protezione dati personali

Decreto Trasparenza: i nuovi obblighi per i datori di lavoro e le ricadute sulla privacy

Con il nuovo Decreto Trasparenza vengono fissati obblighi informativi in capo al datore di lavoro, con impatti anche sugli adempimenti in materia di protezione dei dati personali. L’ambito di applicazione, le novità, le sanzioni

Pubblicato il 22 Set 2022

Lorenzo Giannini

Consulente legale privacy e DPO

password sicurezza privacy

A seguito della sua entrata in vigore, lo scorso 13 agosto, il “Decreto trasparenza” (D. Lgs. 27 giugno 2022, n. 104[1]) ha aggiornato e ampliato gli oneri a carico dei datori di lavoro circa il corredo informativo da fornire ai lavoratori, influendo significativamente sulle attività di organizzazione e gestione del rapporto di lavoro fin dal momento della sua instaurazione, nonché sugli adempimenti richiesti per la compliance alla normativa in materia di protezione dei dati personali.

Il decreto, in attuazione della direttiva (UE) 2019/1152, interviene a disciplinare il diritto all’informazione dei lavoratori su elementi essenziali del rapporto lavorativo, sulle condizioni di lavoro e la relativa tutela, estendendo la portata delle già ampie previsioni di cui al D. Lgs. 152/1997. In coerenza col dichiarato obiettivo di trasparenza alla base del provvedimento, è richiesto ai datori di lavoro di effettuare le comunicazioni delle informazioni in modo chiaro, tanto che ciò avvenga mediante modalità cartacee o elettroniche.

Dipendenti sempre più spiati dalle aziende: così il lavoro diventa una trappola

Se da un lato, le nuove disposizioni hanno preso avvio riguardo ai rapporti lavorativi instaurati a far data dallo scorso 13 agosto, dall’altro hanno trovato applicazione anche rispetto ai lavoratori assunti alla data del 1° agosto, laddove questi facciano richiesta scritta di ricevere le informazioni al datore di lavoro o al committente. Questi ultimi non potranno far trascorrere più di sessanta giorni per fornire riscontro.

Ambito di applicazione e novità

L’ambito di applicazione – rispetto al quale, per ragioni di sintesi, si rinvia alla lettura dell’art. 1 del provvedimento – comprende sia rapporti di lavoro privati che pubblici e concerne, così come indicato al successivo articolo 4 con cui è stato riformulato l’art.1 del D. Lgs. 152/1997, il nutrito pacchetto di informazioni elencate nel testo normativo[2].

La maggiore novità, tuttavia, è quella introdotta dall’art. 4, comma 1, lett. b) del provvedimento, con cui è stato inserito il nuovo articolo 1-bis all’interno del citato D. Lgs. 152/2022. L’importanza dell’articolo, rubricato “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”, non si coglie soltanto con riguardo alle informazioni aggiuntive che il datore dovrà fornire ai lavoratori e di cui diremo a breve, ma soprattutto per l’esplicito collegamento alla normativa europea in materia di privacy (Regolamento (UE) 2016/679, GDPR) e, di riflesso, agli aggiornamenti richiesti al datore nella sua qualità di titolare del trattamento dei dati personali dei lavoratori.

Quest’ultima considerazione, invero, non è destituita di collegamenti normativi rinvenibili proprio all’interno del GDPR, il cui art. 5, par. 1, lett. a) sottolinea come i dati siano “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”[3] e il cui art. 12, con riferimento al contenuto delle informative, prevede che la comunicazione avvenga in forma “intelligibile e facilmente accessibile, con linguaggio semplice e chiaro”.

I datori di lavoro interessati

Innanzitutto, occorre chiarire come la platea di datori di lavoro interessati da tale ulteriore obbligo risulti limitata a coloro che fanno ricorso a “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”, fermi restando – così come sottolineato dall’articolo stesso – gli ulteriori obblighi giuslavoristici a cui il datore sarebbe sottoposto ex art. 4 dello Statuto dei lavoratori (L. 300/1970), nel caso in cui con tali strumenti si realizzassero controlli a distanza.

Nulla quaestio sulla “timeline” del rapporto lavorativo investito dall’obbligo, che va dalla prima fase di assunzione a quella della cessazione del rapporto, mentre appare tanto ampio quanto sfumato il perimetro di strumenti nel quale far ricadere i “sistemi decisionali o di monitoraggio automatizzati” citati nella norma. Non essendo indicato in essa un elenco specifico, sarà quanto mai opportuna, pertanto, una attenta e sostanziale valutazione da parte del datore, circa la natura e le caratteristiche di tali strumenti implementati e utilizzati all’interno dell’organizzazione.

Ciò, in attesa di quantomai auspicabili interventi di chiarimento, utili a circoscrivere tanto la tipologia dei sistemi quanto il grado di automazione richiesto ai fini della loro inclusione rispetto ai suddetti obblighi.

Privacy e lavoro, la nuova sfida dei dati “strettamente personali”

Le ulteriori informazioni da fornire al lavoratore

In questa ipotesi, le ulteriori informazioni da fornire al lavoratore riguarderanno:

  • Gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di detti sistemi;
  • Gli scopi e le finalità per l’utilizzo dei sistemi;
  • La logica e il funzionamento dei sistemi;
  • Le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • Le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • Il livello di accuratezza, robustezza e cybersicurezza dei sistemi, nonché le metriche utilizzate per misurare tali parametri e gli impatti potenzialmente discriminatori delle metriche stesse.

Rispetto a tali informazioni il lavoratore, direttamente o per tramite delle rappresentanze sindacali aziendali o territoriali, ha diritto di accesso e può richiedere ulteriori chiarimenti, che dovranno essere forniti con riscontro scritto del datore o del committente non oltre trenta giorni.

Inoltre, nel caso di modifiche incidenti sulle informazioni loro fornite che comportino variazioni delle condizioni di svolgimento del lavoro, i lavoratori dovranno essere informati per iscritto dei cambiamenti almeno ventiquattro ore prima che questi abbiano luogo.

Oltre a ciò, come più sopra accennato, il provvedimento richiama esplicitamente la normativa europea in materia di privacy, nella misura in cui viene richiesto al datore di lavoro (titolare del trattamento) di integrare parte degli adempimenti contenuti nel GDPR.

Registro del trattamento e informativa

In primo luogo, viene indicato il necessario aggiornamento sia del registro del trattamento, sia dell’informativa, prevedendo per quest’ultima l’inserimento delle “istruzioni per il lavoratore in merito alla sicurezza dei dati”. A ben vedere, tuttavia, l’art. 13 GDPR richiede già di rendere informazioni all’interessato circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”. A proposito di istruzioni da fornire al lavoratore, il datore dovrà piuttosto implementare atti di nomina come designato o autorizzato, la policy interna e aggiornare la formazione del personale, al fine di assolvere all’effettivo rispetto degli obblighi formativi di cui agli articoli 29 e 32, comma 4, GDPR.

La valutazione d’impatto

Anche la necessità di svolgere una valutazione d’impatto (DPIA – Data Protection Impact Assessment) “al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi” al GDPR, per quanto corretta, non si configura come una novità assoluta. Già allo stato attuale, infatti, le ampie maglie del primo comma dell’art. 35 conducono – stante le peculiarità degli strumenti sopra citati – alla necessità di effettuare tale valutazione dei rischi, così come la quinta tipologia individuata all’interno dell’elenco di trattamenti di cui all’allegato A al provvedimento n. 467 dell’11 ottobre 2018 dell’Autorità Garante privacy, può riferirsi al caso de quo.

Infine, è richiesto al datore di lavoro di trasmettere le informazioni e gli aggiornamenti appena descritti “in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico”, nonché di comunicarli “anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, [in loro assenza], alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale” (cfr. art. 1-bis, comma 6, D. Lgs. 152/1997).

Le sanzioni

Sul piano sanzionatorio, la circolare dell’INL n. 4/2022[4] ha chiarito come per la violazione delle disposizioni contenute all’art. 1-bis sia previsto dal nuovo art. 19, comma 2, del D. Lgs. 276/2003 una sanzione amministrativa pecuniaria da 100 a 750 euro “per ciascun mese di riferimento”, soggetta a diffida ex art. 13 D. Lgs. n. 124/2004. La sanzione va quindi applicata per ciascun mese in cui il lavoratore svolga la propria attività in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente. Trattasi poi di una sanzione “per fasce”: ferma restando la sua applicazione per ciascun mese di riferimento, se la violazione si riferisce a più di cinque lavoratori la sanzione amministrativa è da 400 a 1.500 euro. Se invece la violazione si riferisce a più di dieci lavoratori, va da 1.000 a 5.000 euro e non è ammesso il pagamento in misura ridotta e, dunque, neanche la procedura di diffida ex art. 13 del D. Lgs. n. 124/2004.

In conclusione, pertanto, possiamo osservare come le realtà più virtuose e attente sotto il profilo della compliance GDPR si troveranno adesso a compiere uno sforzo minore per mettersi in linea con l’aggiornamento documentale richiesto dal nuovo art. 1-bis D. Lgs. 152/1997.

Laddove nominato, inoltre, il Data Protection Officer (DPO) giocherà senz’altro un ruolo fondamentale, essendo chiamato ad affiancare il titolare nelle sue valutazioni: è lo stesso GDPR, all’art. 39, a individuare tra i compiti del DPO proprio quelli di consulenza e sorveglianza sul rispetto della normativa in materia di protezione dei dati personali.

  1. www.gazzettaufficiale.it/eli/id/2022/07/29/22G00113/sg
  2. È altresì richiesto al datore di fornire ulteriori informazioni nel caso in cui distacchi un lavoratore in uno Stato membro dell’Unione europea o in uno Stato terzo, nell’ambito di una prestazione transnazionale di servizi (Cfr. nuovo art. 2 D. Lgs. 152/1997, inserito ex art. 4, comma 1, lett. c) D. Lgs. 104/2022).
  3. Sul punto cfr. anche Considerando 39 GDPR.
  4. www.ispettorato.gov.it/it-it/orientamentiispettivi/Documents/INL-circolare-4-2022-chiarimenti-decreto-trasparenza.pdf

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3