WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Flash News

Uso di processi decisionali automatizzati e profilazione

25 Novembre 2024
Di cosa si parla in questo articolo

Il Garante Privacy, con provvedimento n. 675 del 13 novembre 2024, ha sanzionato una società per numerose e gravi violazioni del GDPR, con particolare riferimento all’utilizzo di processi decisionali completamente automatizzati per la valutazione di prestazioni lavorative, e altresì per l’uso illegittimo di sistemi di riconoscimento facciale dei lavoratori (dati biometrici).

L’uso di processi decisionali completamente automatizzati

Il Garante ha accertato che la Società ha violato gli artt. 5, par. 1, lett. a), 12 e 13 del GDPR: pur effettuando una pluralità di trattamenti attraverso processi decisionali integralmente automatizzati, ha omesso di fornire agli interessati le informazioni relative all’esistenza e alla specifica modalità di funzionamento dei predetti sistemi, in violazione dell’art. 1-bis del D. Lgs. 152/1997, prima dell’inizio dell’attività lavorativa (come richiesto dall’art. 1, comma 2, del D. Lgs. 26 maggio 1997, n. 152).

Tali sistemi erano deputati a fornire indicazioni rilevanti ai fini del conferimento dell’incarico, della gestione, della cessazione del rapporto di lavoro, dell’assegnazione di compiti, nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei rider.

In base all’art. 12 del GDPR, le informazioni sul trattamento devono essere fornite agli interessati in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro: solo laddove l’interessato lo richieda, le informazioni sul trattamento possono essere fornite oralmente, ma anche in questo caso grava sul titolare del trattamento l’obbligo di dimostrare di avere posto in essere condotte conformemente alla disciplina di protezione dei dati.

L’informativa della società in merito è risultata non contenere alcune delle informazioni previste dal comma 2 dell’art. 1-bis:

  • informazioni sulla logica e il funzionamento dei sistemi decisionali o di monitoraggio integralmente automatizzati (lett. c)
  • sulle categorie di dati e sui parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio integralmente automatizzati, inclusi i meccanismi di valutazione delle prestazioni (lett. d)
  • sulle misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione qualità (lett. e)
  • sul livello di accuratezza, robustezza e cybersicurezza (trasparenza circa il numero e la tipologia di operatori della Società che possono accedere ai dati trattati, protezione da accessi abusivi o illeciti ai dati, comunicazione dei dati a terze parti) dei sistemi decisionali o di monitoraggio integralmente automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse (lett. f).

Il Garante ha rilevato che l’attribuzione, in modalità automatizzata, del c.d. punteggio di eccellenza al dipendente, ha sempre un’incidenza significativa sull’attività dello stesso, condizionandone la possibilità di prenotare determinati turni di lavoro.

Attraverso i due sistemi algoritmici, la Società effettua dunque trattamenti consistenti nell’assunzione di decisioni, basate unicamente su trattamenti automatizzati, compresa la profilazione, relative all’assegnazione dei turni di lavoro e degli ordini di consegna, che incidono significativamente sull’interessato, mediante l’aumento o la riduzione delle occasioni lavorative, proprio per effetto delle decisioni assunte dal sistema.

Il GDPR ha disciplinato la materia all’art. 22 nonché, con riferimento alla nozione di profilazione, con l’art. 4, n. 4 e il cons. 71, laddove in particolare si definisce la profilazione come una forma di trattamento automatizzato dei dati personali che valuta aspetti personali di una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti ove ciò produca effetti giuridici o incida in modo analogo significativamente sulla sua persona.

Tale definizione si attaglia proprio ai trattamenti effettuati mediante i parametri che compongono il punteggio di eccellenza, volti ad analizzare il rendimento professionale, l’affidabilità e il comportamento, tenuto conto anche dell’ubicazione, per quanto riguarda l’assegnazione degli ordini nel turno di lavoro: La profilazione è pertanto utilizzata per assumere decisioni interamente automatizzate, attraverso il sistema di eccellenza, con effetti che incidono significativamente sull’interessato aumentando o riducendo significativamente le occasioni di lavoro offerte tramite la piattaforma.

E’ emerso altresì che pure con riguardo alle ipotesi di disattivazione (grievance) e di blocco dell’account, la Società ha effettuato trattamenti tramite processi decisionali completamente automatizzati: in particolare la Società ha indicato alcune ipotesi predeterminate di disattivazione in relazione alle quali non emergono effettivi e significativi margini di possibile intervento umano.

Il Garante richiama in proposito le Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del Regolamento 2016/679, adottate dal Gruppo di lavoro Articolo 29 in seno all’EDPB, che chiariscono l’ambito del coinvolgimento umano ritenuto significativo alla luce di una pluralità di elementi concreti: “il titolare del trattamento deve garantire che qualsiasi controllo della decisione sia significativo e non costituisca un semplice gesto simbolico. Il controllo dovrebbe essere effettuato da una persona che dispone dell’autorità e della competenza per modificare la decisione. Nel contesto dell’analisi, tale persona dovrebbe prendere in considerazione tutti i dati pertinenti. Nell’ambito della valutazione d’impatto sulla protezione dei dati, il titolare del trattamento dovrebbe individuare e registrare il grado di coinvolgimento umano nel processo decisionale e la fase nella quale quest’ultimo ha luogo”.

Peraltro, gli stessi parametri che compongono il sistema di eccellenza, sono preordinati a ridurre le occasioni di lavoro ai rider che non accettano la prestazione offerta: per il Garante, ciò comporta altresì la violazione di quanto stabilito dall’art. 47-quinquies, D. Lgs. n. 81/2015, che ha stabilito specifiche tutele, nell’ambito del lavoro tramite piattaforme digitali, in particolare il divieto di disporre l’esclusione dalla piattaforma e la riduzione delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione (ciò implica il venir meno della condizione di liceità del trattamento richiesta dall’art. 5, par. 1, lett. a) GDPR).

Trattamento di dati biometrici dei lavoratori

Il Garante ricorda che il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento), è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 GDPR e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. b), GDPR).

L’ordinamento vigente non consente quindi il trattamento di dati biometrici dei lavoratori per finalità di identificazione degli stessi (effettuato dopo il primo riconoscimento e successivamente in modo casuale) al fine di scongiurare sostituzioni di persona nell’adempimento della prestazione: tale trattamento non trova il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.

L’adozione del sistema biometrico da parte della Società non è peraltro idonea a impedire fenomeni di scambi di persona, come riconosciuto dalla stessa Società posto che, anche laddove il grado di affidabilità e accuratezza del sistema biometrico prescelto fosse sufficientemente elevato, sarebbe sempre possibile consegnare il dispositivo a persona diversa, dopo aver effettuato il riconoscimento: pertanto, la decisione della Società di ridurre i termini di conservazione dei dati biometrici raccolti, non modifica la valutazione di illiceità del trattamento dei dati biometrici, in assenza di idonea base giuridica, e pertanto in violazione degli artt. 5, par. 1, lett. a), e 9, par. 2, lett. b) GDPR.

Di cosa si parla in questo articolo

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 06 Febbraio
AI Act: primi adempimenti per gli operatori


Presidi di governance e controllo per l'uso dell'Intelligenza Artificiale

ZOOM MEETING
offerte per iscrizioni entro il 17/01

Iscriviti alla nostra Newsletter