicazione gli obblighi informativi oggetto del Decreto, fa riferimento a strumenti e tecnologie, quali, ad esempio, “software per il riconoscimento emotivo”, “strumenti di data analytics o machine learning, rete neurali, deep-learning”, nonché “sistemi per il riconoscimento facciale, sistemi di rating e ranking”, che, specie se impiegati nel contesto lavorativo, determinano un elevato livello di rischio per i diritti e le libertà degli interessati oggetto di specifica tutela nell’ambito del sistema di protezione dei dati personali.

L’impiego di tali sistemi di monitoraggio particolarmente invasivi, pone, anzitutto, un tema di liceità dei trattamenti di dati personali effettuati mediante gli stessi, tenuto conto della disciplina di settore in materia di impiego di strumenti tecnologici nel contesto lavorativo (v. art. 114 del Codice, che rimanda all’art. 4 della L. 300/1970).

Le specificità delle tecnologie di questi sistemi, nonché la natura dei dati trattati (ad esempio, i dati biometrici e quelli relativi alle emozioni del lavoratore) e le funzionalità che spesso ad essi sono associate, sollevano, altresì, dubbi in ordine alla stessa proporzionalità del loro impiego, nonché di compatibilità con i principi generali in materia di protezione dei dati e con il quadro di garanzie in materia di libertà e dignità del lavoratore, potendosi, peraltro, porsi in contrasto con le disposizioni nazionali che vietano al datore di lavoro di trattare informazioni attinenti alla sfera privata del lavoratore (v. art. 113 del Codice, che rimanda all’art. 8 della L. 300/1970).

Tanto premesso, anche al fine di superare le incertezze generatesi sul piano interpretativo e orientare le scelte sul piano applicativo dei titolari del trattamento che hanno rivolto quesiti e richieste di chiarimento a questa Autorità, si manifesta la disponibilità del Garante ad avviare un confronto sui temi oggetto del documento allegato.

IL DIRIGENTE DEL DIPARTIMENTO
Claudio Filippi

IL DIRIGENTE DEL DIPARTIMENTO
Francesco Modafferi

 

ALLEGATO

Prime indicazioni sul d. lgs. 27 giugno 2022, n. 104, c.d.  “decreto trasparenza”

1. Premessa.

l d. lgs. 27 giugno 2022, n. 104 di attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea (di seguito, il “Decreto”), introduce specifici obblighi informativi a carico del datore di lavoro pubblico e privato in favore dei lavoratori.

Il quadro normativo sopra richiamato origina, altresì, dalle proposte legislative in ambito eurounitario relative al lavoro su piattaforma (proposta di direttiva del Parlamento europeo e del Consiglio relativa al miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali, 9/12/2021 COM (2021) 762 final).

Considerata la stretta relazione delle norme sopravvenute con quelle già previste dalla disciplina di protezione dati, l’Autorità, anche in considerazione dei numerosi quesiti pervenuti, al fine di orientare gli enti pubblici e le imprese che devono dare attuazione alle disposizioni intende, con il presente documento, promuovere la consapevolezza dei titolari del trattamento rispetto a un’attuazione, per quanto possibile, coordinata ed efficace delle nuove disposizioni, alla luce degli obblighi imposti loro dal Regolamento (art. 57, par. 1, lett. d) del Regolamento).

2. Interazione del nuovo quadro regolatorio con la disciplina di protezione dei dati personali e sua compatibilità.

Per quanto attiene ai profili rilevanti in materia di protezione dei dati, i nuovi obblighi informativi sono previsti qualora il datore di lavoro utilizzi “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori”.

Considerato che l’impiego dei predetti sistemi dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili (art. 4, par. 1, nn. 1) e 2), del Regolamento) nel contesto lavorativo, emerge, in via preliminare, la necessità che tale disciplina di settore sia coordinata, in sede applicativa, con la normativa in materia di protezione dei dati personali (Regolamento (UE) 2016/679, di seguito, il “Regolamento” e d. lgs. 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali).

Tale esigenza si evince altresì da quanto indicato nello stesso Decreto laddove specifica che resta salva “la configurabilità di eventuali violazioni in materia di protezione dei dati personali ove sussistano i presupposti di cui agli articoli 83 del Regolamento UE 2016/679 e 166 del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni”.

Nel quadro del Regolamento, che ha previsto garanzie generali e uniformi su tutto il territorio dell’Unione in materia di trattamento di dati personali, la disciplina posta dal Decreto, che trova applicazione sia qualora il trattamento da parte del datore di lavoro venga effettuato in fase preassuntiva sia nel caso in cui venga posto in essere in costanza di rapporto di lavoro, può quindi essere considerata una disciplina più specifica e di maggior tutela per gli interessati nel contesto lavorativo, pienamente compatibile con quanto previsto dall’art. 88 del Regolamento, in quanto introduce, a livello nazionale, misure più appropriate e specifiche, con riferimento all’attuazione, nel contesto lavorativo, del principio di trasparenza e garanzie determinate in caso di impiego di sistemi decisionali o di monitoraggio nell’ambito dei rapporti di lavoro.

3. Ambito soggettivo di applicazione.

Con riferimento all’ambito soggettivo di applicazione della disciplina, l’art. 1 del Decreto prevede che le disposizioni trovino applicazione nel caso di: contratto di lavoro subordinato, ivi compreso quello di lavoro agricolo, a tempo indeterminato e determinato, anche a tempo parziale; contratto di lavoro somministrato; contratto di lavoro intermittente; rapporto di collaborazione con prestazione prevalentemente personale e continuativa organizzata dal committente di cui all'art. 2, co. 1, del d. lgs. 15 giugno 2015, n. 81; contratto di collaborazione coordinata e continuativa di cui all'art. 409, n. 3, c.p.c.; contratto di prestazione occasionale di cui all'art. 54-bis del d. l. 24 aprile 2017, n. 50, convertito, con modificazioni, dalla l. 21 giugno 2017, n. 96.

Le norme di nuova introduzione si applicano altresì ai rapporti di lavoro dei dipendenti delle pubbliche amministrazioni di cui all'art. 1, co. 2, del d. lgs. 30 marzo 2001, n. 165, e a quelli degli enti pubblici economici, nonché ai lavoratori marittimi, ai lavoratori della pesca (fatta salva la disciplina speciale vigente in materia) e ai lavoratori domestici (fatta eccezione per le previsioni di cui agli artt. 10 e 11).

Al contrario, le disposizioni in esame non trovano applicazione a: i rapporti di lavoro autonomo di cui al titolo III del libro V del codice civile e quelli di lavoro autonomo di cui al d. lgs. 28 febbraio 2021, n. 36, purché non integranti rapporti di collaborazione coordinata e continuativa, di cui all'art. 409, n. 3, del c.p.c.; i rapporti di lavoro caratterizzati da un tempo di lavoro predeterminato ed effettivo di durata pari o inferiore a una media di tre ore a settimana in un periodo di riferimento di quattro settimane consecutive; i rapporti di agenzia e rappresentanza commerciale; i rapporti di collaborazione prestati nell'impresa del datore di lavoro dal coniuge, dai parenti e dagli affini non oltre il terzo grado, che siano con lui conviventi; i rapporti di lavoro del personale dipendente di amministrazioni pubbliche in servizio all'estero, limitatamente all'art. 2 del d. lgs. 26 maggio 1997, n. 152, come modificato dal Decreto; i rapporti di lavoro del personale di cui all'art. 3 del d. lgs. 30 marzo 2001, n. 165 (relativamente alle disposizioni di cui al Capo III del Decreto).

Occorre considerare che, in ogni caso, anche ai rapporti di lavoro esclusi dall’applicazione del Decreto si applica, nella sua totalità, la disciplina generale in materia di protezione dati, incluse le disposizioni relative alle informazioni da rendere agli interessati e all’esercizio dei diritti da parte degli stessi (cfr., in particolare, artt. 5, par. 1, lett. a), 12, 13, 14, 15, 16, 17, 18, 19 e 21 del Regolamento).

4. Nuovi obblighi informativi.

L’art. 4 del Decreto introduce nel d. lgs. 26 maggio 1997, n. 152 l’art. 1-bis (“Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”) che indica le specifiche informazioni che - in aggiunta a quanto previsto dagli artt. 13 e 14 del Regolamento - il datore di lavoro ha l’obbligo di fornire al lavoratore, qualora tratti dati personali attraverso i predetti sistemi decisionali o di monitoraggio automatizzati.

Alcuni di tali elementi informativi integrano quanto previsto dagli artt. 13 e 14 del Regolamento, altri costituiscono, invece, una specificazione degli stessi.

Il contenuto.

Tra le informazioni ulteriori che il datore di lavoro, in qualità di titolare del trattamento, deve fornire all’interessato rientrano: gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati; il funzionamento dei sistemi; i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni; le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; il livello di accuratezza, robustezza e cibersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Tra gli elementi che, invece, specificano la portata di quanto già compreso negli artt. 13 e 14 del Regolamento, rientrano: la logica dei sistemi decisionali o di monitoraggio automatizzati, la cui indicazione, nell’impianto degli artt. 13 e 14, è espressamente richiesta nel caso di ricorso ai processi decisionali automatizzati, compresa la profilazione, di cui all’art. 22 del Regolamento; l’indicazione delle categorie di dati trattati, che nel Regolamento è specificamente prevista solo qualora i dati oggetto di trattamento non siano ottenuti presso l’interessato (art. 14, par. 1, lett. d), del Regolamento).

Il momento entro il quale devono essere assolti gli obblighi informativi.

Le disposizioni del Decreto si applicano a tutti i rapporti di lavoro, anche a quelli già instaurati alla data del 1° agosto 2022.

Con riguardo ai rapporti di lavoro instaurati anteriormente a tale data è previsto che i dipendenti possano ottenere i predetti elementi informativi a seguito di specifica richiesta scritta rivolta al datore di lavoro. Al riguardo si vedano anche le osservazioni formulate nel successivo paragrafo 6.

Con riferimento ai rapporti di lavoro instaurati successivamente a tale data gli obblighi informativi aggiuntivi devono essere adempiuti, per espressa disposizione normativa (art. 1, comma 2, del D. Lgs. 26 maggio 1997, n. 152), prima dell’inizio dell’attività lavorativa.

In tale quadro, resta salvo quanto previsto dagli artt. 13, par. 1, e 14, par. 3, del Regolamento in merito alla messa a disposizione degli interessati degli elementi informativi nei termini ivi previsti (“nel momento in cui i dati sono ottenuti” presso l’interessato, art. 13; “a) entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati; b) nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato; oppure c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali”, art. 14, par. 3).

In applicazione del principio di liceità, correttezza e trasparenza (artt. 5, par. 1, lett. a), del Regolamento), si ritiene auspicabile - anche per evitare la frammentazione delle informazioni destinate agli interessati e nella prospettiva di una semplificazione degli adempimenti richiesti al datore di lavoro - che tutte le informazioni siano complessivamente fornite al lavoratore prima dell’inizio del trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (v. art. 12 del Regolamento), nonché, come previsto dal comma 6 dell’art. 1-bis, “in formato strutturato, di uso comune e leggibile da dispositivo automatico”.

Per tali ragioni, le specifiche informazioni sui sistemi decisionali o di monitoraggio automatizzati possono (ed è raccomandabile che ciò avvenga) essere fornite congiuntamente (quindi nello stesso documento) alle informazioni di cui agli artt. 13 e 14 del Regolamento.

5. Sistemi decisionali o di monitoraggio automatizzati.

L’art. 1-bis, introdotto dall’art. 4 del Decreto nel d. lgs. 26 maggio 1997, n. 152, individua specifici obblighi informativi in caso di ricorso, da parte del datore di lavoro, a “sistemi decisionali automatizzati.

Considerato che l’impiego di tali sistemi può comportare il trattamento d’informazioni associate in via diretta o indiretta ai dipendenti, stante anche l’indeterminatezza e genericità della locuzione contenuta nel decreto, occorre in ogni caso che il titolare del trattamento verifichi la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a) e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali sistemi.

Il datore di lavoro, titolare del trattamento, deve pertanto rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento).

In particolare, dovrà quindi essere sempre verificata la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice (lo stesso comma 1 dell’art. 1-bis del Decreto prevede espressamente che “resta fermo quanto disposto dall' articolo 4 della legge 20 maggio 1970, n. 300”) nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni e fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice). Gli artt. 113 e 114 del Codice sono infatti considerati, nell’ordinamento italiano, disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento, la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione determina l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

Il titolare del trattamento è inoltre tenuto a rispettare i principi generali del trattamento (art. 5 del Regolamento) e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (richiamate anche dal comma 4 dell’art. 1-bis introdotto dal Decreto).

Inoltre, in attuazione del principio di responsabilizzazione (che impone l’adozione di adeguate misure tecniche e organizzative atte a garantire, e consentire al titolare di dimostrare, che il trattamento avvenga in conformità alla normativa vigente; cfr. artt. 5, par. 3, 24 e 25 del Regolamento), spetta al titolare valutare se i trattamenti che si intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerati la natura, l'oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (art. 35 del Regolamento).

In titolare, nel verificare la sussistenza dell’obbligo di procedere ad una valutazione di impatto deve tenere conto delle indicazioni fornite anche a livello europeo sul punto, in merito, in particolare:

alla particolare “vulnerabilità” degli interessati nel contesto lavorativo (cfr. considerando 75 e art. 88 del Regolamento e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menziona espressamente “i dipendenti”);

al fatto che l’impiego nell’ambito lavorativo di sistemi che comportano il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (cfr. criterio n. 3 indicato nelle Linee guida, cit., ma vedi anche criteri 4 e 7), può presentare rischi, in termini di possibile monitoraggio dell’attività dei dipendenti (cfr. artt. 35 e 88, par. 2, del Regolamento v. anche Provv. del Garante dell’11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1, che espressamente menziona i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”).

Considerato l’ambito di applicazione oggettivo del Decreto, possono, peraltro, venire in rilievo anche altri dei criteri individuati dal Comitato europeo per la protezione dei dati ai fini della valutazione dell’obbligo di redigere una valutazione d’impatto sulla protezione dei dati (valutazione o assegnazione di un punteggio; processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente; trattamento di dati su larga scala; creazione di corrispondenze o combinazione di insiemi di dati; uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative; trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto).

Al riguardo, si ricorda che, nella maggior parte dei casi, un titolare del trattamento può considerare che un trattamento che soddisfi almeno due criteri debba formare oggetto di una valutazione d'impatto sulla protezione dei dati e che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che configuri un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d'impatto sulla protezione dei dati.

Resta in ogni caso fermo che la redazione di una valutazione d’impatto è sempre obbligatoria allorquando si faccia ricorso a “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche” (art. 35, par. 3, lett. a), del Regolamento).

In tale quadro, dovrà essere rispettato altresì il principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento) mediante l’adozione di misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati (art. 5 del Regolamento) e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati.

Il trattamento dovrà essere, inoltre, conforme al principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento), ponendo in essere scelte tali da garantire che venga effettuato, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità. Ciò comporta quindi che, per impostazione predefinita, il titolare del trattamento non deve raccogliere dati personali che non siano necessari per la specifica finalità del trattamento (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 42, 44 e 49).

In attuazione di tali principi, il titolare del trattamento, anche quando utilizza sistemi tecnologici realizzati da terzi, dovrà eseguire, avvalendosi del supporto del responsabile della protezione dei dati, ove nominato, un’analisi dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, in particolare le norme nazionali che disciplinano le condizioni per l’impiego degli strumenti tecnologici sul posto di lavoro.

Tra gli obblighi generali connessi alle attività di trattamento dei dati personali il Regolamento prevede in particolare in capo al titolare del trattamento quello di redigere il registro delle attività di trattamento al ricorrere dei relativi presupposti (art. 30 del Regolamento; per approfondimenti relativi al registro del trattamento si rimanda alla specifica pagina informativa disponibile sul sito https://www.garanteprivacy.it/registro-delle-attivita-di-trattamento, nonché al documento “Working Party 29 Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR”).

Tale registro, idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, è indispensabile per consentire al titolare di censire i trattamenti effettuati e documentarne la conformità alla disciplina in materia di protezione dei dati personali.

Considerata la funzione del registro, visto l’art. 1-bis, comma 4, del Decreto (“Il datore di lavoro o il committente sono tenuti a integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio”), si precisa che il titolare del trattamento non è tenuto a informare gli interessati della predisposizione del registro e di ogni aggiornamento dello stesso.

Occorre infine valutare attentamente se i sistemi impiegati diano luogo anche a un processo decisionale unicamente automatizzato, compresa la profilazione, che produca effetti giuridici o che incida significativamente sull’interessato; in questi casi trova applicazione l’art. 22 del Regolamento  che stabilisce le ipotesi in cui il diritto di non essere sottoposto a tali trattamenti può essere derogato e le garanzie per l’interessato, tra cui, in particolare, il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione (v. anche il cons. 71 del Regolamento, relativo alla adozione di misure tecniche e organizzative per garantire “che siano rettificati i fattori che comportano inesattezze di dati e sia minimizzato il rischio di errori”, nonché per scongiurare “effetti discriminatori” nei confronti degli interessati).

6. Accesso ai dati personali.

Considerato che il Decreto prevede infine che con riguardo ai rapporti di lavoro instaurati anteriormente al 1° agosto 2022 i dipendenti possono ottenere i predetti elementi informativi a seguito di specifica richiesta scritta rivolta al datore di lavoro, il quale è tenuto a fornire riscontro entro 60 giorni (v. art. 16), si precisa che resta salvo il diritto  per l’interessato di ottenere l’accesso ai propri dati personali comprese le ulteriori informazioni previste dal Decreto alle condizioni e nei tempi previsti dall’art. 15 Regolamento in materia di diritto di accesso ai propri dati personali.