Dal 13 agosto i contratti di lavoro e le lettere d’assunzione dovranno contenere una corposa serie di informazioni riguardanti lo svolgimento del rapporto di lavoro: durata del periodo di prova, la formazione, i congedi, la programmazione dell’orario normale di lavoro e le eventuali condizioni relative al lavoro straordinario e alla sua retribuzione. Tra gli altri obblighi, c’è quello di comunicare ai lavoratori i sistemi informatici usati per la gestione del rapporto, dal momento dell’assunzione fino alla cessazione.
È approdato in Gazzetta Ufficiale il decreto legislativo 104 del 27 giugno 2022 (pubblicato nella «Gazzetta Ufficiale 176 del 29 luglio e in vigore per le nuove assunzioni dal 13 agosto), che recepisce la direttiva Trasparenza 2019/1152 Ue, modifica il Dlgs 152/1997, sostituendo l’articolo 1 e aggiungendo il nuovo articolo 1-bis, con l’introduzione di una serie di obblighi per il datore di lavoro che utilizza strumenti automatizzati per la gestione dei lavoratori. Considerata la generale diffusione di questi strumenti, la previsione deve essere considerata con attenzione.
I sistemi in questione sono quelli decisionali o di monitoraggio automatizzati, che forniscono indicazioni rilevanti per i diversi momenti del rapporto di lavoro (ad esempio assunzione, gestione, cessazione) e «incidenti», cioè che incidono su sorveglianza, valutazione e prestazioni.
Gli obblighi introdotti a carico del datore di lavoro che utilizza tali strumenti si sostanziano in obblighi informativi e obblighi che impattano su adempimenti già imposti a tutela della privacy dal Gdpr.
Che cosa deve fare il datore di lavoro?
Per fornire ai lavoratori le informazioni richieste, il datore di lavoro dovrà analizzare puntualmente i sistemi automatizzati in uso per descriverne, ad esempio logica e funzionamento, dati e parametri di programmazione, impatti potenzialmente discriminatori e così via. Una volta identificate le informazioni rilevanti, queste devono essere tradotte in un formato strutturato e di uso comune e rese fruibili anche da dispositivi automatici. L’onere informativo è ulteriormente appesantito dall’obbligo di condividere le informazioni anche con soggetti terzi (le rappresentanze sindacali aziendali e, su richiesta, il Ministero del Lavoro e l’Ispettorato nazionale del lavoro).
Alle richieste dei lavoratori si deve dare riscontro scritto entro 30 giorni dal ricevimento e in caso di modifiche rilevanti i lavoratori devono essere informati per iscritto almeno 24 ore prima.
Decreto Trasparenza: aggiornamento degli obblighi sulla privacy
Di conseguenza, passando agli obblighi già imposti dal Gdpr, sarà necessario rivedere l’informativa con le istruzioni in merito alla sicurezza dei dati (che sembra riferirsi alle istruzioni ai dipendenti sulla gestione di dati personali), aggiornare il registro dei trattamenti e procedere a una valutazione di impatto sulla protezione dei dati (cosiddetto Dpia), per valutare i rischi associati all’uso di determinati strumenti automatizzati e identificare misure idonee a gestirli.
Se la valutazione di impatto rileva un rischio elevato in assenza di misure di attenuamento, sarà necessario rivolgersi al Garante privacy per una consultazione preventiva.
L’esatta portata degli adempimenti imposti potrà essere definita in seguito ai chiarimenti del dettato normativo. In particolare, non è chiaro quali siano gli strumenti automatizzati oggetto di regolamentazione. Il richiamo «resta fermo quanto disposto dall’articolo 4 dello Statuto dei lavoratori» potrebbe indicare che gli strumenti automatizzati sono solo quelli per cui vige un obbligo di concertazione, oppure qualsiasi strumento utilizzato per la prestazione lavorativa. In attesa di chiarimenti, il datore di lavoro dovrebbe comunque iniziare a censire gli strumenti automatizzati attualmente in uso e identificare quelli che comportano monitoraggio o decisioni automatizzate. Tale censimento è utile anche per raccogliere le informazioni che dovranno essere fornite ai lavoratori.
La richiesta di accesso ai dati
Le richieste di accesso a dati e informazioni riguardano gli strumenti automatizzati e sono dunque distinte dalle richieste di accesso a dati personali in base al Gdpr. Trattandosi però di richieste di dati/informazioni e immaginando che le richieste sugli strumenti si estendano ai dati personali trattati tramite gli stessi, sembra utile coordinare le relative procedure.
In caso di violazione, si applicano le sanzioni previste dal decreto ma anche, ragionevolmente, quelle del Gdpr.
Gli adempimenti privacy previsti dal decreto incidono infatti sulla generale liceità del trattamento, che deve in primo luogo essere conforme alla legge applicabile. Un registro dei trattamenti non aggiornato rispetto ai sistemi automatizzati risulterebbe un registro non aggiornato ai sensi del Gdpr, con applicazione delle relative sanzioni che, ricordiamo, nei casi più gravi arrivano a 20 milioni di euro/il 4% del fatturato totale annuo dell’esercizio precedente, se superiore.
Decreto Trasparenza: cosa fare per prepararsi
- Censire gli strumenti automatizzati decisionali o di monitoraggio automatizzati in uso.
Per ciascuno strumento, definire: finalità di utilizzo, dati personali trattati, profili del rapporto di lavoro impattati, misure previste per garantire sicurezza e affidabilità del sistema. In caso di strumenti che risultino particolarmente invasivi, determinare anche le logiche del sistema, dati e parametri usati per programmarlo, meccanismi di valutazione e misure di controllo in caso di decisioni automatizzate, parametri per la valutazione del sistema e relativi impatti potenzialmente discriminatori; - Identificare come fornire le informazioni aggiuntive;
Integrare la documentazione privacy esistente, evitando di aggiungere ulteriore documentazione al sistema documentale in essere, ovvero predisponendo gli allegati/policies ad hoc, che consentono un più agevole aggiornamento in caso di future modifiche;
Definire le modalità per fornire le informazioni ai lavoratori, in linea con i requisiti indicati dal Decreto; - Predisporre procedure per rispondere a richieste di accesso in base al decreto e coordinare tali procedure con il riscontro a richieste di accesso in base al Gdpr;
- Verificare che il Registro dei trattamenti sia tenuto regolarmente, in modo da essere pronti all’aggiornamento;
- Verificare la procedura prevista per eseguire una valutazione di impatto privacy, in modo da potersi organizzare per tempo in caso di necessità di esecuzione di Dpia sugli strumenti automatizzati.
