Il 29 luglio 2022 è stato pubblicato in Gazzetta Ufficiale il decreto legislativo n. 104/2022 cosiddetto Decreto Trasparenza, che recepisce le novità contenute nella Direttiva UE n. 2019/1152 (Direttiva Trasparenza), in materia di condizioni di lavoro trasparenti e prevedibili e, da allora, molti sono i dubbi interpretativi che impegnano le aziende nell’intento di applicare concretamente le previsioni della nuova normativa. I rapporti per i quali vigono le nuove disposizioni sono molteplici ma, per comodità, si farà riferimento ai rapporti di lavoro subordinato.
Decreto Trasparenza: i nuovi obblighi per i datori di lavoro e le ricadute sulla privacy
Decreto Trasparenza
Il Decreto Trasparenza è entrato in vigore il 13 agosto 2022, ma, già all’indomani della pubblicazione in Gazzetta Ufficiale, nel silenzio della normativa, le aziende e i tecnici si sono subito domandati se, da un punto di vista prettamente lavoristico, il generico rinvio alla contrattazione collettiva applicata al rapporto di lavoro non fosse più sufficiente per fornire specifiche informazioni ai lavoratori.
Sul punto sono intervenute la Circolare dell’Ispettorato Nazionale del Lavoro n. 4 del 10 agosto 2022 e la Circolare del ministero del Lavoro n. 19 del 20 settembre 2022 con prospettazioni divergenti.
Poste di fronte a diversi orientamenti, stante la necessità di adeguarsi al dettato del Decreto Trasparenza, molte aziende hanno colto l’opportunità di rivedere e aggiornare i template contrattuali in occasione di nuove assunzioni, e, in molti casi nei confronti di lavoratori già in forza, hanno predisposto addenda ai contratti di lavoro da consegnare ai lavoratori a prescindere da una specifica richiesta degli stessi.
Inoltre, poiché il Decreto Trasparenza impone di fornire ai lavoratori anche indicazioni in merito all’eventuale impiego da parte del datore di lavoro di “sistemi decisionali o di monitoraggio automatizzati” nell’ambito del rapporto di lavoro, risulta evidente che i maggiori impatti rispetto ai nuovi obblighi informativi si rinvengano, da un lato e in prima battuta, in relazione alla identificazione dei tali sistemi e, dall’altro, in relazione alla identificazione di preesistenti ed ulteriori adempimenti informativi, e non solo, secondo la normativa privacy.
Tutelare la privacy attentata dal digitale: i consigli dell’ONU
Privacy
Il Decreto Trasparenza ha introdotto nuovi rilevanti adempimenti informativi, rispetto a quelli già previsti dalla normativa vigente in materia di rapporto di lavoro (D. Lgs. n. 152/1997) e, in ambito privacy, dal D. Lgs. n. 196/2003 e ss.ms.ii. (“Codice Privacy”) e dal Regolamento Privacy Europeo n. 679/2016 (”GDPR”).
Tra le informazioni da rendere ai lavoratori secondo il Decreto Trasparenza, infatti, dal punto di vista privacy, vi sono ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati (art. 1 bis D. Lgs. 152/1997 novellato).
In particolare, in presenza di sistemi automatizzati, i datori di lavoro devono informare i lavoratori in merito:
- agli aspetti del rapporto di lavoro sui quali incidono,
- agli scopi e alle finalità degli stessi,
- alla logica ed al funzionamento dei sistemi,
- alle categorie di dati e ai parametri principali utilizzati per programmare o addestrare (“calibrare”) i sistemi, inclusi i meccanismi di valutazione delle prestazioni,
- alle misure di controllo adottate per le decisioni automatizzate, agli eventuali processi di correzione e al responsabile del sistema di gestione della qualità,
- al livello di accuratezza, robustezza e cybersicurezza e alle metriche utilizzate per misurare tali parametri, nonché agli impatti potenzialmente discriminatori delle metriche stesse.
Tutte le informazioni previste dal Decreto Trasparenza vanno rese in modo chiaro e, appunto, trasparente, in formato cartaceo oppure “in formato strutturato, di uso comune e leggibile da dispositivo automatico”. La comunicazione delle medesime informazioni e dei dati deve essere effettuata “in modo trasparente” non solo al lavoratore interessato ma anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza di queste, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale.
Le informazioni in merito ai sistemi decisionali o di monitoraggio automatizzati devono essere rese entro termini temporali precisi:
- al momento dell’instaurazione del rapporto per gli assunti a far data dal 13 agosto 2022,
- entro 60 giorni per le informazioni richieste da lavoratori già in forza al 13 agosto 2022 (e per i lavoratori assunti nel periodo dal 1 al 13 agosto 2022),
- eventuali modifiche devono essere comunicate ai lavoratori con almeno 24 ore di anticipo rispetto alla relativa entrata in vigore.
Si aggiunge anche il diritto di accesso ai dati e di richiedere ulteriori informazioni concernenti gli obblighi sopra indicati che, ai sensi dell’articolo 15 GDPR, può essere esercitato dal lavoratore interessato anche per il tramite della rappresentanza sindacale. In questo caso, muovendo dai principi privacy, ove la richiesta provenga per il tramite della rappresentanza sindacale, è ragionevole supporre che il datore di lavoro possa richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato e la provenienza della richiesta, presentata a mezzo della rappresentanza sindacale.
In ogni caso, trattandosi di diritto di accesso, il datore di lavoro, quale titolare del trattamento, è tenuto a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni ai sensi dell’art. 12 GDPR. Le informazioni rese dal datore di lavoro sono conservate e rese accessibili al lavoratore e il datore di lavoro ne conserva la prova (anche in formato elettronico) della trasmissione o della ricezione per cinque anni dalla conclusione del rapporto.
Sistemi automatizzati
Posti gli obblighi informativi, le tempistiche e le modalità di messa a disposizione delle informazioni, le aziende incontrano non poche difficoltà nel trovare risposta all’interrogativo: quali sono i sistemi “automatizzati” che ricadono nell’ambito applicativo del Decreto Trasparenza?
Per rispondere a questa domanda può risultare utile partire dal disposto dell’art. 1 bis del D. Lgs. 152/1997 come novellato dal Decreto Trasparenza secondo cui “Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300”.
Pertanto, i sistemi considerati dal Decreto Trasparenza sono: i sistemi decisionali automatizzati e i sistemi di monitoraggio automatizzati deputati a fornire indicazioni:
1) rilevanti ai fini:
- della assunzione o del conferimento dell’incarico (ad es. l’utilizzo di chatbots durante il colloquio o sistemi di profilazione per la selezione/screening dei candidati),
- della gestione o della cessazione del rapporto di lavoro (ad es. sistemi di determinazione automatizzata della retribuzione e di monitoraggio della performance),
- dell’assegnazione di compiti o mansioni (ad es. gli algoritmi o sistemi di intelligenza artificiale che comportano l’assegnazione o la revoca automatizzata di compiti assegnati a dipendenti),
2) incidenti su:
- la sorveglianza,
- la valutazione,
- le prestazioni,
- l’adempimento delle obbligazioni contrattuali dei lavoratori.
Compreso il dettato letterale della normativa, cos’è in concreto un sistema automatizzato da cui scaturiscono, con impatti privacy ulteriori, i nuovi obblighi di informativa? Pochi sono stati finora gli interventi chiarificatori delle autorità competenti e, tra queste, l’Autorità Garante non si è ancora pronunciata alla data della presente.
Con Circolare n. 19 del 20 settembre 2022, il ministero del Lavoro ha invece chiarito che possono essere considerati automatizzati quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate (anche nel caso in cui sia previsto un intervento umano meramente accessorio). Tale indicazione, ad una prima e veloce lettura, pare sovrapporsi con quella di “sistema decisionale automatizzato” di cui all’art. 22 e al considerando 71 GDPR: “l’interessato ha diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Sulla stessa linea del ministero del Lavoro si pongono le Linee Guida sulla profilazione e sul ricorso a sistemi automatizzati elaborate dai garanti europei – c.d. WP29 – n. 251rev.01 del 3 ottobre 2017, riviste e adottate il 6 febbraio 2018, secondo cui rientra nella nozione di sistema automatizzato sia il sistema interamente automatizzato, che non prevede alcun intervento umano, ad esempio, da parte del personale appositamente autorizzato, sia il sistema che prevede un intervento umano, seppur limitato, eventualmente combinato o meno con la profilazione.
Il ministero del Lavoro ha poi esplicitamente escluso dall’ambito di applicazione della normativa i “sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale”.
Ha inoltre chiarito che rientrano nell’ambito applicativo della disposizione anche quei sistemi decisionali o di monitoraggio automatizzati che siano integrati negli strumenti assegnati al lavoratore per rendere la prestazione lavorativa (ad es. tablet, dispositivi digitali e wearables, gps, e altro) quando presentino caratteristiche tecniche finalizzate ad attività di raccolta di dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, e altro in grado di generare decisioni automatizzate.
Datore di lavoro
Pur avendo fornito chiarimenti, il ministero del Lavoro non ha sollevato i datori di lavoro dall’impasse operativo dinanzi al quale si sono ritrovati per far fronte agli obblighi informativi imposti dal Decreto Trasparenza. Le indicazioni ministeriali si sono però rivelate utili per guidare i datori di lavoro nell’attività di identificazione di quei sistemi tecnologici/informatizzati implementati o in via di implementazione all’interno dell’azienda che, per rientrare nell’ambito applicativo del Decreto Trasparenza, devono essere rivolti ai lavoratori e che si traducono in una decisione ossia un effetto di qualsivoglia natura in termini di beneficio o di svantaggio oppure che si risolvono in un monitoraggio/controllo sugli interessati.
Il datore di lavoro quindi dovrà preliminarmente effettuare una mappatura dei sistemi in uso all’interno della propria organizzazione ivi inclusi le caratteristiche/funzionalità specifiche, gli scopi e le finalità di tali sistemi con il supporto delle funzioni aziendali competenti, tra le altre: risorse umane, IT e marketing, ove vi siano campagne e iniziative verso i lavoratori che siano di competenza di tale funzione a livello organizzativo.
Nel condurre la mappatura preliminare, il datore di lavoro si troverà a considerare anche sistemi che possono avere impatti rispetto agli obblighi, anche informativi in ambito privacy, imposti da altra normativa ossia dalla Legge n. 300/1970 (Statuto dei lavoratori).
Statuto dei lavoratori
L’art. 4, comma 1, dello Statuto dei Lavoratori stabilisce che “gli impianti audiovisivi e gli altri strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori possono essere utilizzati esclusivamente per ragioni organizzative e produttive, per la sicurezza dei luoghi di lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo con le organizzazioni sindacali aziendali […]”. Tale disposizione, la cui finalità è quella di tutelare i diritti fondamentali dei lavoratori, richiede l’esistenza di un provvedimento autorizzativo preventivo per assicurarne la legittimità ovvero l’accordo sindacale o l’autorizzazione amministrativa che non sono invece richiesti per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e per gli strumenti di registrazione degli accessi e delle presenze”.
Rapporto con il Decreto Trasparenza
Il rapporto con l’art. 4 dello Statuto dei Lavoratori andrà valutato caso per caso avuto riguardo ai singoli sistemi impiegati e alle finalità di trattamento selezionate dal datore di lavoro.
Nell’effettuare la mappatura dei sistemi in uso, il datore di lavoro dovrà tenere a mente alcune considerazioni preliminari quali:
- non tutti i sistemi informatizzati implementati o in via di implementazione all’interno dell’organizzazione sono di per sé sistemi automatizzati ai sensi del Decreto Trasparenza,
- alcuni sistemi informatizzati saranno anche, a seguito della valutazione condotta con il supporto di consulenti legali, IT & Cyber e con il Data Protection Officer (DPO), ove nominato, ed il suo team, automatizzati ai sensi del Decreto Trasparenza e rilevanti anche sotto il profilo dell’art. 4 Statuto dei Lavoratori,
- alcuni sistemi informatizzati ma non automatizzati (come valutati all’esito di mappatura e disamina) potranno avere impatti ai sensi dell’art. 4 Statuto dei Lavoratori ma non ai sensi del Decreto Trasparenza.
DPO, Chi è il Data Protection Officer e perché è una figura controversa
In presenza di sistemi informatizzati che rientrano nel novero dei sistemi decisionali o di monitoraggio automatizzati dai quali derivi, anche solo potenzialmente, la possibilità di controllo a distanza dell’attività dei lavoratori, troverà piena applicazione la disciplina prevista dalla norma statutaria (art. 4, comma 1) in materia di strumenti di controllo, con conseguente necessità di verificare la sussistenza di ragioni organizzative, produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale che possano legittimarne l’implementazione previo apposito accordo con le rappresentanze sindacali o ottenimento di autorizzazione specifica da parte dell’Ispettorato del Lavoro territorialmente competente.
A ciò si aggiungerà anche l’ulteriore onere informativo, a carico del datore di lavoro vi saranno specifici obblighi in materia privacy, richiamando il GDPR. In particolare:
- la predisposizione di un’informativa ex articoli 1 bis del Decreto Trasparenza e 13 del GDPR, documento che – allegata al contratto di lavoro – avrà una connotazione propria rispetto all’informativa dipendenti ovvero, come visto sopra, all’informativa ai sensi dell’art. 4, comma 3 Statuto dei Lavoratori,
- l’integrazione del proprio registro delle attività di trattamento per dare evidenza dei trattamenti di dati personali effettuati mediante i sistemi decisionali o di monitoraggio automatizzati,
- lo svolgimento di un’analisi dei rischi e di una valutazione d’impatto sui trattamenti in questione (procedendo a consultazione preventiva del Garante ove necessario),
- la previsione di una garanzia a favore dei dipendenti in merito al diritto di accedere ai dati raccolti tramite i sistemi automatizzati e di richiedere ulteriori informazioni al riguardo (anche per il tramite delle rappresentanze sindacali).
Quelli espressamente indicati dal Decreto Trasparenza non sono i soli obblighi in punto privacy che il datore di lavoro, quale titolare del trattamento, sarà tenuto a svolgere. Si renderà necessario anche:
- modificare/integrare e aggiornare la documentazione relativa al modello organizzativo privacy con riferimento alle funzioni competenti e di controllo e monitoraggio, alle nomine e istruzioni agli autorizzati al trattamento, alle policy e procedure,
- selezionare fornitori di tali sistemi – ove previsti – adeguati che siano di assicurare il rispetto degli obblighi previsti dalla normativa in materia di protezione dei dati personali,
- verificare le condizioni di liceità applicabili al trattamento e condurre le relative azioni necessarie,
- implementare garanzie adeguate a tutela dei diritti e delle libertà degli interessati, nonché eventuali processi di correttivi, ove necessari.
Opportunità di accountability
Le novità introdotte dal Decreto Trasparenza che hanno un forte impatto sui datori di lavoro in termini di obblighi da rispettare e di adempimenti da porre in essere sotto il profilo (non solo) privacy non devono essere concepiti come l’ennesimo aggravio di costi e lungaggini ma come uno strumento di governance e accountability con particolare riferimento ai “soggetti vulnerabili” dalla normativa in materia di protezione dei dati personali.
Rispettare gli obblighi informativi e di trasparenza verso i lavoratori non significa solo evitare le sanzioni amministrative pecuniarie che la nuova normativa prevede e diversifica in relazione alle diverse mancanze che potrebbero concretamente rinvenirsi (ferma l’applicabilità di eventuali sanzioni – a fronte di violazioni in materia di protezione dei dati personali – di cui agli articoli 83 GDPR e 166 del Codice Privacy, nonché la configurabilità di eventuali illeciti penali ai sensi dell’art. 167 e ss. del Codice Privacy).
Osservare le nuove prescrizioni significa anche aderire ad un approccio accountable che consente di ridurre il potenziale divario informativo tra datore di lavoro e lavoratore, nonché incrementare l’affidamento del lavoratore e l’appeal dell’azienda garantendo al contempo al datore di lavoro una conoscenza e una governance dei processi aziendali privacy sensitive anche con l’adozione di misure organizzative e tecniche adeguate grazie al supporto delle funzioni aziendali, delle funzioni indipendenti di governance e di controllo come il DPO.