Quadro normativo

Decreto Lavoro: come cambiano le norme sui sistemi automatizzati

Home Sicurezza digitale
Indirizzo copiato

I sistemi decisionali o di monitoraggio automatizzati procurano indubbi vantaggi alle aziende, ma vanno a incidere anche sui diritti dei lavoratori. Il punto sugli interventi normativi

Pubblicato il 30 giu 2023
Nicola Sandon

avvocato, associate presso Rödl & Partner, dipartimento Data Protection

I sistemi automatizzati nel mondo del lavoro: come cambia il Decreto lavoro

Quale parte integrante del processo di trasformazione digitale, le imprese ricorrono in misura sempre maggiore all’impiego di strumenti tecnologici all’avanguardia nel contesto lavorativo, inclusi sistemi decisionali o di monitoraggio automatizzati.

Se da un lato tali sistemi sono in grado di offrire indubbi vantaggi, quali l’incremento di efficienza e produttività, la riduzione dei costi e una maggiore qualità, precisione e affidabilità, consentendo di ottenere un vantaggio competitivo reale nel mercato attuale, dall’altro spesso rischiano di incidere in maniera significativa sui diritti e le libertà dei lavoratori, che sono oggetto, all’interno del nostro ordinamento, di una tutela particolarmente pregnante.

Esaminiamo perciò il quadro normativo dedicato ai sistemi decisionali o di monitoraggio automatizzati e integralmente automatizzati impiegati nel mondo del lavoro, alla luce delle ultime novità introdotte dal Decreto Lavoro.

Decreto Lavoro, ecco tutte le nuove misure: taglio del cuneo, assegno di inclusione, sicurezza ...

Sistemi automatizzati: le novità del Decreto Lavoro

Con il Decreto Legge n. 48 del 4 maggio 2023 (Decreto Lavoro) il governo è tornato, a meno di un anno dal precedente intervento, sulla disciplina degli obblighi informativi posti in capo al datore di lavoro in relazione all’utilizzo di “sistemi decisionali o di monitoraggio automatizzati” nel contesto lavorativo. In particolare, interviene in maniera significativa sul relativo ambito di applicazione.
La disciplina in questione era stata introdotta nell’agosto del 2022, dal decreto legislativo 27 giugno 2022, n. 104 di attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione Europea (Decreto Trasparenza) e si trova
racchiusa all’interno dell’art. 1 bis del Decreto Legislativo 26 maggio 1997, n. 152, rubricato “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”.
In parziale sovrapposizione con la vigente normativa in materia di protezione dei dati personali, il Decreto Trasparenza aveva in particolare imposto ai datori di lavoro – sia in ambito pubblico che privato – una serie di obblighi informativi “rafforzati” in caso di utilizzo di sistemi automatizzati, con il nobile intento di bilanciare il potere datoriale e garantire un presidio di tutela per la dignità e la riservatezza dei lavoratori a fronte degli
sviluppi tecnologici.

Specifici oneri venivano poi previsti alle aziende in relazione all’aggiornamento del registro delle attività di trattamento, alla valutazione del potenziale impatto connesso all’impiego di tali strumenti sul rapporto di lavoro, nonché al livello di sicurezza informatica degli stessi, mediante espresso richiamo alle pertinenti disposizioni del Regolamento (UE) 2016/679 (GDPR).
Quanto all’ambito applicativo, la precedente formulazione dell’art. 1 bis del D.Lgs. 152/1997 era rivolta a disciplinare tutti quei “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni
contrattuali dei lavoratori”.

Decreto Trasparenza, nuove informative al lavoratore secondo le norme privacy

Gli interventi interpretativi

Le parole utilizzate dal legislatore hanno creato non poche perplessità tra gli operatori del settore in relazione alla tipologia di software o hardware effettivamente impattati dalla novella legislativa. Queste difficoltà interpretative hanno spinto vari stakeholder a fornire i propri chiarimenti.

Sul tema sono in particolare intervenuti dapprima l’Ispettorato Nazionale del Lavoro, con circolare n. 4 del 10 agosto 2022 e, successivamente, il Ministero del
Lavoro, con circolare n. 19 del 20 settembre 2022, adottando un approccio caratterizzato da una scarsa coordinazione, che ha contribuito unicamente a generare ulteriore incertezza, ostacolando il processo di compliance alla normativa.

Da ultimo, è giunto – con colpevole ritardo – l’intervento del Garante per la protezione
dei dati personali che, con provvedimento del 13 dicembre 2022, ha fornito un’interpretazione sistematica delle disposizioni del Decreto Trasparenza, che, seppur caratterizzata da maggiore equilibrio e chiarezza rispetto ai precedenti arresti, non ha fornito particolari indicazioni né in merito all’individuazione dei sistemi tecnologici
soggetti ai nuovi obblighi normativi né in relazione al coordinamento della nuova disciplina con le disposizioni del GDPR sul tema.
L’art. 26 del Decreto Lavoro ha riformulato il primo comma dell’art. 1 bis del D.Lgs. 152/1997, con l’intento di semplificare il quadro normativo, restringendo l’ambito applicativo della disposizione ai sistemi decisionali o di monitoraggio “integralmente” automatizzati, di fatto escludendo dal novero degli strumenti impattati tutti quei
sistemi che siano caratterizzati da un’automatizzazione solamente parziale, presumibilmente implicando un qualche grado di intervento umano che non sia del tutto marginale.
Il Decreto Lavoro, inoltre, ha sostituto anche l’ottavo comma dell’art. 1 bis, prevedendo che i nuovi obblighi informativi previsti dalla normativa non trovino applicazione “ai sistemi protetti da segreto industriale e commerciale”, limitando in maniera particolarmente significativa la portata applicativa della tutela prevista proprio nei confronti di quelle aziende che fondano il proprio business model su piattaforme del tutto automatizzate (quali, per esempio, i colossi del food delivery, già in passato oggetto di particolari attenzioni sia da parte del Garante [1] che dei giudici
nazionali [2]).

Sistemi automatizzati (anche integralmente): il quadro normativo aggiornato

Alla luce delle novità introdotte dal Decreto Lavoro, si è dunque venuta a creare una dicotomia tra sistemi decisionali o di monitoraggio “automatizzati” e “integralmente automatizzati”, che riflette il diverso quadro normativo applicabile alle due tipologie di sistemi tecnologici.
Il quadro normativo si delinea, nel suo complesso, solo a valle del necessario coordinamento tra la disciplina di settore e la normativa in materia di protezione dei dati personali.

La distinzione introdotta dalla recente azione dell’esecutivo, infatti, non determina in alcun modo un’esclusione tout court dei sistemi decisionali e di monitoraggio non integralmente automatizzati dal perimetro di attenzione del nostro ordinamento, né è da intendersi come una loro liberalizzazione.
Ai sistemi integralmente automatizzati troverà dunque applicazione un quadro normativo complesso, fatto di tutele stratificate, che vedono la convivenza tra gli obblighi imposti dal GDPR e quelli di cui all’art. 1 bis del D.Lgs. 152/1997, come da ultimo modificato dal Decreto Lavoro, che diventa lex specialis rispetto alla vigente
normativa in materia di protezione dei dati personali, prevendo una disciplina più specifica e di maggior tutela per gli interessati nel contesto lavorativo nel rispetto dell’art. 88 del GDPR [3].
Ai sistemi automatizzati privi del requisito dell’“integralità”, invece, rimarrà pienamente applicabile la disciplina prevista dalla normativa in materia di protezione dei dati personali.

La disciplina lavoristica

Agli obblighi sopra esaminati si aggiunge un ulteriore livello di tutela, offerto dalla disciplina lavoristica in materia di strumenti di controllo: qualora dall’impiego dei sistemi decisionali o di monitoraggio (integralmente o parzialmente) automatizzati derivi – anche solo a livello potenziale – la possibilità di controllo a distanza
dell’attività dei lavoratori, troverà infatti piena applicazione l’art. 4 dello Statuto dei Lavoratori, con conseguente necessità di formulare apposito accordo con le rappresentanze sindacali o di ottenere autorizzazione da parte dell’Ispettorato Nazionale del Lavoro.

Il processo di compliance

Il principio cui i datori di lavoro dovranno attenersi per garantire la conformità alla normativa in caso di utilizzo di sistemi tecnologici nell’ambito del contesto aziendale è riassumibile nell’acronimo KYAS (Know Your Automated Systems), che si traduce, operativamente, nella necessità di procedere ad una capillare mappatura
dei sistemi automatizzati impiegati a livello aziendale. Tale analisi sarà propedeutica a identificare la disciplina applicabile al singolo sistema, e dovrà dunque interessare tutti i (i) sistemi decisionali e (ii) sistemi di monitoraggio deputati a fornire indicazioni:
a) rilevanti ai fini: della assunzione o del conferimento dell’incarico (ad es. l’utilizzo di chatbots durante il colloquio o di sistemi di screening dei curricula); della gestione o della cessazione del rapporto di lavoro (ad es. sistemi di determinazione automatizzata della retribuzione); dell’assegnazione di compiti o mansioni (ad es. l’impiego di algoritmi che comportano l’assegnazione o revoca automatizzata di compiti).
b) incidenti su: la sorveglianza; la valutazione; le prestazioni; l’adempimento delle obbligazioni contrattuali dei lavoratori.

Ampiezza e natura degli obblighi informativi

Una volta identificati e classificati i sistemi impiegati – operazione particolarmente complessa anche alla luce delle modiche introdotte dal Decreto Lavoro, che ridimensionano o rendono superflui i chiarimenti forniti in passato dal INL e Ministero del Lavoro , si potrà valutare l’ampiezza e la natura degli obblighi informativi cui il datore di lavoro sarà tenuto nei confronti dei propri dipendenti.
Mentre in caso di sistemi decisionali e di monitoraggio parzialmente automatizzati l’informativa dovrà essere resa ai sensi degli artt. 13 e 14 del GDPR, per i sistemi “integralmente” automatizzati troverà applicazione anche quanto previsto dall’art. 1 bis del D.Lgs. 152/1997. Ciò significa che i contenuti informativi previsti dal GDPR andranno integrati o specificati, a seconda del caso concreto, con le seguenti informazioni:

  • gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati;
  • il funzionamento dei sistemi;
  • le categorie dei dati e i parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio automatizzati, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate;
  • gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e sicurezza informatica dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri;
  • gli impatti potenzialmente discriminatori delle metriche utilizzate;
  • la logica dei sistemi decisionali o di monitoraggio automatizzati (che, ricordiamo, costituisce un contenuto già previsto dal GDPR anche se limitatamente in caso di processi decisionali automatizzati, compresa la profilazione, di cui all’art. 22 del Regolamento stesso);
  • gli scopi e le finalità dei sistemi.

Raccomandazioni del Garante: GDPR

In base alle raccomandazioni formulate dal Garante, tali specifici e ulteriori contenuti dovranno preferibilmente essere portati all’attenzione dei lavoratori “congiuntamente (quindi nello stesso documento) alle informazioni di cui agli artt. 13 e 14” del GDPR.
Si ricorda che l’informativa predisposta ai sensi del Decreto Trasparenza, non dovrà solo essere resa ai singoli lavoratori, ma anche oggetto di apposita comunicazione alle le organizzazioni sindacali, con il rischio, in caso di inadempimento, di vedersi contestata una condotta antisindacale, come recentemente affermato dal Tribunale di
Palermo [4].

Differenze fra GDPR e Decreto Trasparenza

La distinzione tra la disciplina prevista dal GDPR e il Decreto Trasparenza in relazione agli obblighi di trasparenza poc’anzi descritti si riflette anche sull’estensione del diritto di accesso riconosciuto ai lavoratori, che, in caso di sistemi integralmente automatizzati, risulterà parallelamente “rafforzato”.
In aggiunta agli oneri di natura informativa, il datore di lavoro sarà infatti tenuto – in questo caso a prescindere dal grado di automatizzazione dei sistemi – a:

  • dare evidenza dei trattamenti di dati personali effettuati mediante i sistemi decisionali o di monitoraggio automatizzati nel proprio registro delle attività di trattamento, ai sensi dell’art. 30 del GDPR;
  • effettuare un’analisi dei rischi e una valutazione d’impatto sui trattamenti in questione (procedendo a consultazione preventiva del Garante ove necessario).

Sotto il profilo sanzionatorio, se il Decreto Trasparenza prevede uno specifico regime per la violazione delle previsioni di cui all’art. 1 bis del D.Lgs. 152/1997, esso fa espressamente salva “la configurabilità di eventuali violazioni in materia di protezione dei dati personali ove sussistano i presupposti di cui agli articoli 83 del Regolamento UE 2016/679 e 166 del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni”, lasciando in tal modo la porta aperta anche alla contestazione di eventuali illeciti penali ai sensi dell’art. 167 e ss. del Codice Privacy.

Interrogativi aperti

Anche a seguito dell’intervento di semplificazione voluto dal Governo mediante l’approvazione del Decreto Lavoro, permangono vari interrogativi in merito alla disciplina prevista dal legislatore in relazione all’impiego dei sistemi automatizzati nel contesto lavorativo.
In primo luogo, non è da escludersi la possibilità che le operazioni di trattamento legate all’impiego dei sistemi automatizzati disponibili sul mercato possano risultare non conformi (se non addirittura incompatibili) con i principi generali in materia di protezione dei dati, letti in combinazione con le particolari tutele previste dalla
disciplina di settore in materia di impiego di strumenti tecnologici nel contesto lavorativo e il quadro di garanzie in materia di libertà e dignità del lavoratore. Ciò in considerazione della particolare invasività e pervasività di tali strumenti e della natura dei dati trattati (quali, ad esempio, dati biometrici o dati relativi alle emozioni del
lavoratore), caratteristiche che ne mettono in dubbio sia la proporzionalità che la stessa liceità.

Incertezza sui sistemi tecnologici

Ancora oggi sussiste un significativo grado di incertezza in relazione a quali sistemi tecnologici debbano essere classificati come “integralmente” automatizzati. Se il Decreto Lavoro aveva il fine di introdurre “semplificazioni in materia di informazioni e di obblighi di pubblicazione in merito al rapporto di lavoro”, l’obiettivo appare centrato solo a metà: rimane infatti da capire se e in che modo la garanzia di un intervento umano sia sufficiente a escludere un determinato sistema tecnologico dall’ambito di applicazione dell’art. 1 bis del D.Lgs. 152/1997. Si auspica che il tema sia oggetto di ulteriore approfondimento in successiva documentazione interpretativa,
possibilmente mediante l’indicazione di una lista esemplificativa delle tecnologie interessate.

Capitolo profilazione

Infine on è del tutto chiaro in che modo la disciplina introdotta dal Decreto Trasparenza si coordini con il generale divieto dell’interessato di essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, in grado di produrre effetti giuridici che lo riguardano o che incidano in
modo analogo significativamente sulla sua persona di cui all’art. 22 del GDPR. L’impiego di sistemi decisionali e di monitoraggio integralmente automatizzati nel contesto lavorativo, infatti, ricadrà con ogni probabilità nell’ambito di applicazione dell’art. 22; tuttavia, non è semplice comprendere né quale delle deroghe al succitato
divieto potrà trovare applicazione – considerato in particolar modo che il consenso espresso dal lavoratore non è di norma considerato valido [5] – né in che termini e tramite quali modalità il datore di lavoro sarà tenuto a garantire l’intervento umano e a consentire al lavoratore di esprimere la propria opinione o di contestare la decisione presa dallo strumento tecnologico.

Conclusioni

L’intersezione e parziale sovrapposizione tra tre diversi impianti normativi (GDPR, Statuto dei lavoratori e D.Lgs. 152/1997) e alcuni coni d’ombra interpretativi rendono particolarmente complesso per gli operatori garantire la conformità alla disciplina normativa in materia di sistemi automatizzati nel contesto lavorativo.
In linea di massima, i principali adempimenti previsti a carico delle aziende che impieghino sistemi decisionali o di monitoraggio automatizzati sono sinteticamente identificabili così:

  • obblighi informativi diretti a garantire la trasparenza nei confronti dei lavoratori e – ove applicabile – delle rappresentanze sindacali;
  • registrazione dei trattamenti in questione nel registro delle attività di trattamento;
  • conduzione di apposito risk assessment e valutazione d’impatto sul trattamento dei dati;
  • rispetto delle condizioni previste dall’art. 22 del GDPR in materia di decisioni basate unicamente sul trattamento automatizzato;
  • implementazione di misure – tecniche e organizzative – adeguate;
  • ove ne sussistano i presupposti, ricorso alle procedure previste dall’art. 4 dello Statuto dei lavoratori.

Si ribadisce, dunque, come sia strategicamente essenziale per i datori di lavoro che non vi abbiano già provveduto, a prescindere dalla specifica disciplina applicabile ai singoli strumenti, provvedere ad una approfondita mappatura e successiva analisi di tutti i sistemi informatici in uso a livello aziendale.

Solo questa attività permetterà di definire il quadro degli obblighi posti in capo al datore di lavoro, garantendo un efficiente processo di messa in conformità. Per questo motivo è opportuno non solo agire con prontezza, ma anche affidarsi a consulenti e professionisti del settore che siano in grado di fornire supporto e guida agli operatori interessati.

Bibliografia

[1] V. “Ordinanza ingiunzione nei confronti di Deliveroo Italy s.r.l.” del 22.07.2021, Doc-Web n. 9685994 e “Ordinanza di ingiunzione nei confronti di Foodinho s.r.l.”, 10.06.2021, Doc-Web 9675440.
[2] V. Tribunale di Bologna, Sezione Lavoro, ordinanza del 31.12.2020.
[3] In tal senso v. “Questioni interpretative e applicative in materia di protezione dei dati connesse all’entrata in vigore del d. lgs. 27 giugno 2022, n. 104 in materia di condizioni di lavoro trasparenti e prevedibili (c.d. “Decreto trasparenza”)”, 13.12.2022, Doc-Web 9844960.

[4] Tribunale di Palermo, Sezione Lavoro, sentenza n. 14491/2023 del 03.04.2023.

[5] In tal senso v. il “Parere 2/2017 sul trattamento dei dati sul posto di lavoro” dell’8 giugno 2017, adottato dal Gruppo di lavoro articolo 29 per la protezione dei dati, e le più recenti “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679” del 4 maggio 2020, adottate dallo European Data Protection Board.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Copiato negli appunti

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

L'impatto ambientale dell'IA: come bilanciare innovazione e sostenibilità