Quello della trasparenza è un principio che appare ormai consolidato nel diritto dell’Unione europea “al fine di infondere fiducia nei processi che riguardano i cittadini, permettendo loro di conoscerli, comprenderli e, se necessario, di opporvisi”[1]. L’articolo 1 del TUE, ad esempio, fa riferimento a decisioni prese “nel modo più trasparente possibile e il più vicino possibile ai cittadini” e l’articolo 11, paragrafo 2, recita: “le istituzioni mantengono un dialogo aperto, trasparente e regolare con le associazioni rappresentative e la società civile”.
Trasparenza e privacy, due diritti in equilibrio: ecco le norme italiane
La trasparenza pilastro del GDPR
Concentrando l’attenzione di questo nostro intervento alla normativa europea in materia di protezione dei dati personali (Regolamento (UE) 2016/679 (GDPR)), si nota come anche in essa il principio di trasparenza risulti centrale, abbracciando più o meno direttamente e sotto diversi angoli prospettici gran parte del GDPR, creando un indissolubile rapporto con il concetto della riservatezza, la cui tutela rappresenta l’obiettivo nella normativa stessa.
Ciò premesso, non deve stupire che proprio quello di trasparenza sia presente tra i primi dei principi elencati all’articolo 5 GDPR, a norma del quale i dati personali devono essere trattati in modo “lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, comma 1, lett. a)).
Il Considerando 39 del Regolamento, poi, va oltre, chiarendo come tale principio imponga (al Titolare, ndr) che “le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro”. Da ciò discende per il titolare del trattamento la necessità di fornire tutti gli elementi dell’informativa così come previsto dagli articoli 13 e 14 GDPR in forma intelligibile per gli interessati.
È lo stesso articolo 12 del GDPR (che non a caso troviamo inserito nella Sezione 1, rubricata “Trasparenza e modalità”) che ribadisce come gli elementi di cui all’informativa, nonché quelli inerenti all’esercizio dei diritti da parte degli interessati, al di là delle modalità dovranno comunque essere resi “in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.
Il Considerando 58 – collegato al richiamato articolo – per accrescere il livello di comprensione suggerisce inoltre, se del caso, il ricorso a una “visualizzazione”. Inoltre, in situazioni in cui la presenza di molteplici operatori coinvolti o la complessità tecnologica degli stessi siano tali da rendere difficile per l’interessato comprendere se, da chi e per quali finalità vengano raccolti i dati personali che lo riguardano (es. pubblicità online), le informazioni “dovrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web”.
Obiettivo: informative chiare
Non deve poi apparire scontata la considerazione per cui in contesti nei quali i dati raccolti siano appartenenti a cittadini stranieri, il titolare dovrà prevedere e fornire un modello di informativa tradotta (quantomeno) in lingua inglese: contrariamente, per quanto possa eventuale strutturarsi con il linguaggio semplice e chiaro di cui all’art. 12 GDPR, quest’ultima non risulterebbe comprensibile nella sostanza agli interessati.
Sulla base di queste premesse, con il preciso scopo di “rendere le informative privacy più semplici, chiare e immediatamente comprensibili”, ha avuto luogo l’importante iniziativa del Garante per la protezione dei dati personali denominata “Informative chiare”[2], aperta a sviluppatori, addetti ai lavori, esperti, avvocati, designer, studenti universitari e a chiunque fosse interessato a individuare un set di simboli o icone capaci di esemplificare tutti gli elementi che devono essere presenti nell’informativa ai sensi degli articoli 13 e 14 GDPR. I set grafici risultati vincitori sono stati resi disponibili al fine di poter essere utilizzati all’interno dei propri modelli di informativa da qualsiasi titolare del trattamento, secondo i termini della licenza CC BY.
Sempre in tema di informative è utile ricordare come nel caso in cui siano gestiti dal titolare sistemi di videosorveglianza, venga esplicitamente richiesta[3] la presenza di un modello di “informativa semplice”, attraverso l’utilizzo di idonea cartellonistica, al fine di accrescere il livello di accessibilità alle informazioni per l’interessato. Quest’ultima dovrà poi rinviare a un testo completo di informativa contenente tutti gli elementi di cui all’art. 13 del Regolamento, con indicazione altresì di come e dove trovarlo (ad esempio, sul sito internet del titolare o all’interno della bacheca aziendale).
Analogamente, anche il ricorso a sistemi di geolocalizzazione dei mezzi nel contesto aziendale non può prescindere dalla presenza di apposita vetrofania che rimandi a un modello di informativa estesa, resa ai sensi e contenente gli elementi dell’art. 13 GDPR[4].
Il principio di accountability
Ancorché in maniera più indiretta, ma certamente non meno rilevante, il concetto di trasparenza è sotteso anche al fondamentale principio di “accountability” (o rendicontazione) di cui all’art. 24 della richiamata normativa europea, la quale chiede a ciascun titolare del trattamento non solo di garantire, ma anche di dimostrare la compliance circa le scelte effettuate in merito alle politiche di trattamento e alle misure di sicurezza adottate. Appare ovvio che quanto più le attività di trattamento del titolare, nonché l’organizzazione e le misure di sicurezza da lui messe in atto saranno predisposte assicurando centralità al concetto di trasparenza, quanto più agevole risulterà essere il sostanziale rispetto dell’accountability.
Ponendosi nella prospettiva del soggetto “interessato” – ovvero della persona fisica identificata o identificabile le cui informazioni formano oggetto del trattamento – occorre considerare come tra il ventaglio di diritti da questo esercitabili, il primo citato nel GDPR sia proprio quello di “accesso”, che consente di ottenere dal titolare del trattamento conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di avere accesso ai dati e alle informazioni elencati all’art. 15 GDPR (al quale, per ragioni di sintesi, si rinvia).
Decreto Trasparenza: i nuovi obblighi per i datori di lavoro e le ricadute sulla privacy
Infine, considerata l’ipotesi di soggetti interessati inseriti in un contesto lavorativo nel quale siano stati impiegati “sistemi decisionali o di monitoraggio automatizzati”, oltre al Regolamento europeo finora citato, ciascun titolare del trattamento/datore di lavoro dovrà prestare particolare attenzione al rispetto di quanto previsto dal recente “decreto trasparenza” (D. Lgs. 104/2022), con cui è stato introdotto il nuovo art. 1-bis al D. Lgs. 152/1997.
Come precedentemente approfondito in una più puntuale analisi del decreto – il quale ha nel suo complesso il principale obiettivo di disciplinare il diritto all’informazione di ciascun lavoratore – il datore dovrà procedere a fornire al lavoratore ulteriori elementi di dettaglio circa – tra gli altri – le caratteristiche progettuali e di funzionamento del sistema ogni qualvolta la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati[5].
Inoltre, dovrà provvedere a contemplare tale circostanza anche all’interno dell’informativa privacy e del registro del trattamento, dovendo altresì effettuare apposita valutazione d’impatto ex articolo 35 GDPR.
Sotto il profilo giuslavoristico, infine, dovrà dare notizia dell’impiego dei suddetti strumenti alle rappresentanze sindacali aziendali o a quella unitaria, mentre in assenza delle predette la comunicazione dovrà essere inoltrata alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale.
Note
- Trasparenza e privacy, due diritti in equilibrio: ecco le norme italiane – Agenda Digitale. ↑
- Informative chiare – Garante Privacy. ↑
- Cfr. con il punto 4 delle FAQ del Garante privacy in tema di videosorveglianza (FAQ – Videosorveglianza – Garante Privacy) o con il Provvedimento in materia di videosorveglianza della medesima Autorità dell’8 aprile 2010 (Provvedimento in materia di videosorveglianza – 8 aprile 2010 [1712680] – Garante Privacy). ↑
- Cfr. con il paragrafo 4 del provvedimento sui sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro del Garante privacy del 4 ottobre 2011 (Sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro – 4… – Garante Privacy). ↑
- Cfr. par. 3 della Circolare n. 19 del Ministero del Lavoro e delle Politiche Sociali del 20 settembre 2022. ↑
