lavoro

Decreto Trasparenza, gli aspetti privacy che le aziende devono conoscere

Dalla pubblicazione in Gazzetta Ufficiale lo scorso 29 luglio, quasi ogni giorno si sente parlare sia del decreto legislativo 104/2022, sia dei dubbi interpretativi delle aziende. Adeguarsi al nuovo dettato normativo e rispettare le previsioni privacy che si intersecano con il Decreto Trasparenza rappresenta per le aziende

Pubblicato il 19 Dic 2022

Irene Pudda

Associate Partner Rödl & Partner

Flavia Terenzi

Senior Associate Dipartimento Data Protection Rödl & Partner

privacy lavoro

Il 29 luglio 2022 è stato pubblicato in Gazzetta Ufficiale il decreto legislativo n. 104/2022 cosiddetto Decreto Trasparenza, che recepisce le novità contenute nella Direttiva UE n. 2019/1152 (Direttiva Trasparenza), in materia di condizioni di lavoro trasparenti e prevedibili e, da allora, molti sono i dubbi interpretativi che impegnano le aziende nell’intento di applicare concretamente le previsioni della nuova normativa. I rapporti per i quali vigono le nuove disposizioni sono molteplici ma, per comodità, si farà riferimento ai rapporti di lavoro subordinato.

Decreto Trasparenza: i nuovi obblighi per i datori di lavoro e le ricadute sulla privacy

Decreto Trasparenza

Il Decreto Trasparenza è entrato in vigore il 13 agosto 2022, ma, già all’indomani della pubblicazione in Gazzetta Ufficiale, nel silenzio della normativa, le aziende e i tecnici si sono subito domandati se, da un punto di vista prettamente lavoristico, il generico rinvio alla contrattazione collettiva applicata al rapporto di lavoro non fosse più sufficiente per fornire specifiche informazioni ai lavoratori.

Sul punto sono intervenute la Circolare dell’Ispettorato Nazionale del Lavoro n. 4 del 10 agosto 2022 e la Circolare del ministero del Lavoro n. 19 del 20 settembre 2022 con prospettazioni divergenti.

Poste di fronte a diversi orientamenti, stante la necessità di adeguarsi al dettato del Decreto Trasparenza, molte aziende hanno colto l’opportunità di rivedere e aggiornare i template contrattuali in occasione di nuove assunzioni, e, in molti casi nei confronti di lavoratori già in forza, hanno predisposto addenda ai contratti di lavoro da consegnare ai lavoratori a prescindere da una specifica richiesta degli stessi.

Inoltre, poiché il Decreto Trasparenza impone di fornire ai lavoratori anche indicazioni in merito all’eventuale impiego da parte del datore di lavoro di “sistemi decisionali o di monitoraggio automatizzati” nell’ambito del rapporto di lavoro, risulta evidente che i maggiori impatti rispetto ai nuovi obblighi informativi si rinvengano, da un lato e in prima battuta, in relazione alla identificazione dei tali sistemi e, dall’altro, in relazione alla identificazione di preesistenti ed ulteriori adempimenti informativi, e non solo, secondo la normativa privacy.

Tutelare la privacy attentata dal digitale: i consigli dell’ONU

Privacy

Il Decreto Trasparenza ha introdotto nuovi rilevanti adempimenti informativi, rispetto a quelli già previsti dalla normativa vigente in materia di rapporto di lavoro (D. Lgs. n. 152/1997) e, in ambito privacy, dal D. Lgs. n. 196/2003 e ss.ms.ii. (“Codice Privacy”) e dal Regolamento Privacy Europeo n. 679/2016 (”GDPR”).

Tra le informazioni da rendere ai lavoratori secondo il Decreto Trasparenza, infatti, dal punto di vista privacy, vi sono ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati (art. 1 bis D. Lgs. 152/1997 novellato).

In particolare, in presenza di sistemi automatizzati, i datori di lavoro devono informare i lavoratori in merito:

  • agli aspetti del rapporto di lavoro sui quali incidono,
  • agli scopi e alle finalità degli stessi,
  • alla logica ed al funzionamento dei sistemi,
  • alle categorie di dati e ai parametri principali utilizzati per programmare o addestrare (“calibrare”) i sistemi, inclusi i meccanismi di valutazione delle prestazioni,
  • alle misure di controllo adottate per le decisioni automatizzate, agli eventuali processi di correzione e al responsabile del sistema di gestione della qualità,
  • al livello di accuratezza, robustezza e cybersicurezza e alle metriche utilizzate per misurare tali parametri, nonché agli impatti potenzialmente discriminatori delle metriche stesse.

Tutte le informazioni previste dal Decreto Trasparenza vanno rese in modo chiaro e, appunto, trasparente, in formato cartaceo oppure “in formato strutturato, di uso comune e leggibile da dispositivo automatico”. La comunicazione delle medesime informazioni e dei dati deve essere effettuata “in modo trasparente” non solo al lavoratore interessato ma anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza di queste, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale.

Le informazioni in merito ai sistemi decisionali o di monitoraggio automatizzati devono essere rese entro termini temporali precisi:

  • al momento dell’instaurazione del rapporto per gli assunti a far data dal 13 agosto 2022,
  • entro 60 giorni per le informazioni richieste da lavoratori già in forza al 13 agosto 2022 (e per i lavoratori assunti nel periodo dal 1 al 13 agosto 2022),
  • eventuali modifiche devono essere comunicate ai lavoratori con almeno 24 ore di anticipo rispetto alla relativa entrata in vigore.

Si aggiunge anche il diritto di accesso ai dati e di richiedere ulteriori informazioni concernenti gli obblighi sopra indicati che, ai sensi dell’articolo 15 GDPR, può essere esercitato dal lavoratore interessato anche per il tramite della rappresentanza sindacale. In questo caso, muovendo dai principi privacy, ove la richiesta provenga per il tramite della rappresentanza sindacale, è ragionevole supporre che il datore di lavoro possa richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato e la provenienza della richiesta, presentata a mezzo della rappresentanza sindacale.

In ogni caso, trattandosi di diritto di accesso, il datore di lavoro, quale titolare del trattamento, è tenuto a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni ai sensi dell’art. 12 GDPR. Le informazioni rese dal datore di lavoro sono conservate e rese accessibili al lavoratore e il datore di lavoro ne conserva la prova (anche in formato elettronico) della trasmissione o della ricezione per cinque anni dalla conclusione del rapporto.

GDPR, tutto ciò che c’è da sapere per essere in regola

Sistemi automatizzati

Posti gli obblighi informativi, le tempistiche e le modalità di messa a disposizione delle informazioni, le aziende incontrano non poche difficoltà nel trovare risposta all’interrogativo: quali sono i sistemi “automatizzati” che ricadono nell’ambito applicativo del Decreto Trasparenza?

Per rispondere a questa domanda può risultare utile partire dal disposto dell’art. 1 bis del D. Lgs. 152/1997 come novellato dal Decreto Trasparenza secondo cui “Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300”.

Pertanto, i sistemi considerati dal Decreto Trasparenza sono: i sistemi decisionali automatizzati e i sistemi di monitoraggio automatizzati deputati a fornire indicazioni:

1) rilevanti ai fini:

  • della assunzione o del conferimento dell’incarico (ad es. l’utilizzo di chatbots durante il colloquio o sistemi di profilazione per la selezione/screening dei candidati),
  • della gestione o della cessazione del rapporto di lavoro (ad es. sistemi di determinazione automatizzata della retribuzione e di monitoraggio della performance),
  • dell’assegnazione di compiti o mansioni (ad es. gli algoritmi o sistemi di intelligenza artificiale che comportano l’assegnazione o la revoca automatizzata di compiti assegnati a dipendenti),

2) incidenti su:

  • la sorveglianza,
  • la valutazione,
  • le prestazioni,
  • l’adempimento delle obbligazioni contrattuali dei lavoratori.

Compreso il dettato letterale della normativa, cos’è in concreto un sistema automatizzato da cui scaturiscono, con impatti privacy ulteriori, i nuovi obblighi di informativa? Pochi sono stati finora gli interventi chiarificatori delle autorità competenti e, tra queste, l’Autorità Garante non si è ancora pronunciata alla data della presente.

Con Circolare n. 19 del 20 settembre 2022, il ministero del Lavoro ha invece chiarito che possono essere considerati automatizzati quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate (anche nel caso in cui sia previsto un intervento umano meramente accessorio). Tale indicazione, ad una prima e veloce lettura, pare sovrapporsi con quella di “sistema decisionale automatizzato” di cui all’art. 22 e al considerando 71 GDPR: “l’interessato ha diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Sulla stessa linea del ministero del Lavoro si pongono le Linee Guida sulla profilazione e sul ricorso a sistemi automatizzati elaborate dai garanti europei – c.d. WP29 – n. 251rev.01 del 3 ottobre 2017, riviste e adottate il 6 febbraio 2018, secondo cui rientra nella nozione di sistema automatizzato sia il sistema interamente automatizzato, che non prevede alcun intervento umano, ad esempio, da parte del personale appositamente autorizzato, sia il sistema che prevede un intervento umano, seppur limitato, eventualmente combinato o meno con la profilazione.

Il ministero del Lavoro ha poi esplicitamente escluso dall’ambito di applicazione della normativa i “sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale”.

Ha inoltre chiarito che rientrano nell’ambito applicativo della disposizione anche quei sistemi decisionali o di monitoraggio automatizzati che siano integrati negli strumenti assegnati al lavoratore per rendere la prestazione lavorativa (ad es. tablet, dispositivi digitali e wearables, gps, e altro) quando presentino caratteristiche tecniche finalizzate ad attività di raccolta di dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, e altro in grado di generare decisioni automatizzate.

Datore di lavoro

Pur avendo fornito chiarimenti, il ministero del Lavoro non ha sollevato i datori di lavoro dall’impasse operativo dinanzi al quale si sono ritrovati per far fronte agli obblighi informativi imposti dal Decreto Trasparenza. Le indicazioni ministeriali si sono però rivelate utili per guidare i datori di lavoro nell’attività di identificazione di quei sistemi tecnologici/informatizzati implementati o in via di implementazione all’interno dell’azienda che, per rientrare nell’ambito applicativo del Decreto Trasparenza, devono essere rivolti ai lavoratori e che si traducono in una decisione ossia un effetto di qualsivoglia natura in termini di beneficio o di svantaggio oppure che si risolvono in un monitoraggio/controllo sugli interessati.

Il datore di lavoro quindi dovrà preliminarmente effettuare una mappatura dei sistemi in uso all’interno della propria organizzazione ivi inclusi le caratteristiche/funzionalità specifiche, gli scopi e le finalità di tali sistemi con il supporto delle funzioni aziendali competenti, tra le altre: risorse umane, IT e marketing, ove vi siano campagne e iniziative verso i lavoratori che siano di competenza di tale funzione a livello organizzativo.

Nel condurre la mappatura preliminare, il datore di lavoro si troverà a considerare anche sistemi che possono avere impatti rispetto agli obblighi, anche informativi in ambito privacy, imposti da altra normativa ossia dalla Legge n. 300/1970 (Statuto dei lavoratori).

Statuto dei lavoratori

L’art. 4, comma 1, dello Statuto dei Lavoratori stabilisce che “gli impianti audiovisivi e gli altri strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori possono essere utilizzati esclusivamente per ragioni organizzative e produttive, per la sicurezza dei luoghi di lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo con le organizzazioni sindacali aziendali […]”. Tale disposizione, la cui finalità è quella di tutelare i diritti fondamentali dei lavoratori, richiede l’esistenza di un provvedimento autorizzativo preventivo per assicurarne la legittimità ovvero l’accordo sindacale o l’autorizzazione amministrativa che non sono invece richiesti per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e per gli strumenti di registrazione degli accessi e delle presenze”.

Rapporto con il Decreto Trasparenza

Il rapporto con l’art. 4 dello Statuto dei Lavoratori andrà valutato caso per caso avuto riguardo ai singoli sistemi impiegati e alle finalità di trattamento selezionate dal datore di lavoro.

Nell’effettuare la mappatura dei sistemi in uso, il datore di lavoro dovrà tenere a mente alcune considerazioni preliminari quali:

  • non tutti i sistemi informatizzati implementati o in via di implementazione all’interno dell’organizzazione sono di per sé sistemi automatizzati ai sensi del Decreto Trasparenza,
  • alcuni sistemi informatizzati saranno anche, a seguito della valutazione condotta con il supporto di consulenti legali, IT & Cyber e con il Data Protection Officer (DPO), ove nominato, ed il suo team, automatizzati ai sensi del Decreto Trasparenza e rilevanti anche sotto il profilo dell’art. 4 Statuto dei Lavoratori,
  • alcuni sistemi informatizzati ma non automatizzati (come valutati all’esito di mappatura e disamina) potranno avere impatti ai sensi dell’art. 4 Statuto dei Lavoratori ma non ai sensi del Decreto Trasparenza.

DPO, Chi è il Data Protection Officer e perché è una figura controversa

In presenza di sistemi informatizzati che rientrano nel novero dei sistemi decisionali o di monitoraggio automatizzati dai quali derivi, anche solo potenzialmente, la possibilità di controllo a distanza dell’attività dei lavoratori, troverà piena applicazione la disciplina prevista dalla norma statutaria (art. 4, comma 1) in materia di strumenti di controllo, con conseguente necessità di verificare la sussistenza di ragioni organizzative, produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale che possano legittimarne l’implementazione previo apposito accordo con le rappresentanze sindacali o ottenimento di autorizzazione specifica da parte dell’Ispettorato del Lavoro territorialmente competente.

A ciò si aggiungerà anche l’ulteriore onere informativo, a carico del datore di lavoro vi saranno specifici obblighi in materia privacy, richiamando il GDPR. In particolare:

  • la predisposizione di un’informativa ex articoli 1 bis del Decreto Trasparenza e 13 del GDPR, documento che – allegata al contratto di lavoro – avrà una connotazione propria rispetto all’informativa dipendenti ovvero, come visto sopra, all’informativa ai sensi dell’art. 4, comma 3 Statuto dei Lavoratori,
  • l’integrazione del proprio registro delle attività di trattamento per dare evidenza dei trattamenti di dati personali effettuati mediante i sistemi decisionali o di monitoraggio automatizzati,
  • lo svolgimento di un’analisi dei rischi e di una valutazione d’impatto sui trattamenti in questione (procedendo a consultazione preventiva del Garante ove necessario),
  • la previsione di una garanzia a favore dei dipendenti in merito al diritto di accedere ai dati raccolti tramite i sistemi automatizzati e di richiedere ulteriori informazioni al riguardo (anche per il tramite delle rappresentanze sindacali).

Quelli espressamente indicati dal Decreto Trasparenza non sono i soli obblighi in punto privacy che il datore di lavoro, quale titolare del trattamento, sarà tenuto a svolgere. Si renderà necessario anche:

  • modificare/integrare e aggiornare la documentazione relativa al modello organizzativo privacy con riferimento alle funzioni competenti e di controllo e monitoraggio, alle nomine e istruzioni agli autorizzati al trattamento, alle policy e procedure,
  • selezionare fornitori di tali sistemi – ove previsti – adeguati che siano di assicurare il rispetto degli obblighi previsti dalla normativa in materia di protezione dei dati personali,
  • verificare le condizioni di liceità applicabili al trattamento e condurre le relative azioni necessarie,
  • implementare garanzie adeguate a tutela dei diritti e delle libertà degli interessati, nonché eventuali processi di correttivi, ove necessari.

Opportunità di accountability

Le novità introdotte dal Decreto Trasparenza che hanno un forte impatto sui datori di lavoro in termini di obblighi da rispettare e di adempimenti da porre in essere sotto il profilo (non solo) privacy non devono essere concepiti come l’ennesimo aggravio di costi e lungaggini ma come uno strumento di governance e accountability con particolare riferimento ai “soggetti vulnerabili” dalla normativa in materia di protezione dei dati personali.

Rispettare gli obblighi informativi e di trasparenza verso i lavoratori non significa solo evitare le sanzioni amministrative pecuniarie che la nuova normativa prevede e diversifica in relazione alle diverse mancanze che potrebbero concretamente rinvenirsi (ferma l’applicabilità di eventuali sanzioni – a fronte di violazioni in materia di protezione dei dati personali – di cui agli articoli 83 GDPR e 166 del Codice Privacy, nonché la configurabilità di eventuali illeciti penali ai sensi dell’art. 167 e ss. del Codice Privacy).

Osservare le nuove prescrizioni significa anche aderire ad un approccio accountable che consente di ridurre  il potenziale divario informativo tra datore di lavoro e lavoratore, nonché incrementare l’affidamento del lavoratore e l’appeal dell’azienda garantendo al contempo al datore di lavoro una conoscenza e una governance dei processi aziendali privacy sensitive anche con l’adozione di misure organizzative e tecniche adeguate grazie al supporto delle funzioni aziendali, delle funzioni indipendenti di governance e di controllo come il DPO.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati