31-08-2022
Sistemi automatizzati e privacy: più tutele per i lavoratori con il decreto trasparenza.
Tali strumenti per funzionare raccolgono e rielaborano un elevato numero di dati personali dei lavoratori, pertanto è chiaro come tali nuove norme impattino anche sulla governance privacy di società ed enti. Il cd. "decreto trasparenza", recentemente approvato, obbliga il datore di lavoro a fornire un′informazione più trasparente in merito all′utilizzo di sistemi decisionali o di monitoraggio automatizzati, nell′ambito della gestione dei rapporti di lavoro. Tali strumenti per funzionare raccolgono e rielaborano un elevato numero di dati personali dei lavoratori, pertanto è chiaro come tali nuove norme impattino anche sulla governance privacy di società ed enti. Dal punto di vista della genesi normativa, il decreto trasparenza (Dlgs 27 giugno 2022, n. 104) ha dato attuazione alla Direttiva Ue 2019/1152, in materia di condizioni di lavoro trasparenti e prevedibili nell′Unione europea. Lo scopo della Direttiva europea è quello di promuovere un′occupazione più trasparente e prevedibile, garantendo allo stesso tempo l′adattabilità del mercato del lavoro. Il Legislatore italiano ha ritenuto di adeguare le norme del settore giuslavoristico valorizzando la trasparenza nell′ambito dei rapporti di lavoro. Le nuove disposizioni ampliano, infatti, il corredo informativo da rendere ai lavoratori attraverso una rilevante modifica del Dlgs 152/1997, concernente l′obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro. Tra le altre novità, si segnalano i nuovi obblighi di indicare il contratto collettivo, anche aziendale, applicato al rapporto di lavoro, con l′indicazione delle parti che lo hanno sottoscritto, gli enti e gli istituti che ricevono i contributi previdenziali e assicurativi dovuti dal datore di lavoro e qualunque forma di protezione in materia di sicurezza sociale fornita dal datore di lavoro stesso, il diritto a ricevere la formazione erogata dal datore di lavoro, se prevista, nonché ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati. A tale ultimo obbligo informativo è dedicato specificatamente il nuovo articolo 1-bis, riguardante gli ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati, disposizione inserita nel corpus legislativo del Dlgs 157/1997 sopra citato. In virtù di tale novella legislativa, il datore di lavoro o il committente pubblico e privato è tenuto ad informare il lavoratore dell′utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell′incarico, della gestione o della cessazione del rapporto di lavoro, dell′assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l′adempimento delle obbligazioni contrattuali dei lavoratori. La nuova norma fa salvo quanto disposto dall′articolo 4, Statuto dei lavoratori riguardante gli strumenti audiovisivi e altri strumenti di controllo. Il neo introdotto articolo 1-bis in commento stabilisce espressamente le specifiche informazioni che devono accompagnare tale nuovo adempimento concernenti, in particolare: - gli aspetti del rapporto di lavoro sui quali incide l′utilizzo dei sistemi automatizzati (siano essi decisionali o di monitoraggio), gli scopi e le finalità degli stessi; - la logica ed il funzionamento dei sistemi decisionali o di monitoraggio automatizzati utilizzati; - le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni; - le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; - il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse. Inoltre, il lavoratore, direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali, ha diritto di accedere ai dati e di richiedere ulteriori informazioni concernenti tali obblighi informativi. In questo caso, è previsto che il datore di lavoro o il committente siano tenuti a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni. Dal momento che i sistemi decisionali o di monitoraggio automatizzati in esame sono strumenti tecnologici che si nutrono e funzionano attraverso la raccolta, il trattamento e la rielaborazione anche di dati personali dei lavoratori, è chiaro come tali nuove disposizioni abbiano impatti diretti con l′ambito della governance privacy di enti e società. Ecco che il Legislatore italiano, perfettamente consapevole del rapporto molto stretto tra i processi decisionali e/o di monitoraggio automatizzati e l′ambito della protezione dei dati personali, prevede ulteriori e conseguenti adempimenti, lato privacy, in capo a datori di lavoro e committenti. Nello specifico, il datore di lavoro o il committente sono tenuti a integrare l′informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e a procedere con l′aggiornamento del registro dei trattamenti con riguardo alle attività relative ai sistemi automatizzati in questione, incluse le attività di sorveglianza e monitoraggio. Inoltre, al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR, il datore di lavoro o il committente sono tenuti ad effettuare un′analisi dei rischi e una valutazione d′impatto degli stessi trattamenti, ai sensi dell′articolo 35 del GDPR, procedendo, ove sussistano i presupposti, alla consultazione preventiva del Garante per la protezione dei dati personali ex articolo 36 del GDPR. Si ricorda, peraltro, che l′allegato 1 al provvedimento del Garante privacy n. 467 dell′11 ottobre 2018, contenente un elenco esemplificativo delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d′impatto, parla espressamente di "trattamenti effettuati nell′ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell′attività dei dipendenti". Molto importante da sottolineare è anche l′aspetto innovativo riguardante i destinatari delle informazioni e dei dati relativi a tali sistemi automatizzati (che siano decisionali o di monitoraggio): infatti, la comunicazione delle informazioni e dei dati deve essere effettuata, oltre che ai lavoratori stessi, anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale. Questo implica, pertanto, nuovi flussi informativi tra aziende/enti e le rappresentanze sindacali, tema che naturalmente rappresenta un ulteriore aspetto da presidiare. Inoltre, è previsto una sorta di "meccanismo di controllo" da parte di precisi soggetti istituzionali, in quanto il Ministero del lavoro e delle politiche sociali e l′Ispettorato nazionale del lavoro possono richiedere la comunicazione delle medesime informazioni e dati e l′accesso agli stessi. Circa le modalità concrete di effettuazione delle comunicazioni fin qui descritte, occorre sottolineare come il Legislatore valorizzi a pieno il principio di trasparenza che rappresenta, come detto, la vera ratio della novella legislativa. A tal riguardo, la circolare n. 4/2022 dell′Ispettorato nazionale del lavoro (INL), già intervenuto fornendo le prime indicazioni sulle nuove disposizioni del decreto trasparenza, ribadisce che le informazioni e i dati che derivano da tali sistemi automatizzati devono essere comunicati dal datore di lavoro o dal committente ai lavoratori in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico. Per completezza, si ricorda che la stessa circolare INL, dati i riflessi molto importanti che i nuovi obblighi datoriali hanno anche sul versante del trattamento dei dati personali, rinvia per un′analisi più dettagliata dei nuovi adempimenti relativi ai sistemi automatizzati ad una successiva e specifica nota esplicativa che verrà prossimamente emanata.