Nuovi incessanti sviluppi caratterizzano la fase di adeguamento dell’ordinamento italiano post-GDPR. Tra questi paiono particolarmente significativi gli interventi in tema di rapporti di lavoro e di intelligenza artificiale. Nel contempo, le autorità di controllo hanno anche avviato l’enforcement della nuova normativa e il caso di maggior rilievo è la condanna di Google da parte della CNIL francese.
1. Trattamento di particolari categorie di dati e rapporto di lavoro: il Garante italiano individua le prescrizioni compatibili con il GDPR nel Provvedimento n. 497/2018
1.1 Il Provvedimento di revisione delle vecchie Autorizzazioni Generali. Con il Provvedimento n. 497 del 13 dicembre 2018 (il “Provvedimento”), l’Autorità Garante per la Protezione dei dati personali (il “Garante”) ha individuato le prescrizioni, contenute nelle vecchie Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016, che risultano ancora compatibili con il nuovo quadro legale europeo ed italiano in materia di protezione dei dati personali (le “Prescrizioni”).
Il Provvedimento è stato contestualmente sottoposto a consultazione pubblica, che scadrà il 12 marzo 2019.
Una volta che le anzidette Prescrizioni siano state approvate in via definitiva in esito alla menzionata procedura di consultazione, Ia loro violazione renderà inutilizzabili i dati trattati ed esporrà il trasgressore a sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
1.2 Rapporto di lavoro e particolari categorie di dati. Tra le cinque autorizzazioni incluse nella revisione del Garante è di particolare rilievo per le imprese la n. 1/2016, concernente il trattamento di “categorie particolari di dati” nei rapporti di lavoro.
1.2.1 Categorie particolari di dati. A norma dell’art. 9 del GDPR per “categorie particolari di dati” s’intendono i dati personali (già denominati “dati sensibili” nel previgente Codice Privacy) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
1.2.2 Chi è tenuto al rispetto delle Prescrizioni. Il Provvedimento si applicherà a tutti coloro che, a vario titolo effettuano trattamenti per finalità di instaurazione, gestione ed estinzione del rapporto di lavoro: agenzie per il lavoro e altri intermediari, persone fisiche e giuridiche, imprese, anche sociali, enti, associazioni e organismi che sono parte di un rapporto di lavoro, organismi paritetici, rappresentanti dei lavoratori per la sicurezza, consulenti del lavoro, associazioni di datori nel perseguimento di fini leciti statutari, medici competenti in qualsiasi regime che eroghino i propri servizi.
1.2.3 Interessati alla tutela. Il novero dei soggetti interessati, ovvero i soggetti i cui dati devono essere trattati nel rispetto delle Prescrizioni del Garante, risulta notevolmente ampio e non si limita a ricomprendere esclusivamente i lavorati subordinati. Risultano infatti tutelati: candidati all’assunzione, consulenti e liberi professionisti, agenti, rappresentanti e mandatari, lavoratori autonomi, persone fisiche che ricoprono cariche sociali o altri incarichi in persone giuridiche, enti, associazioni e organismi, terzi danneggiati nell’esercizio dell’attività lavorativa o professionale dei soggetti interessati e i familiari o conviventi di questi per il rilascio di agevolazioni o permessi.
1.2.4 Basi giuridiche del trattamento. Il Provvedimento indica, tra le finalità lecite del trattamento: l’applicazione di leggi e contratti collettivi in materia d’instaurazione, gestione e cessazione dei rapporti di lavoro, l’applicazione della normativa in materia di previdenza e assistenza anche integrativa, o in materia d’igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale, l’erogazione di contributi, la corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori, a salvaguardia della vita e dell’incolumità fisica dei lavoratori o di terzi, la garanzia delle pari opportunità nel lavoro, la difesa di un diritto in sede giudiziaria, amministrativa, in arbitrati e conciliazioni, il perseguimento di ulteriori scopi in materia sindacale.
1.2.5 Divieti. Specifici obblighi gravano sulle imprese prima e dopo l’assunzione dei soggetti interessati.
(i) Prima dell’assunzione, le particolari categorie di dati possono essere trattate solo per scopi determinati e legittimi e nella misura necessaria per instaurare il rapporto di lavoro.
Il Provvedimento, a tale riguardo, menziona soltanto i dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati, stabilendo che possano essere trattati soltanto se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto. La lista manca di riferimenti alle altre tipologie di dati particolari (es. quelli idonei a rivelare opinioni politiche o religiose dei candidati); ciononostante non pare potersi desumere un regime di trattamento per questi dati meno restrittivo degli altri, giusta la prevalenza del principio di proporzionalità e necessità dei trattamenti previsto dalla sovraordinata fonte europea (il GDPR). Ne consegue che sarà comunque vietata ai datori di lavoro o agli intermediari la ricerca d’informazioni rivelatrici di convinzioni politiche o religiose dei candidati, a meno che non risulti strettamente necessario per l’instaurazione del rapporto.
Assoggettata al medesimo regime di stretta pertinenza dovrà essere la raccolta di dati mediante questionari o curricula, anche nel caso in cui questi siano spontaneamente inviati dai candidati: tutto ciò che è superfluo ai fini della possibile instaurazione di un rapporto d’impiego non va richiesto o, se fornito, non va utilizzato.
È infine assolutamente escluso il trattamento di dati genetici dei candidati, sia pure con il loro consenso.
(ii) Nel corso del rapporto di lavoro, fermo restando il divieto di trattamento dei dati genetici dei lavoratori, il Provvedimento precisa che:
– le convinzioni religiose o filosofiche o l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico possono essere trattate esclusivamente in caso di fruizione di permessi in occasione di festività religiose o per le modalità di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l’esercizio dell’obiezione di coscienza;
– le opinioni politiche o l’appartenenza sindacale, o l’esercizio di funzioni pubbliche e incarichi politici, di attività o di incarichi sindacali possono essere trattate esclusivamente ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali nonché per consentire l’esercizio dei diritti sindacali, compreso il trattamento dei dati inerenti alle trattenute per il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali;
– in caso di partecipazione di dipendenti a operazioni elettorali in qualità di rappresentanti di lista, non devono essere trattati dati che rivelino le opinioni politiche (ad esempio, non deve essere richiesto il documento che designa il rappresentante di lista essendo allo scopo sufficiente la certificazione del presidente di seggio).
1.2.6 Modalità di trattamento. Da un punto di vista pratico, il datore di lavoro dovrà attenersi alle seguenti modalità di trattamento:
– i dati devono, di regola, essere raccolti presso l’interessato. Ne consegue che, salvo casi particolari (ad esempio l’assunzione di ruoli apicali per i quali potrebbero essere necessari particolari accertamenti disposti da leggi o contratti collettivi), il ricorso a informazioni contenute in banche dati per i cosiddetti “background checks” non sembra ammesso;
– le comunicazioni, anche elettroniche, che contengono categorie particolari di dati, devono essere individualizzate, devono cioè essere adottate le misure più opportune per prevenire la conoscibilità ingiustificata di dati personali da parte di soggetti diversi dal destinatario (ad esempio, inoltrando i documenti cartacei in plico chiuso o spillato; ricorrendo a sistemi di doppia autenticazione per l’accesso a comunicazioni elettroniche, ecc.);
– i documenti che contengono categorie particolari di dati devono contenere esclusivamente le informazioni necessarie allo svolgimento della funzione o ufficio interno ai quali sono trasmessi, senza allegare, ove non strettamente indispensabile, documentazione integrale o riportare stralci all’interno del testo (ad esempio, per gestire un’assenza può essere sufficiente comunicare il fatto senza allegare certificati medici che lo dimostrino; oppure, nel caso di permessi fruiti per la partecipazione ad elezioni, come candidati o rappresentanti di lista, potrebbe non essere necessario far circolare documentazione che attesti la candidatura in questa o quella lista o la rappresentanza di una lista al seggio);
– non devono essere esplicitate da parte del datore di lavoro, nemmeno attraverso acronimi o sigle, le causali dell’assenza del dipendente dalle quali sia possibile evincere la conoscibilità di categorie particolari di dati personali (come permessi sindacali, dati sanitari), neppure quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si mettono a disposizione di soggetti diversi dall’interessato (anche altri colleghi) dati relativi a presenze e assenze dal servizio.
2. L’Autorità francese garante della protezione dei dati personali (CNIL) impone a Google una sanzione di 50 milioni di euro
2.1 La decisione e le sue motivazioni. La Commission nationale de l’informatique et des liberte’s (CNIL), l’Autorità nazionale francese per la protezione dei dati personali, il 21 gennaio 2019 ha imposto una sanzione di 50 milioni di euro nei confronti della società americana Google a seguito dei reclami depositati dalle associazioni None Of Your Business (NOYB) e Quadrature du Net (LQDN). Si tratta della prima sanzione contro Google nel quadro del GDPR.
La CNIL ha esaminato sia i documenti in materia privacy pubblicati da Google che la procedura di navigazione che gli utenti devono seguire per configurare un dispositivo mobile Android. All’esito dell’istruttoria sono stati rilevati:
(i) un difetto di trasparenza, in quanto Google disseminerebbe le informazioni relative ai trattamenti in diverse pagine e documenti, non facilmente raggiungibili se non attraverso 5 o 6 click;
(ii) la mancanza di una valida base giuridica per il trattamento, in quanto il consenso raccolto da Google sarebbe privo dei requisiti di specificità ed esplicitazione previsti dal GDPR, dato che il box di consenso alla personalizzazione degli annunci pubblicitari risulta pre-flaggato e inoltre la società raccoglie un’unica manifestazione di volontà per una pluralità di finalità (la personalizzazione degli ads ma anche il riconoscimento vocale, ad esempio).
2.2 Territorialità e competenza. La società americana aveva provato a difendersi sollevando la questione d’incompetenza dell’Autorità francese per la protezione dei dati personali e sostenendo, invece, la competenza di quella irlandese, sull’assunto di aver individuato il proprio stabilimento principale a Dublino. Tuttavia, grazie all’applicazione del combinato disposto dell’art. 4 n. 16 e del Considerando 36 del GDPR, la CNIL ha potuto ugualmente definirsi competente e applicare conseguentemente la sanzione. L’Autorità francese ha infatti rilevato che la sede irlandese, all’epoca della violazione delle norme del GDPR, non poteva essere qualificata come “stabilimento principale” non solo per la mancanza di una formalizzazione in tal senso, ma anche perché priva dell’autonomia decisionale sulle finalità e mezzi di trattamento dei dati personali acquisiti in funzione dell’uso dei sistemi Android.
Il caso Google è stato il primo banco di prova delle nuove regole sulla cooperazione tra autorità di controllo e sul cosiddetto meccanismo di “sportello unico”, secondo il quale l’autorità competente ad assumere decisioni nei confronti dei gruppi con diversi stabilimenti in Unione Europea, nel caso di trattamenti transfrontalieri, è quella del Paese nel quale è ubicato lo stabilimento principale, che per Google è Dublino.
3. Intelligenza artificiale e tutela dei dati personali: arrivano le linee guida europee in occasione del Data Privacy Day
Il Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (la “Convenzione 108”), in occasione della Giornata della protezione dei dati dello scorso 28 gennaio, ha pubblicato un testo contenente le linee guida sulla protezione dei dati e l’intelligenza artificiale (IA).
Il Comitato offre una serie di raccomandazioni: sia agli sviluppatori di soluzioni di IA che ai decisori pubblici. Tra le raccomandazioni rivolte ai primi, sono di particolare rilievo l’invito a ponderare con anticipo ogni potenziale effetto avverso dell’IA sui diritti delle persone, attraverso procedure di impact assessment che coinvolgano anche comitati indipendenti di esperti e istituzioni accademiche, ma degne di nota sono anche le righe dedicate alla necessità di disegnare gli algoritmi in modo che non assumano decisioni condizionate da pregiudizi o basate su una mole di dati non necessaria: problema, quest’ultimo, risolvibile con l’utilizzo dei cosiddetti “synthetic data” nella fase di “allenamento” dell’algoritmo, cioè una particolare categoria di dati anonimizzati tramite procedimento informatico. Inoltre, sempre agli sviluppatori viene raccomandato di tenere un approccio di “human rights by design”, di continua vigilanza sull’algoritmo e la garanzia per il diritto degli interessati a non essere sottoposti a decisioni basate su procedimenti interamente automatizzati.
A governi e decisori pubblici in genere il Comitato rivolge l’invito a richiedere ai partecipanti a bandi pubblici particolari forme di trasparenza sugli algoritmi, ma anche garanzie circa l’effettuazione di valutazioni d’impatto preventive sui dati personali: la data protection dovrebbe divenire dunque uno dei principali criteri di assegnazione di risorse pubbliche dirette all’IA. Infine, particolare enfasi viene posta anche sulla necessità di predisporre programmi di formazione e “alfabetizzazione digitale”, al fine di diffondere consapevolezza nella popolazione sulle potenzialità e i limiti dell’IA.