同一VPC内のプライベートサブネットにあるworkspacesクライアントからパブリックサブネットにあるEC2 に「3128」ポート通信を許可するには

まず、懸念しているようなことは発生しません。

プライベートIPで使われるアドレス空間はプライベートIPで使うために予約されており、その範囲のIPはグローバルIPでは使用されないことになっています。
グローバルIPは割り当てられた機器ごとに一意である必要があるため、プライベートIPで使用されるIPを使うとおかしなことになってしまいます。
それを避けるために、そのようなルールで割り当てられています。

グローバルIPアドレスは大本はICANNが管理しており、日本ではJPNICが管理しています。

そのため、普通にセキュリティグループでプライベートIPを使って接続制限すればインターネットから接続されることはありません。

ただ、個人的にはIPを使うよりもセキュリティグループを接続元として接続許可を行う方法を推奨したいです。
セキュリティグループはインバウンドの接続元、アウトバウンドの接続先にセキュリティグループ自体を設定できます。
これを行うと特定のセキュリティグループを設定しているリソースとの通信のみを許可できます。
Workspacesにもセキュリティグループが設定できるので、Workspacesに設定しているセキュリティグループを接続元としてEC2インスタンス側のセキュリティグループに許可設定を入れるといいでしょう。

しれっと混ぜ込んでいる同一VPC内での通信については、少なくともデフォルトのVPCやコンソールで作成したVPCについては、デフォルトで自VPCへの通信をlocalに転送するルールが設定されたルートテーブルが各サブネットに設定されているはずで、それによって自VPC内にあるリソース同士のIPアドレスを使用した通信が可能になっています。
もちろん、それに加えてセキュリティグループの設定が必要です。

※参考
勘違いしてない？IPアドレスとサブネットマスクの仕組みを図で再確認
一応、ネット上で今回の記載内容について簡単に確認できる記事です。

マスタリングTCP/IP　入門編（第6版）
IPアドレスのみならず、TCP/IPというプロトコルやネットワークの基礎周りを一通り抑えたければこれを読むことを強くお勧めします。リファレンスとしても良いと思います。
初版は1994年で以前より多くの初学者に勧められる名著ですが、内容はけして古いままでなく、版を重ねて内容も新しいものを取り入れて更新されています。（現在は2019年の第6版が最新）