+39 075 609699 info@lusios.it

Decreto Trasparenza: Obblighi anche in materia di Privacy

Lusios S.r.l.

Chiarimenti dalla Circolare del Ministero del Lavoro n. 19 del 20 settembre 2022

 

Premessa

Il D.Lgs. n. 104 del 27/06/2022 (cd. decreto trasparenza) è intervenuto a disciplinare il diritto all’informazione sugli elementi essenziali del rapporto di lavoro.

Al di là delle numerose modifiche di carattere generale lato privatistico e giuslavoristico, il legislatore nazionale ha introdotto nel D. Lgs. 152/1997 l’articolo 1-bis (Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati), introducendo una serie di adempimenti privacy per i datori nella loro qualità di Titolari del trattamento.

Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”, nonché ll datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento Europeo privacy (2016/679) del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo”.

Secondo la Circolare 20 settembre 2022, n. 19 del Ministero del Lavoro possono individuarsi due distinte ipotesi che il decreto ha voluto regolare per gli aspetti informativi, qualora il datore di lavoro utilizzi sistemi decisionali o di monitoraggio automatizzati che siano:

  1. finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro;
  2. incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

Sul concetto di processo decisionale automatizzato vengono in aiuto le Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione, adottate dal Gruppo di lavoro ex Art. 29 (oggi EDPB) ove si precisa che il processo decisionale esclusivamente automatizzato sia quello che consente di prendere decisioni impiegando mezzi tecnologici senza alcun coinvolgimento umano.

Sistemi decisionali automatizzati

  1. Sistemi finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro.

Il legislatore si riferisce a sistemi di monitoraggio decisionali o di monitoraggio automatizzati che siano finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro (strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate).

Nella sostanza, il decreto legislativo richiede che il datore di lavoro proceda all’informativa quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati.

La circolare 19/22 del Ministero del Lavoro entra nello specifico dei casi nei quali sussiste l’obbligo di informativa:

  • assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio;
  • profilazione automatizzata dei candidati. L’obbligo di informare gli interessati dell’utilizzo di tecniche di profilazione era già presente nel comma 2 lett. f) dell’ 13 del Regolamento europeo 679/2016 (GDPR) il quale obbliga il Titolare a fornire all’interessato informazioni circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato;
  • screening dei curricula (con ricorso a recruiting tool per selezionare i candidati in possesso dei requisiti minimi per partecipare alla selezione);
  • utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
  • gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning.

Si desume, quindi, che non sarà necessario procedere all’informativa nel caso di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale. In altre parole, l’utilizzo di sistemi di timbratura elettronici non rientra, al momento, nell’obbligo di informativa se utilizzata per la rilevazione delle presenze, lasciando al datore di lavoro ogni decisione conseguente.

  1. Sistemi decisionali o di monitoraggio automatizzati che incidano sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori

Il datore di lavoro ha l’obbligo di informare il lavoratore dell’utilizzo di tali sistemi automatizzati, quali – a puro titolo di esempio: tablet, dispositivi digitali e wearables, GPS e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc.

Si pensi ad esempio ai carrelli elevatori dotati di sistemi GPS che consentano di verificare come il lavoratore si muove all’interno dell’azienda, se supera limiti di velocità (con impatto sulla prestazione del lavoratore), opporre ai software di analisi produzione (nell’ambito dell’ingegneria gestionale), che consentano di elargire premi produzione ai lavoratori che agiscono su un determinato macchinario, rispettando tempi e richieste produttive.

Esistono, inoltre, sistemi di rilevamento della posizione del lavoratore attraverso il compimento di una determinata azione (carico o scarico pacchi; ritiro raccolta differenziata) attraverso un palmare, bracciale elettronico o altro dispositivo indossabile, i quali, allo scopo di agevolare i processi produttivi, tutelare la salute dei lavoratori, consentire lo svolgimento di attività da remoto, per loro natura danno vita ad un monitoraggio sulle attività dei lavoratori.

 

Tempi per adempiere

A livello di tempistiche, il datore di lavoro è tenuto a informare i lavoratori circa l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati.

  • Per i rapporti di lavoro già instaurati alla data dell’1.08.2022, l’informazione va fornita entro 60 giorni su richiesta scritta del lavoratore già assunto alla data del 1° agosto 2022.
  • Per i rapporti di lavoro non ancora instaurati, gli obblighi si applicano a partire dal 13.8.2022.

 

Obblighi privacy del decreto trasparenza

Dal punto di vista operativo, dalla lettura del testo del decreto emergono i seguenti adempimenti, per il trattamento di dati personali, in capo al titolare del trattamento:

  1. Aggiornamento del registro dei trattamenti riguardanti attività di sistemi decisionali automatizzati e monitoraggio e sorveglianza.
  2. Redazione di una nuova informativa per candidato e per i lavoratori, con l’indicazione degli obblighi informativi ai sensi del D.Lgs. 104/2022;
  3. Aggiornamento della lettera di incarico ex art. 29 GDPR, con indicazioni delle ulteriori misure di sicurezza.
  4. Conduzione dell’analisi dei rischi (Risk Assesment);
  5. Valutazione di impatto (DPIA), procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo.

 

Sanzioni

Dal punto di vista sanzionatorio, il ritardo, l’incompleto o l’inesatto assolvimento degli obblighi di cui sopra, comporta per il datore di lavoro le sanzioni di cui all’articolo 19, comma 2, del decreto legislativo 10 settembre 2003, n. 276 (sanzione amministrativa pecuniaria da 100 a 750 euro “per ciascun mese di riferimento”).

 Conclusioni

La circolare 19/22 del Ministero del Lavoro ha aiutato a ridimensionare l’ambito di applicazione della norma, avendone chiarito meglio i confini di applicabilità. Escluso, quindi, il dovere di informativa nel caso di sistemi informatizzati per la rilevazione delle presenze (se ogni successiva decisione viene lasciata all’intervento dell’uomo) si devono per gli stessi motivi escludere anche i sistemi di videosorveglianza dei luoghi in cui opera il lavoratore, sistemi di monitoraggio dell’attività lavorativa in Smart working o di gestione della posta elettronica o delle videoconferenze, sempre che non siano in grado di generare decisioni automatizzate.