Il Decreto legislativo n. 104 del 27 giugno 2022 che attua la direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea” è entrato in vigore lo scorso 13 agosto 2022, imponendo ulteriori obblighi informativi e specifici nuovi adempimenti a carico dei datori di lavoro.
In particolare, l’articolo 4 del decreto n. 104, anche detto Decreto Trasparenza, al comma 4 interviene a modificare il Decreto legislativo 26 maggio 1997, n. 152, prevedendo quanto segue:
“4. Il datore di lavoro o il committente sono tenuti a integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo”.
Per venire incontro ai datori di lavoro, il 10 agosto 2022, l’Ispettorato Nazionale del Lavoro, d’intesa con il Ministero del Lavoro e delle Politiche Sociali, ha pubblicato la Circolare n. 4/2022 avente ad oggetto le prime indicazioni operative per consentire agli interessati di applicare regolarmente quanto previsto dal “D.Lgs. n. 104/2022”.
A chi si rivolgono le modifiche introdotte dal Decreto Trasparenza?
Prima di analizzare più in dettaglio il contenuto della disposizione e quanto indicato dall’INL, occorre evidenziare che i nuovi obblighi si rivolgono ai datori di lavoro appartenenti al settore pubblico e a quello privato; secondo quanto stabilito dall’articolo 1 del decreto legislativo n. 104 del 27 giugno 2022, infatti, il Decreto Trasparenza si applica a tutti i contratti di lavoro, inclusi i rapporti di collaborazione coordinata e continuativa e di collaborazione c.d. etero-organizzata, eccezion fatta per i rapporti di lavoro non a tempo pieno e per le collaborazioni con liberi professionisti o autonomi (compresi i rapporti di agenzia e rappresentanza e i rapporti di lavoro in cui operano familiari che collaborano nell’impresa di famiglia).
Cosa deve fare il datore di lavoro per adempiere a quanto prescritto dal decreto trasparenza
L’articolo 4 comma 4 del Decreto Trasparenza chiede innanzitutto al datore di lavoro di rivedere l’informativa privacy ex articolo 13 del GDPR (Regolamento n. 679/2016), integrandola con le istruzioni per i lavoratori in merito alla sicurezza dei dati, secondo poi di aggiornare il registro dei trattamenti in relazione all’ “utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori” (art. 1 bis del Decreto legislativo del 26/05/1997 - N. 152, introdotto dall’art. 4 del decreto trasparenza). Ciò implica che il datore di lavoro, informativa privacy e registro dei trattamenti alla mano, deve inserirvi i trattamenti indicati dalla disposizione, ossia quelli che, mediante l’impiego nella prestazione lavorativa di sistemi decisionali o di monitoraggio automatizzati, consentono di fornire al datore di lavoro (titolare del trattamento) informazioni rilevanti sul lavoratore, “ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei dipendenti”. A ben vedere, tuttavia, si tratta di adempimenti informativi già previsti dall’articolo 13 del Regolamento n. 679/2016. Tale disposizione del GDPR, infatti, al comma 2 lettera f) impone a ciascun titolare del trattamento [inclusi quindi i datori di lavoro] di comunicare agli interessati [in questo caso i dipendenti], prima dell’inizio di ogni trattamento di dati personali, “l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato”. I datori di lavoro che, dunque, utilizzando nel contesto lavorativo sistemi decisionali automatizzati e/o di monitoraggio con cui vengono trattati dati personali del lavoratore, siano stati trasparenti con i propri dipendenti e abbiano dunque già provveduto ad informarli correttamente, risultano avvantaggiati e non dovranno modificare alcuna informativa, ma solo verificare che quanto già comunicato ai lavoratori, sia in linea con quanto effettivamente richiesto dalla norma, tenendo opportuna traccia di tale precipuo controllo. Attenzione perché gli obblighi informativi di cui all’articolo 4 del Decreto Trasparenza, che aggiunge un nuovo articolo 1-bis al Decreto n. 152/1997, non si esauriscono con l’informativa privacy resa in fase di assunzione, ma vanno compiuti anche nel caso in cui il ricorso allo strumento decisionale o di monitoraggio intervenga in una fase successiva; pertanto l’informativa su tale ulteriore trattamento di dati personali va resa durante tutto il rapporto di lavoro quando nel corso dello stesso si decide di far ricorso a tali sistemi. Ciò significa che il dipendente deve essere sempre informato se il datore di lavoro, al fine di ottimizzare le modalità di esecuzione delle prestazioni aziendali, per la sicurezza dei lavoratori, per proteggere il patrimonio aziendale o per altre finalità ammesse dalla normativa, tenendo presente anche quella del settore giuslavoristico, decide, nel corso del rapporto di lavoro, ad esempio, di adottare nel contesto aziendale, un’app per rilevare la presenza del lavoratore oppure di utilizzare uno specifico gestionale che consente di verificare il rispetto dell’orario di lavoro in modalità smart working del dipendente o ancora un sistema di videoconferenza, un GPS, sistemi wereable per i lavoratori, sistemi avanzati che consentono ai clienti di verificare la qualità del servizio fornito dal dipendente, sistemi di controllo automatizzato per consentire l’accesso a determinate aree aziendali solo ad alcuni dipendenti.
Le informazioni non vanno però rese in maniera generica, ma dettagliate secondo quanto previsto dalla nuova disposizione. Vediamo in che modo.
L’articolo 4 del Decreto Trasparenza aggiunge, come accennato, all’articolo 1 del Decreto n. 152/1997 un ulteriore articolo, l’1-bis rubricato “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”, con cui, al comma 2, stabilisce che, nel caso di utilizzo, nell’ambito della prestazione lavorativa, di sistemi decisionali o di monitoraggio automatizzati, il datore di lavoro o il committente sono tenuti a fornire al lavoratore, unitamente alle informazioni di cui all' articolo 1, prima dell'inizio dell'attività lavorativa (ma anche prima dell’inizio del nuovo trattamento, aggiungiamo), le seguenti ulteriori informazioni:
- gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi di cui al comma 1 (sistemi decisionali automatizzati o di monitoraggio). Sostanzialmente, sarà necessario precisare su quali elementi del rapporto di lavoro impatteranno i sistemi decisionali o di monitoraggio automatizzati impiegati;
- gli scopi e le finalità dei sistemi di cui al comma 1. Occorrerà indicare quale finalità ci si prefigge di raggiungere con l’impiego di tali strumenti;
- la logica ed il funzionamento dei sistemi di cui al comma 1. Sarà opportuno spiegare in che modo operano tali sistemi, come raccolgono e trattano i dati del dipendente;
- le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi di cui al comma 1, inclusi i meccanismi di valutazione delle prestazioni;
- le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità. Occorrerà chiarire in che modo il datore di lavoro intende verificare che il sistema agisce correttamente nell’assumere la decisione automatizzata (prevedere in tali casi l’intervento umano, dunque, è doveroso per scongiurare effetti negativi sui diritti dei lavoratori come discriminazione o decisioni erronee);
- il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse”.
Successivamente, sempre l’articolo 4 c. 2 lett. b) n. 4 del Decreto Trasparenza prevede, poi che “Il datore di lavoro o il committente sono tenuti a integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio”.
Tralasciando la terminologia impropria impiegata nell’enunciato considerando che l’informativa privacy ex articolo 13 GDPR non contiene “istruzioni” di sorta, il dipendente andrà informato circa le misure di sicurezza che il datore di lavoro ha ritenuto di adottare per proteggere da eventuali violazioni i dati personali del dipendente trattati a mezzo di tali strumenti.
Analisi dei rischi, Registro dei trattamenti e DPIA
Oltre agli obblighi informativi e all’aggiornamento del registro dei trattamenti che dovrà includere gli ulteriori trattamenti di dati personali effettuati mediante tali strumenti automatizzati, la norma espressamente impone al datore di lavoro di verificare che gli stessi siano conformi alle disposizioni imposte dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016.
E come farlo?
Attraverso un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti (dice espressamente il decreto) le quali, se daranno esiti negativi, ovvero se da tali analisi, nonostante l’adozione delle misure di sicurezza, il trattamento di dati personali effettuato tramite tali strumenti, dovesse conservare un livello di rischio elevato per i diritti e le libertà fondamentali dei lavoratori (articolo 36 del Regolamento n. 697/2016), il datore di lavoro sarà tenuto a procedere ad una consultazione preventiva del Garante per la protezione dei dati personali.
Tale previsione, adottando una prospettiva generalizzata, pare voglia ampliare il novero dei casi in cui è doveroso procedere alla valutazione d’impatto (che tra l’altro, contiene l’analisi dei rischi!), come regolata dall’articolo 35 del Regolamento n. 697/2016 rispetto a quelli riportati in elenco dal Garante nel suo provvedimento dell’11 ottobre 2018 [n. 9058979].
Quando rendere le informazioni circa l’impiego di strumenti decisionali automatizzati o di monitoraggio e le variazioni
Quando vanno rese le informazioni sull’impiego di sistemi di monitoraggio o decisionali automatizzati, se adottati in una fase successiva all’assunzione o se quelli già in uso e in relazione ai quali i lavoratori sono già stati informati, comportano una modifica delle condizioni di svolgimento del lavoro?
Secondo quanto dispone il Decreto Trasparenza, nel comma 5 dell’articolo 1-bis aggiunto al Decreto n. 152/1997 “I lavoratori, vanno informati almeno 24 ore prima, (…) per iscritto di ogni modifica incidente sulle informazioni fornite ai sensi del comma 2 che comportino variazioni delle condizioni di svolgimento del lavoro”.
Dunque, se il datore di lavoro assume un nuovo dipendente ed utilizza già nel contesto lavorativo tali strumenti, le informazioni richieste dalla nuova norma vanno incluse nell’informativa privacy; qualora invece a tali strumenti si decide di fare ricorso in un secondo momento (in altri termini, a lavoratore già assunto), le informazioni vanno comunicate al lavoratore almeno 24 ore prima per iscritto e ciò vale anche nel caso in cui si rende necessario fornire informazioni al lavoratore circa le modifiche sulle informazioni già rese che implichino cambiamenti delle condizioni di svolgimento del lavoro.
Tutte le informazioni vanno rese in modo chiaro e completo, i dati vanno comunicati “in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico”.
Ulteriori adempimenti
Occorre ricordare, inoltre, che il dipendente ha il diritto di accedere ai dati o richiedere ulteriori informazioni sugli obblighi informativi di cui al comma 2, cui è tenuto il datore di lavoro; richieste che può avanzare direttamente, ma anche per il tramite delle rappresentanze sindacali aziendali o territoriali; in tal caso, il datore di lavoro (o il committente), secondo quanto stabilito dal Decreto Trasparenza, è tenuto a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni.
Anche per tale motivo, sebbene ciò non sia espressamente previsto dal Decreto Trasparenza, sarebbe opportuno aggiornare le istruzioni impartite agli autorizzati al trattamento e organizzarsi con un corso di formazione dedicato all’argomento in azienda, in modo che il soggetto cui venga assegnato il compito di rispondere ad eventuali richieste (come è per gli altri diritti di cui agli articoli 15-22 del GDPR) sia preparato sul da farsi.
Obbligo comunicazione ai sindacati
Concludendo, il Decreto Trasparenza introduce un ulteriore obbligo a carico dei datori di lavoro, quello comunicare le medesime informazioni e i dati anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali
comparativamente più rappresentative sul piano nazionale.
Inoltre, secondo espresse previsioni normative,
il Ministero del lavoro e delle politiche sociali e l'Ispettorato
nazionale del lavoro possono richiedere la comunicazione delle
medesime informazioni e dati e l'accesso agli stessi.
Sanzioni
In merito alle sanzioni, la violazione di quanto contenuto nell’art. 1-bis, è sanzionata dal nuovo art. 19, comma 2, del D.Lgs. n. 276/2003 con una sanzione amministrativa pecuniaria da 100 a 750 euro “per ciascun mese di riferimento”, soggetta a diffida ex art. 13 D.Lgs. n. 124/2004. Sul punto, l’INL, nella sua Circolare, evidenzia che la sanzione va applicata per ciascun mese in cui il lavoratore svolga la propria attività in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente.
Si tratta, scrive l’ispettorato del lavoro, di una sanzione “per fasce” cosicché, ferma restando la sua applicazione per ciascun mese di riferimento, se la violazione si riferisce a più di cinque lavoratori la sanzione amministrativa è da 400 a 1.500 euro. Se invece la violazione si riferisce a più di dieci lavoratori, la sanzione va da 1.000 a 5.000 euro e non è ammesso il pagamento in misura ridotta e pertanto neanche la procedura di diffida
ex art. 13 del D.Lgs. n. 124/2004.
Da ultimo, se la comunicazione delle medesime informazioni e dati non viene effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, trova applicazione una sanzione amministrativa pecuniaria, anch’essa diffidabile, da 400 a 1.500 euro per ciascun mese in cui si verifica l’omissione.
Come chiarito sempre nella Circolare n. 4/2022, la competenza a raccogliere le denunce e ad irrogare la sanzione è in capo all’Ispettorato nazionale del lavoro.
Sempre in tema di violazione delle disposizioni normative, l’INL evidenzia che il presupposto per l’applicazione della sanzione non è costituito dalla semplice violazione degli obblighi di cui al D.Lgs. n. 104/2022 e al D.Lgs. n. 152/1997, ma dalla presenza di comportamenti ritorsivi o che “determinano effetti sfavorevoli nei confronti dei lavoratori o dei loro rappresentanti”, circostanza che il personale ispettivo sarà pertanto chiamato ad accertare e supportare con adeguati elementi probatori.
In chiusura del nostro approfondimento, è opportuno sottolineare come, attraverso i nuovi obblighi informativi, la direttiva europea n. 2019/1152 e il Decreto Trasparenza attuativo della stessa, si pongono l’obiettivo di accrescere il livello di trasparenza nel trattamento di dati e informazioni del dipendente nel contesto del rapporto di lavoro, in particolare, quando nell’ambito della prestazione lavorativa vengono impiegati strumenti tecnologici altamente sofisticati che, trattando dati personali, possono avere un impatto rischioso sui diritti dei lavoratori.
In attesa delle ulteriori indicazioni operative che l’INL nella sua Circolare si è riservato di fornire sull’argomento, è doveroso intraprendere sin d’ora il percorso di adeguamento alle nuove disposizioni, al fine di far acquisire consapevolezza al lavoratore, ma anche all’organizzazione aziendale e al datore di lavoro sui rischi connessi ai trattamenti di dati personali svolti con strumenti decisionali automatizzati o di monitoraggio.