Il Decreto Trasparenza (D. Lgs. 104/2022) ha recepito nell’ordinamento italiano la Direttiva europea 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili, con la quale sono stati estesi in modo sostanziale gli obblighi dei datori di lavoro rispetto alle informazioni da fornire ai lavoratori.
Il Decreto, entrato in vigore il 13 agosto u.s., ha modificato, tra le altre disposizioni di legge, il Decreto Legislativo n. 152/1997, introducendo ulteriori informazioni che i lavoratori hanno diritto di ricevere in relazione alla loro prestazione lavorativa.
Tuttavia, il Legislatore, con un intervento che non può che definirsi ultroneo, si è spinto oltre le previsioni di cui alla Direttiva, introducendo il controverso Art. 1-bis al D. Lgs. 152/1997, rubricato “ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”.
Decreto Trasparenza, nuove informative al lavoratore secondo le norme privacy
I contenuti della disposizione
I contenuti della disposizione, che impongono attente valutazioni a imprese ed enti pubblici, sono stati oggetto di un notevole sforzo interpretativo.
L’Articolo 1-bis prevede in particolare che, nell’ipotesi in cui siano presenti “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”, il datore di lavoro debba fornire ai lavoratori talune informazioni aggiuntive, espressamente elencate dal Decreto, quali:
- gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati;
- gli scopi e le finalità dei sistemi, la loro logica ed il loro funzionamento;
- le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
- le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
- il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
A ciò si aggiunge poi il diritto del lavoratore, autonomamente o per il tramite delle rappresentanze sindacali, di richiedere informazioni aggiuntive circa gli obblighi informativi connessi all’utilizzo dei medesimi sistemi, con l’obbligo del datore di lavoro di rispondere entro 30 giorni.
Le criticità della disposizione
La principale criticità ravvisata, soprattutto dal punto di vista della privacy, è stata quella di delimitare l’ambito applicazione e la definizione del concetto di sistemi decisionali o di monitoraggio automatizzati.
Un utile parametro in tal senso è fornito dallo schema di parere dell’undicesima Commissione Permanente al Senato (lavoro pubblico e privato), emesso nel corso seduta dell’11 maggio 2022, che conforta un’interpretazione restrittiva del portato della norma.
In particolare, la Commissione, interrogata circa la legittimità dello schema di decreto, pur esprimendo parere favorevole, ha fortemente criticato l’introduzione degli ‘ulteriori obblighi’ di cui all’Articolo 1-bis, rimarcando come non vi sia traccia di tali previsioni nel testo della Direttiva 2019/1152 e come tale normazione avrebbe (e di fatto, ha) introdotto un livello di regolazione «ampiamente più gravoso e complesso di quanto non richieda la direttiva 2019/1152».
Pur astrattamente rilevando che «il legislatore ordinario potrebbe prevedere l’introduzione di simili obblighi» ha denunciato come non possa «ritenersi ammissibile che l’introduzione di una regolamentazione così pervasiva e complessa avvenga a mezzo di un decreto legislativo di recepimento di una direttiva che nulla prevede in proposito».
Ma soprattutto, con una riflessione di indubitabile interesse, ha ricordato come sia attualmente al vaglio del Parlamento – in ossequio al principio di sussidiarietà che caratterizza i rapporti tra l’ordinamento europeo e quello degli Stati membri nelle materie di competenza concorrente – la Proposta di Direttiva relativa al miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali, i cui contenuti (in particolare il Capo III e l’Articolo 6, rubricato proprio “Trasparenza e uso dei sistemi decisionali e di monitoraggio automatizzati) risultano di fatto – irritualmente – anticipati dall’Articolo 1-bis.
Tuttavia, il Legislatore non ha dato seguito ai rilievi della Commissione ed ha mantenuto i nuovi obblighi informativi, probabilmente ritenendo che una maggiore trasparenza sull’uso dei sistemi decisionali e di monitoraggio fosse senz’altro doverosa nei confronti dei lavoratori e dei loro rappresentanti.
Differenze interpretative e dubbi
Il risultato, però, appare poco chiaro, almeno a giudicare dalle differenze interpretative e dai dubbi che in questi giorni attanagliano le imprese e i loro consulenti, tanto che da più parti si richiede l’emanazione di norme interpretative o perlomeno di testi che definiscano l’elenco dei sistemi interessati dal provvedimento e chiariscano alcune apparenti incongruenze.
Come purtroppo siamo abituati a dover constatare sempre più spesso, la poca attitudine del Legislatore a produrre testi chiari si accentua in modo quasi patologico nella legislazione di emanazione non parlamentare, che si compone talvolta di testi poco chiari – quando non addirittura contradditori.
Come interpretare, quindi, una norma come l’Articolo 1-bis garantendo contemporaneamente conformità applicativa, tutela degli interessati, salvaguardia della operatività e tutela dei segreti industriali?
Un’interpretazione della ratio della norma
A parere di chi scrive l’interpretazione più coerente con la ratio della norma e con una lettura sistematica che tiene conto anche dei richiamati rilievi mossi dall’11° Commissione parlamentare al Senato e della Proposta di Direttiva relativa al miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali, limita l’applicabilità della norma a quei soli sistemi automatizzati che siano in qualche modo gestiti mediante automi, ovvero sui quali insista un algoritmo che sia in grado di monitorare o di prendere decisioni, e che tali sistemi siano deputati a fornire indicazioni incidenti o comunque rilevanti rispetto al rapporto di lavoro.
Sebbene nel GDPR (a cui evidentemente l’articolo in questione fa ampio riferimento) si utilizzi il termine ‘automatizzato’, riferito al ‘trattamento’, ai ‘mezzi’, ai ‘processi’, associandolo talvolta a sistemi informatici in senso lato, riteniamo che in questo caso il termine sia utilizzato – perlomeno per quanto riguarda i sistemi decisionali – nell’accezione utilizzata nelle Linee guida sul processo decisionale automatizzato e profilazione, che descrive i processi decisionali automatizzati come l’output di un algoritmo a fronte di una serie di dati forniti.
L’interpretazione offerta viene ulteriormente rafforzata dal testo dell’Articolo 1-bis e in particolare dai parametri stessi e dalle metriche di cui viene richiesta l’informazione ai lavoratori nelle lettere d), e) ed f):
- d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi di cui al comma 1, inclusi i meccanismi di valutazione delle prestazioni;
- e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
- f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché’ gli impatti potenzialmente discriminatori delle metriche stesse.
I parametri e le metriche elencati parrebbero rimandare ai requisiti richiesti per le applicazioni di intelligenza artificiale, con espressioni mutuate – spesso letteralmente – dalla Proposta di regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione (cfr. in particolare artt. 10, 13 e 15).
Non sfuggirà ai più come l’illustrazione di tali parametri e metriche sia difficilmente applicabile ad applicazioni non algoritmiche o a software che, pur utilizzati per rendere la prestazione lavorativa o comunque nell’ambito del rapporto di lavoro, non presentino le caratteristiche di sistemi di intelligenza artificiale o perlomeno di sistemi che automatizzano un processo, decisionale o di monitoraggio, sulla base di un algoritmo complesso.
L’applicazione di meccanismi di misurazione o dei parametri di accuratezza, robustezza e cybersicurezza (per tacere dei processi di programmazione e addestramento dei sistemi) a software che non hanno caratteristiche di questo tipo rischia di essere un’operazione ardua o, peggio, banalizzante, con metriche del tutto personali e per questo poco affidabili.
Non possiamo infine dimenticare che i sistemi in questione devono avere un impatto effettivo sul rapporto di lavoro. Lo prova anche il fatto che il comma 4 dell’art. all’Art. 1-bis prevede non solo una generica analisi dei rischi sui trattamenti di dati personali che utilizzano tali sistemi, ma una valutazione d’impatto ai sensi dell’art. 35 del GDPR, il che presuppone che i sistemi in oggetto debbano essere comunque ad alto rischio per i diritti e le libertà del lavoratore.
Conclusioni
In conclusione, a parere di chi scrive i sistemi (decisionali e di monitoraggio) automatizzati oggetto di specifica informazione ai sensi del Decreto Trasparenza non riguardano genericamente tutti gli strumenti informatici utilizzati dall’azienda o dal lavoratore, ma solamente le casistiche in cui:
- tali sistemi si avvalgano di algoritmi e automatismi;
- tali sistemi siano deputati a fornire indicazioni rilevanti ai fini dell’assunzione, ecc. nonché informazioni incidenti su valutazione ecc.
Ci vengono in mente alcuni esempi, senza pretesa di esaustività:
- Sistemi di selezione automatizzata, anche online, o comunque algoritmi utili a scremare i c.v. in fase di selezione o anche preposti alla ‘scrematura’ del novero dei candidati in vista delle fasi successive del procedimento di selezione.
- Algoritmi utili a determinare l’assegnazione di specifiche mansioni in base al c.v., all’esperienza, al rendimento professionale o ad altri parametri calcolati secondo un determinato schema.
- Sistemi di monitoraggio dei LOG, ove effettuato in modo automatizzato con effetti automatici sugli account dei lavoratori in base al comportamento di questi ultimi.
- Monitoraggio di sistemi informatici, dell’accesso a database e applicazioni con registrazione delle operazioni effettuate ed evidenza e alert su operazioni non consentite o comunque comportamenti anomali degli operatori (quali quelli presenti in ambito bancario o in alcuni settori pubblici).
- Particolari sistemi di quality check, ove gestiti in modo automatizzato.
- Particolari software di business intelligence che monitorino l’attività dei lavoratori.
- Sistemi MES e Industria 4.0 per la gestione e il controllo del processo produttivo ove siano presenti algoritmi di monitoraggio del lavoratore o automatismi decisionali che abbiano impatto sullo stesso.
- Sistemi SIEM, software di sicurezza di tipo ‘behavioral’, ove siano presenti sistemi di monitoraggio e automatismi di intervento sugli account o gli strumenti del lavoratore;
- Sistemi di geolocalizzazione (compresi alcuni sistemi ‘uomo a terra’), che prevedano segnalazioni o interventi automatici.
- Sistemi MDM configurati in modo tale da ottenere informazioni sulla localizzazione dei lavoratori o attività svolte, correlate ai compiti loro assegnati.
Va da sé che le interpretazioni di un argomento così discusso e controverso, seppur fornite a ragion veduta e con attento raffronto delle norme correlate, si dovranno confrontare alla prova dei fatti con quelle fornite dalla giurisprudenza e con quelle adottate dagli organi ispettivi.
Senza dubbio un intervento chiarificatore appare fortemente necessario, soprattutto tenuto conto che il Decreto trasparenza è entrato in vigore lo scorso 13 agosto e che, pertanto, le norme ivi contenute sono già ampiamente precettive.