In attuazione della Direttiva Europea 2019/1152, il 29 luglio 2022 è stato pubblicato in Gazzetta Ufficiale il D.lgs n. 104/2022, c.d. “Decreto Trasparenza”, che entrerà in vigore il 13 agosto 2022 ed avrà lo scopo di rendere maggiormente trasparenti, e quindi aumentarne la conoscibilità, le condizioni di lavoro a cui sono soggetti i lavoratori.
Ma con un impatto anche sul trattamento dati e le relative informative da dare ai lavoratori a norma privacy.
Decreto trasparenza e aspetti privacy: obblighi informativi del datore di lavoro
Nuovi obblighi informativi ai datori di lavoro
In sintesi il Decreto Trasparenza attribuisce ai datori di lavoro nuovi obblighi informativi al momento della stipula di un contratto o di una lettera di assunzione (Art. 1: “Il presente decreto disciplina il diritto all’informazione sugli elementi essenziali del rapporto di lavoro e sulle condizioni di lavoro e la relativa tutela […]”).
Questa nuova disposizione normativa si applica a tutti i rapporti di lavoro subordinato, anche con tipologie contrattuali non standard (collaborazione coordinata e continuativa, prestazione occasionale, lavoro intermittente, lavoro somministrato, etc.), a meno che la durata media del rapporto di lavoro non sia inferiore a tre ore settimanali.
Sono esclusi i lavoratori autonomi, i contratti di agenzia e di rappresentanza commerciale, i rapporti di collaborazione dei parenti, i rapporti di lavoro del personale dipendente di amministrazioni pubbliche in servizio all’estero.
Entrando nel merito delle informazioni da fornire al lavoratore, per iscritto in formato cartaceo o elettronico, individuate nel Capo II del decreto in esame si sottolinea che esse riguardano le informazioni tipiche del rapporto (tipologia contrattuale, il nome del datore, la sede di lavoro, la data di inizio e fine), la retribuzione, il periodo di prova, l’inquadramento del lavoratore, l’orario ordinario di lavoro, la durata delle ferie e dei congedi retribuiti, la formazione erogata, la durata del preavviso, il contratto collettivo nazionale applicato e i soggetti a cui sono indirizzati i contributi previdenziali ed assicurativi.
Il trattamento dati a fronte del decreto Trasparenza
L’introduzione di detta disposizione incide anche in ambito trattamento dati. Infatti, il concetto di trasparenza è uno dei princìpi cardine del GDPR che trova il suo fondamento nell’art. 5 ove viene statuito che i dati personali devono essere trattati in modo trasparente, nell’art. 12 il quale precisa che le informazioni devono essere fornite in forma concisa, trasparente, intelligibile e facilmente accessibile e nel Considerando 58 dove viene precisato che le informazioni destinate al pubblico o all’interessato devono essere concise, facilmente accessibili e di facile comprensione.
Di particolare rilevanza è, tuttavia, l’art. 4 del Decreto Trasparenza che introduce l’art. 1-bis nel Decreto Legislativo n. 152/1997. Infatti, detta disposizione normativa obbliga il datore di lavoro a “informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori […]” precisando altresì che le informazioni devono essere comunicate “in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico”.
Appare evidente, dalla semplice lettura delle disposizioni enunciate, che il decreto in esame amplia il dettato normativo dell’art. 22 del GDPR includendo nei sistemi decisionali e di monitoraggio automatizzati anche quei software atti a supportare l’imprenditore nelle proprie scelte aziendali, come, a titolo di esempio, gli strumenti per la valutazione delle performance dei dipendenti.
Informazione al lavoratore
Pertanto, con l’entrata in vigore di detta disposizione il datore di lavoro, con riferimento ai citati sistemi decisionali e di monitoraggio automatizzati, dovrà informare il lavoratore:
- sugli aspetti del rapporto di lavoro su cui incidono detti strumenti nonché sulle categorie di dati e i parametri principali utilizzati;
- sugli scopi, le finalità, la logica ed il funzionamento di detti sistemi;
- sulle misure di controllo adottate, sui processi di correzione e sul livello di accuratezza, robustezza e cybersicurezza, con l’indicazione delle metriche utilizzate per misurare tali parametri;
- sugli impatti potenzialmente discriminatori delle metriche;
- sul nominativo del responsabile del sistema di gestione della qualità.
Inoltre, allo scopo di mantenere un’adeguata compliance, stante l’introduzione delle attività di sorveglianza e monitoraggio indicate, sarà necessario aggiornare le informative (art. 13 GDPR), le lettere d’incarico (art. 24 GDPR), il registro dei trattamenti (art. 30 GDPR) e revisionare, se del caso, la valutazione dei rischi (art. 32 GDPR) e l’eventuale valutazione d’impatto (art. 35 GDPR).
Appare evidente che questa enorme mole di informazioni, il cui obiettivo prìncipe è quelle di rendere maggiormente trasparente il rapporto di lavoro, corre il rischio di non raggiungere il proprio scopo ma di ottenere l’effetto contrario, ossia di rendere le informative eccessivamente complesse e poco comprensibili.
Per completezza si precisa che le violazioni delle disposizioni in materia di informazioni ai lavoratori sono punite con un sanzione compresa tra 250 euro e 1.500 euro per ogni lavoratore interessato.
