Il Decreto Trasparenza e l’impatto sulla gestione dei dati personali dei lavoratori

Il Decreto Trasparenza

Il 27 giugno 2022 è stato adottato il D. lgs. 104/2022, detto Decreto Trasparenza, entrato in vigore il 13 agosto 2022. Il provvedimento costituisce l’attuazione della direttiva UE 2019/1152 sulle condizioni di lavoro trasparenti e prevedibili.

Il Decreto riguarda “il diritto all’informazione sugli elementi essenziali del rapporto di lavoro e sulle condizioni di lavoro e la relativa tutela” in relazione a rapporti e contratti di lavoro, a favore dei lavoratori (art. 1).

Prevede per il datore di lavoro e per il committente, nei casi indicati dal Decreto stesso, l’obbligo di fornire a ciascun lavoratore le informazioni in modo chiaro e trasparente, di renderle disponibili in formato strutturato, di uso comune e leggibile da dispositivo automatico – agevolandone, con quest’ultima prescrizione, la disponibilità e fruibilità da parte del lavoratore.

Dispone che il datore di lavoro e il committente informino il lavoratore sui molteplici aspetti del rapporto di lavoro e quindi delle condizioni di lavoro, nel dettaglio, al momento dell’instaurazione del rapporto di lavoro stesso (art. 4, che prevede modifiche al D. lgs. 152/1997).

La lettura del Decreto è agevolata dalla circolare interpretativa dell’Ispettorato del lavoro n. 4/2022.

Le informazioni riguardanti il trattamento dei dati personali

Tra le informazioni da rendere vi sono anche quelle riguardanti l’utilizzo di sistemi decisionali o di monitoraggio automatizzati. È riguardo ad esse che viene in rilievo il tema del trattamento dei dati personali.

Rispetto ai temi privacy infatti, il trattamento dei dati personali da parte del datore di lavoro qualifica quest’ultimo come titolare del trattamento e il lavoratore come interessato.

Il nuovo articolo 1-bis del D. lgs. 152/1997, introdotto col Decreto Trasparenza, prevede che il datore di lavoro o il committente siano tenuti a informare il lavoratore “dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

La disposizione richiama quanto già previsto in via generale dall’art. 13 del GDPR, dove sono indicate le informazioni che il titolare del trattamento (qui, come detto, il datore di lavoro) deve fornire all’interessato (il lavoratore). In particolare viene in gioco la previsione del comma 2, lett. F: il titolare del trattamento deve informare l’interessato dell’esistenza di un processo decisionale automatizzato, compresa la profilazione e deve fornire in tali casi informazioni significative sulla logica utilizzata, sull’importanza e le conseguenze previste per l’interessato.

Il Decreto Trasparenza però dispone un dettaglio di informazioni da rendere che il datore di lavoro potrebbe non aver raggiunto nelle proprie informative ai lavoratori, seguendo le prescrizioni dell’art. 13 GDPR. Pertanto è necessario che costoro verifichino se le loro informative ai lavoratori sono già rispondenti ai requisiti del Decreto Trasparenza o se hanno bisogno di essere aggiornate e integrate.

Ma il Decreto Trasparenza va oltre: non si limita a disporre adeguata informativa solo rispetto ai sistemi decisionali automatizzati ma anche a quelli di monitoraggio automatizzati. Si fa riferimento ad esempio a ipotesi quali i sistemi elettronici di rilevazione presenze, ai sistemi GPS installati nei veicoli aziendali, alla gestione della posta elettronica aziendale, alla videosorveglianza.

Per entrambi i sistemi, decisionali e di monitoraggio, è richiesto di scendere nel dettaglio. Il datore di lavoro o committente dovrà informare il lavoratore rispetto a:

  1. a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati (ad es., la rilevazione di presenze incide sul conteggio orario e quindi sulla qualifica del lavoro come ordinario o straordinario, e di conseguenza sulla retribuzione);
  2. b) gli scopi e le finalità di questi (ad es. un sistema di monitoraggio GPS dei veicoli aziendali può servire per la rintracciabilità dei veicoli in caso di furto);
  3. c) la loro logica e il funzionamento (come sono impostati e secondo quali criteri);
  4. d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare questi sistemi, inclusi i meccanismi di valutazione delle prestazioni (gli input che i sistemi hanno ricevuto e sulla base dei quali funzionano);
  5. e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità (come si verificano e correggono eventuali storture e chi è responsabile di tali compiti);
  6. f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi, le metriche utilizzate per misurare tali parametri, gli impatti potenzialmente discriminatori delle metriche (la descrizione del sistema e come è protetto).

Se dunque dovranno necessariamente essere aggiornate le informative che il datore di lavoro o committente fornisce al lavoratore quale interessato del trattamento, sarà necessario anche aggiornare tutte le procedure e tutta la documentazione correlata del sistema privacy. In particolare andrà implementato il registro dei trattamenti, che dovrà tener conto delle nuove ipotesi e delle particolarità previste dalla norma.

 

Il Decreto stabilisce inoltre che il lavoratore, direttamente o tramite i propri rappresentanti sindacali, ha diritto di accedere ai dati e chiedere ulteriori informazioni concernenti l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati e il datore di lavoro è tenuto a fornirle entro trenta giorni.

 In aggiunta, ogni eventuale modifica dei sistemi deve essere comunicata ai lavoratori 24 ore ore prima della sua introduzione, se questa comporta variazione delle condizioni di lavoro. 

Infine, le informazioni devono essere trasmesse anche alle rappresentanze sindacali dei lavoratori, mentre Ministero del Lavoro e Ispettorato del Lavoro possono richiedere queste informazioni e l’accesso ai dati.   

L’analisi dei rischi e la valutazione d’impatto

Il Decreto contiene una previsione che cita espressamente il GDPR: il comma 4 del nuovo art. 1-bis del D. lgs. 152/1997 prevede che per verificare la conformità degli strumenti utilizzati alle disposizioni del GDPR, il datore di lavoro effettua un’analisi dei rischi e una valutazione dimpatto  degli  stessi trattamenti, procedendo a consultazione preventiva del Garante Privacy ove sussistano i presupposti di cui all’articolo 36 del Regolamento.  

E dunque il Decreto da un lato si riferisce all’analisi dei rischi, necessaria per implementare qualsiasi adeguato sistema privacy, dall’altro ricorda un adempimento già previsto dal GDPR all’art. 35 e già dovuto secondo il dettato di questo articolo, la valutazione d’impatto. Infatti i sistemi decisionali e di monitoraggio di cui tratta il Decreto rientrano in quelli contemplati all’art. 35 GDPR, al comma 3, che si riferisce ai casi di “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.

Il richiamo da parte del Decreto Trasparenza, per quanto di fatto non introduca obblighi che non fossero già esistenti, ha il vantaggio di rendere indefettibile la valutazione d’impatto e non lasciare dubbi sulla necessità di provvedervi.  

Cosa fare 

Vista la nuova normativa, a quali adempimenti sono chiamati i datori di lavoro e i committenti in materia di privacy? 

È necessario innanzitutto verificare quale sia lo stato dell’arte e in particolare valutare quanto l’informativa resa ai lavoratori sia completa, se ci sia stata una adeguata valutazione dei rischi e se sia stata fatta la valutazione d’impatto.

Dove si riscontrano carenze, queste dovranno essere colmate. Pertanto l’informativa andrà integrata dove necessario, dovrà procedersi all’analisi dei rischi e alla valutazione d’impatto ove mancante e dovranno adottarsi le misure di sicurezza che, a seguito di queste valutazioni, verranno ritenute opportune. Infine dovrà essere conformemente aggiornato il registro dei trattamenti.  

Nel lavoro di revisione richiesto dalle previsioni qui illustrate la presenza del Responsabile della protezione dei dati (o DPO) può essere di decisivo supporto: un professionista esperto della materia può guidare efficacemente il datore di lavoro e il committente lungo il percorso che porta alla corretta gestione dei dati dei lavoratori.

Foto di Rossella Porta.
Il contenuto di questo documento ha mero scopo informativo e non costituisce parere professionale sul tema trattato. 

Per ulteriori informazioni ed approfondimenti contattateci all’indirizzo studioATtommasinimartinelli.it.
È consentita la diffusione parziale purché ne sia citata la fonte.

Share on linkedin
LinkedIn
Share on email
Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.