Il decreto legislativo del 27 giugno 2022, n. 104, che rappresenta l’attuazione della Direttiva (UE) 2019/1152, è conosciuto come “Decreto Trasparenza” e aggiunge nuove tutele per i lavoratori disciplinando, in particolare, il diritto all’informazione sugli elementi essenziali del rapporto di lavoro.

European Union flag against blue sky waving

È quindi il lavoratore a beneficiare maggiormente delle nuove tutele, lasciando al datore di lavoro gli adeguamenti necessari da apportare sulla struttura e sulle modalità di gestione dei dati, per non incorrere in importanti sanzioni.

Tra le più importanti tutele messe in atto dal Decreto Trasparenza vi è il diritto all’informazione del lavoratore. Cosa comporta nello specifico?

Diritto all’informazione del lavoratore: gli obblighi di trasparenza

Oltre gli aspetti prettamente relativi alla materia giuslavoristica, in ambito Privacy viene introdotto un nuovo articolo (n.1-bis al decreto legislativo n. 152/1997). L’articolo, a partire dal 13 agosto 2022, obbliga il datore di lavoro a informare il lavoratore sull’uso di sistemi automatizzati capaci di prendere decisioni impiegando mezzi tecnologici senza il coinvolgimento umano.

Citando testualmente l’articolo n.1-bis:

“informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Ad esempio, in ambito recruiting nell’uso di un algoritmo di screening del CV, nel processo di valutazione delle performance dei dipendenti o di altra valutazione basata su qualsiasi altro tipo di dati. Questi possono essere dati forniti direttamente dall’interessato (ad es. le risposte a un questionario), dati osservati riguardo a una persona (ad es. i dati relativi all’ubicazione raccolti tramite un’applicazione) e dati derivati o desunti, come un profilo della persona che è già stato creato (ad es. un punteggio sull’affidabilità creditizia).

Tale adempimento sembra essere in linea con le previsioni del Regolamento (UE) 2016/679 (GDPR), in particolare con l’articolo 22, che sancisce il diritto per il lavoratore di non essere sottoposto a decisioni basate unicamente su un trattamento automatizzato, prevedendo il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestarne la decisione.

Diritto di accesso ai dati per il lavoratore

Quando parliamo di dati, ci riferiamo al trattamento di tutte le informazioni (a diversi gradi di sensibilità) collezionate dal datore di lavoro prima, durante e al termine del rapporto di lavoro. Il lavoratore ha sempre diritto di accedere ai dati e di richiedere ulteriori informazioni concernenti gli obblighi di cui sopra, facendo esplicita richiesta scritta al datore di lavoro o al committente, il quale è tenuto a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni.

Il Decreto sancisce inoltre il livello di dettaglio di tali informazioni, specificando gli elementi che devono essere forniti:

  1. gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;
  2. gli scopi e le finalità dei sistemi;
  3. la logica e il funzionamento dei sistemi;
  4. le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  5. le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; e
  6. il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Man working with a computer, General Data Protection Regulation and European Union flag on the screen

 

In questo ultimo punto, in particolare, la Privacy incontra l’ambito più generale della cyber security e, per la sua gestione ottimale, è necessaria la conoscenza approfondita dei sistemi di sicurezza applicata alla normativa relativa alla protezione dei dati. Considerando soprattutto due aspetti fondamentali: il diritto di accesso ai dati in qualsiasi momento da parte del lavoratore e i criteri di trasparenza legati alle informazioni sulla sicurezza e la gestione degli stessi.

 

Informativa Privacy e registro dei trattamenti

Per dare frutto a questo diritto del lavoratore, è necessario che le modalità di richiesta di accesso, revoca, trattamento e modifica siano visibili e notificate al lavoratore tramite l’Informativa Privacy. Il datore di lavoro o il committente sono inoltre tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività dei sistemi automatizzati, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR), il datore di lavoro o il committente hanno l’obbligo di effettuare un’analisi dei rischi e una valutazione d’impatto dei trattamenti coinvolti.

Modalità di informazione del lavoratore

I lavoratori, almeno 24 ore prima, devono essere informati per iscritto di ogni modifica che ha un qualsiasi impatto sui sistemi automatizzati utilizzati e/o che comportino variazioni delle condizioni di esecuzione del lavoro.

La comunicazione deve essere effettuata anche alle rappresentanze sindacali aziendali o alla rappresentanza sindacale unitaria e, in assenza delle già menzionate rappresentanze, alle sedi territoriali delle associazioni sindacali.

Sanzioni decreto trasparenza

In caso di mancato, ritardato, incompleto o inesatto adempimento degli obblighi, in caso di segnalazione da parte del lavoratore all’ispettorato del lavoro, si applica la sanzione amministrativa da 250 a 1.500 euro per ogni lavoratore interessato (prevista all’articolo 19, comma 2, del decreto legislativo 10 settembre 2003, n. 276).

Per le pubbliche amministrazioni le violazioni degli obblighi sono valutate ai fini della responsabilità dirigenziale, nonché della misurazione della performance ai sensi dell’articolo 7 del decreto legislativo 27 ottobre 2009, n. 150.

Sanzioni GDPR

Il datore di lavoro può incorrere anche in sanzioni riferibili all’articolo 83 del GDPR. Le citate sanzioni prevedono pene pecuniarie fino a 20 milioni di euro, o fino al 4% del fatturato dell’ultimo anno se superiore.

Confidential information and privacyCosa è necessario fare per il datore di lavoro?

Per non incorrere in queste importanti sanzioni, gli adeguamenti da apportare per il datore di lavoro sono molteplici:

    1. Aggiornare l’informativa

      nel rispetto degli articoli 13 e/o 14 del GDPR dei lavoratori, integrando le informazioni in merito ai sistemi decisionali o di monitoraggio automatizzati, comprensive anche delle logiche di funzionamento.

    2. Fornire adeguata formazione e istruzioni ai soggetti autorizzati al trattamento

      nel rispetto dell’articolo 29 del GDPR. Prevedere inoltre, secondo la propria organizzazione e secondo l’articolo 2-quaterdecies del Codice privacy, la relativa lettera di designazione.

    3. Eseguire o aggiornare la valutazione d’impatto

      per la protezione dei dati (articolo 35 del GDPR).

    4. Aggiornare il registro delle attività di trattamento

      coerentemente e a seguito dell’esecuzione della valutazione d’impatto per la protezione dei dati;

    5. Aggiornare la procedura per la designazione/nomina dei soggetti autorizzati

      prevedendo i nuovi termini di preavviso previsti dal Decreto.

    6. Aggiornare le eventuali nomine a Responsabile del trattamento

      nel rispetto dell’articolo 28 del GDPR per i trattamenti affidati a soggetti esterni.

Adeguare i propri sistemi al Decreto Trasparenza per il datore di lavoro richiede una conoscenza approfondita, tecnica e legale, sia in ambito Privacy e sia cyber security.

È il compito del team CyberSec Privacy Advisory costruire una strategia e una struttura in linea con le normative vigenti per i datori di lavoro. Scopri di più sui servizi di consulenza e su come possiamo automatizzare gli adeguamenti in materia di protezione dei dati con Privacy DIVE.