IL TRATTAMENTO DEI DATI PERSONALI

La nozione di trattamento include “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, ma anche la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4, n. 3 Reg. 2016/679). Le disposizioni del Regolamento relative al trattamento dei dati sono riferite anche ai lavoratori quali soggetti interessati ed il trattamento include le operazioni che comportino la comunicazione, diffusione o qualunque altra messa

68

a disposizione dei dati personali rilevanti nei casi di distacco o di somministrazione del personale.

Costituiscono casi particolari di trattamento, i trattamenti automatizzati e la profilazione, che non è altro che una forma particolarmente invasiva di trattamento automatizzato, consistente nell’utilizzo di dati personali per valutare determinati aspetti concernenti una persona fisica, al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti. La profilazione consiste, dunque, in un’analisi dei più disparati comportamenti umani, rispetto ad una popolazione di riferimento, al fine di ricavarne dati, analizzarli tramite algoritmi e categorizzarli nei cosiddetti cluster predefiniti dal titolare del trattamento, sulla base di parametri che quest’ultimo considera necessari allo scopo del trattamento stesso. Ai sensi dell’articolo 22 p.1 del Regolamento, l’interessato ha il diritto di non essere sottoposto a decisioni basate unicamente su tecniche automatizzate, compresa la profilazione e nei casi in cui ciò avviene, ad esempio, in quanto necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, il Regolamento prevede misure di tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato139_{. I trattamenti decisionali automatizzati devono essere oggetto di specifica}

informativa (art. 13, comma 2, lett. h, art. 14, comma 2, lett. g, art. 15, comma 1, lett h), che deve estendersi anche alla logica sottesa all’algoritmo. Inoltre, le decisioni assunte non possono essere affidate all’operare esclusivo dell’algoritmo, ma sono obbligatori meccanismi tecnici che assicurino l’umanizzazione del giudizio finale e il diritto di contestazione.

Nel caso in cui il trattamento automatizzato sia necessario per la conclusione o lo svolgimento di un contratto di lavoro tra il titolare e l’interessato e si trattino in modo

139 _{Art. 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione}

1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2. Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; c) si basi sul consenso esplicito dell’interessato.

3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato.

69

automatizzato dati riferibili al lavoratore al fine di analizzarne o prevederne aspetti riguardanti il rendimento professionale, l’affidabilità nello svolgimento delle mansioni, o al fine di porre in essere forme di recesso automatico dal contratto o sospensioni collegate al

rating raggiunto, sono previsti, a tutela dell’interessato, il diritto di richiedere l’intervento

umano e di esprimere la propria opinione o contestare le decisioni (art. 22 p. 2 Reg.)140. Le tutele previste con riferimento alla profilazione e alle decisioni automatizzate si applicano anche ai gig workers, coloro che prestano lavoro nella cosiddetta economia dei lavoretti, che in quanto soggetti interessati del trattamento, sono anch’essi destinatari delle disposizioni del Regolamento141.

La stessa cancellazione o distruzione del dato personale rientra nella nozione di trattamento: ne conseguono obblighi a carico dell’azienda in occasione della conclusione del rapporto e della distruzione dei dati personali contenuti sui personal computers e sui devices aziendali concessi in dotazione al lavoratore.

Ulteriore novità introdotta dal Regolamento è la definizione di “pseudonimizzazione” (art. 4 Reg.): il trattamento dei dati effettuato in modo tale che i dati personali non possano più essere attribuiti a uno specifico interessato senza l’utilizzo di informazioni aggiuntive, conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano immediatamente attribuiti a una persona fisica identificata o identificabile.

Il Regolamento subordina il trattamento dei dati personali ad una serie di presupposti di liceità, al verificarsi di almeno una delle condizioni indicate nell’articolo 6, tra le quali il consenso al trattamento dei propri dati personali per una o più specifiche finalità o la necessità del trattamento per adempiere un obbligo legale al quale è soggetto il titolare del trattamento. Tra le condizioni di liceità del trattamento, è opportuno richiamare l’attenzione sul “perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che

140 _{Critica A. Donini: in relazione al contratto di lavoro, che rientra nella deroga, l’efficacia protettiva}

ricavabile dalla conoscenza dei criteri per il trattamento sia inadeguata rispetto alle possibili conseguenze sulla posizione del prestatore(A. Donini, Tecniche avanzate di analisi dei dati e protezione dei lavoratori, in

Diritto delle Relazioni Industriali, n. 1/2018, 222).

141 _{Degli effetti della profilazione nel rapporto di lavoro abbiamo un’esperienza concreta nella Gig economy:}

algoritmi includono giudizi e valutazioni della clientela sulle prestazioni dei lavoratori, le elaborano e ne estraggono un punteggio che rappresenta il valore della prestazione del singolo. Qualora il punteggio scenda sotto una soglia decisa dalla piattaforma, questa è in grado di assumere decisioni automatizzate, disattivando, per esempio, automaticamente il profilo del prestatore, ed esercitando un vero e proprio diritto di recesso automatizzato dal rapporto di lavoro con i rischi che si possono facilmente immaginare.

70

richiedono la protezione dei dati personali” (art. 6, par. 1, lett. f), che non è altro che la riformulazione dell’equo bilanciamento tra interessi contrapposti142_.

2.3 Accountability: il titolare del trattamento e il responsabile della