|
ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex.
Il D.Lgs. n. 104 del 27/06/2022 (cd. decreto trasparenza) in vigore dallo scorso 13 agosto, è intervenuto a disciplinare il diritto all’informazione sugli elementi essenziali del rapporto di lavoro, sulle condizioni di lavoro e la relativa tutela, ricavandosi a pieno titolo il suo spazio tra le norme disciplinanti la materia del trattamento dei dati personali.
1. Ambito di applicazione
La norma in commento, da un lato, introduce nuovi, inediti obblighi per i datori di lavoro (nella loro qualità di Titolari del trattamento) nei confronti dei loro dipendenti o assimilati e dall’altro alza notevolmente il livello di dettaglio delle informazioni sul trattamento dei dati che questi ultimi devono ricevere all’atto di instaurazione del rapporto di lavoro e per tutta la sua durata, con un impatto che risulterà mitigato solo per quelle realtà che hanno ben applicato i principi di data protection by design e by default (per approfondimenti clicca qui).
La norma in commento, insieme alla Circolare 10 agosto 2022, n. 4/2022 dell’Istituto Nazionale del Lavoro avente ad oggetto “D.Lgs. n. 104/2022 recante – “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea” – prime indicazioni, dovrà necessariamente andare ad arricchire la cassetta degli attrezzi di ogni Dpo o Consulente privacy, in specie nella fase di gap analysis.
Il decreto trasparenza si applica al lavoro pubblico e privato, unica eccezione per i rapporti di lavoro non a tempo pieno e per quelli autonomi (inclusi i rapporti di agenzia e rappresentanza) (cfr. art. 1 Decreto legislativo del 27/06/2022 – N. 104).
2. Il “nuovo” obbligo di informativa e l’art. 13 GDPR
La prima innovazione introdotta dalla norma è relativa agli obblighi di informazione gravanti sul Titolare in relazione all’ “utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori” (art. 1 bis del Decreto legislativo del 26/05/1997 – N. 152, introdotto dall’art. 4 del decreto trasparenza).
Per quanto concerne l’utilizzo di sistemi decisionali, la norma non introduce alcuna novità essendo tale adempimento già richiesto (seppure, come vedremo, con un grado inferiore di specificità) dall’art. 13 del Regolamento europeo 679/2016 (gdpr) il quale al comma 2 lett. f) obbliga il Titolare a fornire all’interessato informazioni circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.
Tale informazione dovrebbe quindi già essere presente in tutte le informative sul trattamento dei dati predisposte ai sensi dell’art. 13 gdpr, anche in quelle destinate ai dipendenti.
La novità non di poco conto, invece, riguarda l’obbligo per il datore di lavoro di informare il lavoratore durante tutto il rapporto sull’adozione di sistemi di monitoraggio automatizzati.
Si pensi all’adozione di un sistema elettronico di rilevamento presenze (che eventualmente si interfacci con un gestionale a cui possa accedere anche l’ufficio risorse umane) anche qualora preveda l’avvio di attività lavorative da remoto o presso una sede diversa da quella aziendale; di videosorveglianza dei luoghi in cui opera il lavoratore; di rilevamento della posizione del lavoratore attraverso il compimento di una determinata azione (carico o scarico pacchi; ritiro raccolta differenziata) attraverso un palmare, bracciale elettronico o altro dispositivo indossabile; di monitoraggio dell’attività lavorativa in smartworking; di gestione della posta elettronica o delle videoconferenze (qualora si utilizzino sistemi aziendali).
Questi sono solo alcuni tra i casi più frequenti di utilizzo di sistemi decisionali o di monitoraggio automatizzati, la cui finalità quella di agevolare i processi produttivi, tutelare la salute dei lavoratori, consentire lo svolgimento di attività da remoto.
Ebbene, la norma in commento ha introdotto l’obbligo di informare i lavoratori se l’Ente pubblico o l’Azienda privata presso cui si esercita l’attività lavorativa, utilizza tali sistemi.
L’indicazione, tuttavia, non può essere fornita genericamente. Il secondo comma, infatti, stabilisce che “2. Ai fini dell’adempimento degli obblighi di cui al comma 1 (che alla lettera “s)” incorpora “gli elementi previsti dall’articolo 1-bis qualora le modalità di esecuzione della prestazione siano organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati”) , il datore di lavoro o il committente è tenuto a fornire al lavoratore, unitamente alle informazioni di cui all’ articolo 1, prima dell’inizio dell’attività lavorativa, le seguenti ulteriori informazioni:
a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi di cui al comma 1. In altre parole occorrerà chiarire su quali aspetti precipui del rapporto di lavoro vanno ad incidere i sistemi decisionali o di monitoraggio automatizzati (ad es. l’utilizzo di un sistema informatizzato di rilevazione presenze andrà ad incidere sulla durata del rapporto di lavoro);
b) gli scopi e le finalità dei sistemi di cui al comma 1. Al netto di una scelta terminologica non azzeccata (essendo “scopi e finalità”, in questo contesto, sinonimi), andrà indicato il motivo della scelta del sistema di monitoraggio automatizzati in uso;
c) la logica ed il funzionamento dei sistemi di cui al comma 1. Occorrerà dettagliare quindi come questi sistemi agiscono e qual è il criterio scelto per il loro funzionamento;
d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi di cui al comma 1, inclusi i meccanismi di valutazione delle prestazioni; (ad es. nel caso di un sistema decisionale che assegni dei premi sulla base del gradimento dei dipendenti da parte degli utenti di un servizio);
e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità. La norma obbliga, quindi a fornire informazioni sui meccanismi correttivi adottati a cominciare dall’indicazione del responsabile del sistema di gestione;
f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse”. È evidente in questo caso l’altissimo livello di dettaglio richiesto dalla norma che, tuttavia, andrà bilanciato con la necessità di non essere troppo analitici per proteggere la sicurezza dei sistemi informatici.
È evidente che la norma in commento costringerà ad una sinergia ancora più stretta tra i Referenti privacy dell’Ufficio HR, l’Amministratore di sistema, le ditte fornitrici dei gestionali o degli apparecchi wearable (da nominare Responsabili del trattamento ai sensi dell’art. 28 gdpr) oltre che del DPO se nominato e delle diverse figure privacy coinvolte per ottenere una informativa sul trattamento dei dati per i dipendenti che contenga tutte le informazioni elencate sopra.
L’art 4 c. 2 lett. b) n. 4 stabilisce, poi che “Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio”.
Anche in questo caso il legislatore sembra aver compiuto una scelta terminologica impropria, allorchè impone di integrare con delle istruzioni l’informativa sul trattamento dei dati.
In primo luogo, l’informativa, a mente dell’art. 13 gdpr, non è un documento pensato per contenere delle istruzioni. Queste ultime sono collocate, solitamente, all’interno di un atto di designazione o altro documento che contenga i concetti base per l’utilizzo degli strumenti attraverso i quali i dipendenti sono chiamati ad effettuare il trattamento dei dati in azienda.
In secondo luogo, l’informativa è per sua natura documento al quale deve essere fornita la massima diffusione: sui siti internet del Titolare in apposite sezioni dedicate alla privacy, affisse nei luoghi ove quei trattamenti si esercitano, consultabili da qr code; invece le istruzioni sul trattamento, per loro natura, sono documenti riservati, destinati agli autorizzati al trattamento e che potrebbero, se diffuse, agevolare il compimento di azioni criminose da parte di criminali informatici.
Al contrario, una possibile lettura interpretativa del dettato normativo porta ad intendere le “istruzioni” come delle “informazioni” per il lavoratore in merito alla sicurezza dei dati. In tale ipotesi, comunque, tale richiesta potrebbe apparire ultronea soprattutto se sono state già indicate analiticamente tutte le informazioni richieste dal secondo comma.
Completano un quadro di informazioni estremamente puntuale la necessità, stabilita al comma 5 dell’art. 1 bis di informare “I lavoratori, almeno 24 ore prima, (…) per iscritto di ogni modifica incidente sulle informazioni fornite ai sensi del comma 2 che comportino variazioni delle condizioni di svolgimento del lavoro”, in piena applicazione del principio di privacy by design.
È evidente che un tale livello di specificità verosimilmente indurrà i Dpo a farsi parte diligente nel porre in essere ogni più opportuna azione per informare e/o sollecitare il Titolare non tanto ad aggiornare il registro delle attività di trattamento (art. 30 gdpr) che già dovrebbe contenere tutti i trattamenti effettuati mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati, quanto a completare l’informativa con le informazioni mancanti, bilanciando con l’esigenza ancor più pressante di non rendere pubbliche informazioni che possano mettere in pericolo la sicurezza dei sistemi. Il tutto rispettando la tempistica indicata dalla norma, specialmente in caso di modifiche che comportino variazioni delle condizioni di svolgimento del lavoro.
3. Analisi rischi, Dpia, formazione agli incaricati al trattamento
Il comma 4 dell’art. 1 bis del decreto legislativo 26 maggio 1997, n. 152, introdotto dal decreto trasparenza, stabilisce che “Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo”.
Il compito di procedere all’analisi dei rischi risulterà agevolato, se l’attenzione di tutte le figure aziendali che a vario titolo si occupano di privacy si è già rivolta alle informazioni da fornire al lavoratore, inducendo costoro ad una attenta riflessione sui rischi ai quali sono, per loro natura, esposte.
Per quanto concerne la valutazione di impatto, disciplinata dall’art. 35 gdpr, l’inclusione di tali nuove tipizzazioni, di fatto amplia il novero di quelle indicate nel provvedimento del Garante privacy n. 467/2028 (9058979) prevedendo nuove casistiche rinvenibili genericamente, nel ricorso a sistemi di sistemi decisionali o di monitoraggio a partire dall’atto di instaurazione del rapporto di lavoro e per tutta la sua durata.
Da ultimo, sarebbe auspicabile che il Titolare del trattamento, di concerto con il Dpo, curi l’aggiornamento delle istruzioni sul trattamento degli autorizzati e la formazione mirata sulle misure specifiche da porre in atto come emerso degli esiti dell’analisi dei rischi effettuata.
4. Obbligo comunicazione ai sindacati
“Il lavoratore, direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali, ha diritto di accedere ai dati e di richiedere ulteriori informazioni concernenti gli obblighi di cui al comma 2. Il datore di lavoro o il committente sono tenuti a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni”.
È quanto stabilisce il comma 3 dell’art. 1 bis che, di fatto, introduce un nuovo obbligo in capo ai Titolari del trattamento che quindi da un lato, dovranno trasmettere le informative sul trattamento dei dati dei dipendenti alle “rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale” (comma 6) e dall’altro, dovranno strutturarsi per rispondere alle richieste che dovessero pervenire dal lavoratore o dalle rappresentanze sindacali, analogamente a quanto già fanno per quelle di cui agli artt. 15 – 22 gdpr.
Il datore di lavoro, infine, dovrà fornire le menzionate informazioni in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico.
5. Sanzioni
La circolare dell’INL n. 4/2022 chiarisce che in caso di mancato adempimento agli obblighi informativi sopra evidenziati, il nuovo art. 19, comma 2, del D.Lgs. n. 276/2003 stabilisce una sanzione amministrativa pecuniaria da 100 a 750 euro “per ciascun mese di riferimento”, soggetta a diffida ex art. 13 D.Lgs. n. 124/2004. La sanzione va quindi applicata per ciascun mese in cui il lavoratore svolga la propria attività in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente. Trattasi poi di una sanzione “per fasce” cosicché, ferma restando la sua applicazione per ciascun mese di riferimento, se la violazione si riferisce a più di cinque lavoratori la sanzione amministrativa è da 400 a 1.500 euro. Se invece la violazione si riferisce a più di dieci lavoratori, la sanzione va da 1.000 a 5.000 euro e non è ammesso il pagamento in misura ridotta e pertanto neanche la procedura di diffida ex art. 13 del D.Lgs. n. 124/2004.
Da ultimo, se la comunicazione delle medesime informazioni e dati non viene effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, trova applicazione una sanzione amministrativa pecuniaria, anch’essa diffidabile, da 400 a 1.500 euro per ciascun mese in cui si verifica l’omissione.
Il severo regime sanzionatorio viene parzialmente mitigato dal chiarimento fornito nella medesima circolare il quale, nel ribadire che la competenza a raccogliere le denunce e ad irrogare la sanzione è di Ispettorato nazionale del lavoro, evidenzia altresì che il presupposto per l’applicazione della sanzione non è costituito dalla semplice violazione degli obblighi di cui al D.Lgs. n. 104/2022 e al D.Lgs. n. 152/1997 ma dalla presenza di comportamenti ritorsivi o che “determinano effetti sfavorevoli nei confronti dei lavoratori o dei loro rappresentanti”, circostanza che il personale ispettivo sarà pertanto chiamato ad accertare e supportare con adeguati elementi probatori.
Da ultimo, per le pubbliche amministrazioni, le violazioni di cui agli articoli 1, 1-bis, 2, 3 e 5, sono valutate ai fini della responsabilità dirigenziale, nonché della misurazione della performance ai sensi dell’articolo 7 del decreto legislativo 27 ottobre 2009, n. 150.
6. Conclusioni
La norma in commento introduce nuovi stringenti obblighi per i datori nella loro qualità di Titolari del trattamento a tutto beneficio della trasparenza del rapporto di lavoro. I dipendenti saranno così portati a conoscenza dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati ai quali sono sottoposti e il Titolare avrà ottenuto una migliore consapevolezza dei rischi relativi ai trattamenti esaminati.
Nell’attesa di conoscere quali saranno le indicazioni del Garante privacy e dell’Istituto nazionale del lavoro, ai Dpo, ai consulenti privacy ed alle figure che si occupano di privacy negli Enti pubblici e nelle Aziende è affidato il compito di guidare i Titolari del trattamento nel difficile processo di adeguamento agli adempimenti introdotti dal decreto trasparenza.