Compliance

Decreto Trasparenza: sovrapposizioni con la normativa Privacy e risvolti pratici per i datori di lavoro

Ad agosto è entrato in vigore il decreto legislativo 104/2022, che recepisce la direttiva UE 1152/2019 introducendo nuovi obblighi informativi nella gestione del rapporto di lavoro. In questo articolo facciamo il punto sui risvolti operativi previsti a carico del datore di lavoro

06 Ott 2022

Francesca Lonardo

Partner, P4I - Partners4Innovation

Riccardo Giacobbi

Legal Consultant, P4I - Partners4Innovation

Il 13 agosto 2022 è entrato in vigore il cd. “Decreto Trasparenza” (per brevità, il “Decreto”), ossia il d. lgs. 27 giugno 2022, n. 104, che, recependo la direttiva (UE) 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili, ha aggiornato il quadro normativo già previsto dal d. lgs. 26 maggio 1997, n. 152concernente l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro” con ulteriori obblighi informativi a carico del datore di lavoro.

Il legislatore domestico, però, è andato ben oltre il dettato della direttiva, introducendo obblighi informativi non previsti dalla stessa in caso di utilizzo di particolari sistemi tecnologici.

Anche la tecnica legislativa utilizzata desta notevoli perplessità sia per la formulazione del testo che per il rapporto con la normativa preesistente relativa alla protezione dei dati personali. Nello specifico, non è agevole comprendere quali sistemi tecnologici (e, dunque, quali processi di trattamento di dati personali del lavoratore) effettivamente rilevino ai fini della configurabilità, a carico del datore, degli obblighi stabiliti dal Decreto, come si vedrà meglio infra par. 4.

Decreto Trasparenza, ambito di applicazione

Le disposizioni del Decreto si applicano a tutte le tipologie di contratto di lavoro subordinato, lavoro somministrato, intermittente, nonché ai rapporti di collaborazione coordinata e continuativa di cui all’art. 409, n. 3, c.p.c. (cd. lavoro c.d. “parasubordinato”) e quelli che si concretano in prestazioni di lavoro esclusivamente personali, continuative e organizzate dal committente ex art. 2, comma 1, del d. lgs. 81/2015, alle prestazioni occasionali, così come ai rapporti di lavoro dei dipendenti delle pubbliche amministrazioni.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Le regole di cui al Decreto concernono i rapporti di lavoro di nuova costituzione, nonché quelli già instaurati alla data del 1° agosto 2022, per i quali, tuttavia, gli obblighi informativi devono essere assolti entro 60 giorni dall’eventuale richiesta scritta del lavoratore.

Obblighi informativi del Decreto Trasparenza e parallelismi con il GDPR

Il datore di lavoro[1] è tenuto ad “informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini dell’assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Le informazioni da comunicare al lavoratore “in formato cartaceo oppure elettronico” sono le seguenti:

  1. Gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;
  2. Gli scopi e le finalità dei sistemi.
  3. La logica ed il funzionamento dei sistemi.
  4. Le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni.
  5. Le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità.
  6. Il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse[2].

A tale riguardo, non si può non rilevare come gli obblighi del genere esaminato siano già in parte sanciti dal GDPR. Gli artt. 13 e 14 del Regolamento prescrivono che il titolare del trattamento debba informare gli interessati, fra l’altro, oltre che sulla finalità del trattamento, anche circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”. Come chiarito dal Gruppo di lavoro art. 29 (“WP29”), ora Comitato europeo per la protezione dei dati, il titolare dovrebbe fornire agli interessati (in maniera semplice) informazioni significative sulla logica utilizzata (o i criteri sui quali si basa l’adozione della decisione automatizzata), anche se “non necessariamente una spiegazione complessa degli algoritmi utilizzati o la divulgazione dell’algoritmo completo[3].

Non ci si può non interrogare, dunque, sulla reale necessità dell’intervento legislativo in esame e, in particolare, chiedersi se gli obblighi di cui al GDPR non fossero già sufficienti a fornire idonee informazioni all’interessato sia esso un candidato od un lavoratore.

L’obbligo “ulteriore” di eseguire la DPIA

Il Decreto, oltre a sancire gli obblighi informativi di cui sopra, prescrive anche l’effettuazione della DPIA di cui all’art. 35 del GDPR, al fine di “verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679”[4].

Anche in questo caso non si comprende l’esigenza di tale precisazione. Difatti, trattamenti di dati quali quelli derivanti dall’utilizzo dei “sistemi decisionali o di monitoraggio automatizzati” disciplinati dal Decreto appaiono integrare più di uno dei criteri individuati dal WP29 nelle linee guida in materia (WP 248 rev.01)[5] per fornire ai titolari concreti punti di riferimento da tenere in considerazione nel valutare – alla luce del principio di accountability che caratterizza questo tipo di normativa – la necessità o meno di eseguire la DPIA sulla base del livello di rischio[6].

Individuazione dei “sistemi decisionali o di monitoraggio automatizzati”

Come accennato sopra, notevoli dubbi interpretativi sono sorti relativamente ai “sistemi decisionali o di monitoraggio automatizzati”, il cui utilizzo da parte del datore di lavoro farebbe scattare gli obblighi di cui si discute.

C’è infatti stato un dibattito tra chi, come gli scriventi, sulla base della ratio legis dell’art. 4 del Decreto e tenendo conto di quanto già previsto da GDPR e relativa interpretazione delle autorità di settore, riteneva rientrassero nella categoria di cui sopra soltanto i trattamenti più invasivi, cioè quelli basati unicamente o quasi esclusivamente su decisioni automatizzate e privi di un considerevole intervento umano e chi, invece, vi ricomprendeva anche i sistemi parzialmenteautomatizzati.

In data 20 settembre, anche in considerazione delle richieste di chiarimento ricevute, è intervenuto il Ministero del Lavoro e delle Politiche Sociali, con la Circolare n. 19/2022, per fornire “prime indicazioni interpretative” ed esempi pratici.

Il Ministero – pur effettuando una distinzione fra due ipotesi asseritamente distinte[7] – precisa in ogni caso che “per sistemi decisionali o di monitoraggio automatizzati si intendono quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate”, compresi quelli che prevedono un intervento umano “meramente accessorio”.

Nella sostanza, il Decreto richiederebbe che il datore di lavoro fornisca le informazioni richieste “quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati”.

Così, gli obblighi informativi sussisterebbero nel caso di:

  • assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc […]
  • gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc.”, ma non in caso di “sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale.

Rientrano nella portata applicativa del Decreto anche i sistemi decisionali o di monitoraggio automatizzati integrati negli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, quali “tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc.” atti a fornire “indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Che la trasparenza sia fondamentale per “innalzare i livelli di tutela dei lavoratori[8] emerge già dal terzo comma dell’art. 4 dello Statuto dei Lavoratori[9], così come modificato dal d. lgs. 151/2015[10]. Secondo tale norma, infatti, le informazioni raccolte tramite gli strumenti “utilizzati per rendere la prestazione lavorativa” (come pure quelle derivanti dall’uso di impianti audiovisivi e degli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dei lavoratori), per poter essere utilizzate a tutti i fini connessi al rapporto di lavoro, richiedono il rispetto da parte del datore degli obblighi informativi in materia di trattamento dati.

E ciò in linea con quanto indicato dal WP29, nella “Opinion 2/2017 on data processing at work”, per il quale è essenziale, per proteggere i lavoratori, assicurarne una corretta informazione, a fortiori in caso di tecnologie che creano “significant challenges to privacy and data protection”, comportando un “more systematic processing of employees’ personal data [11].

Resta inteso che gli obblighi informativi in analisi, come evidenziato dal Ministero, devono essere “modulati in maniera proporzionata e sostenibile per i datori di lavoro”.

Ma cosa occorre fare in concreto per adeguarsi al Decreto? Ne parliamo in maniera più approfondita in questo articolo.

Note:

  1. E al committente nell’ambito dei rapporti di collaborazione citati al par. 1.
  2. Tali informazioni possono essere anche richieste dal lavoratore (anche tramite le rappresentanze sindacali); in tal caso, il datore di lavoro è tenuto a rispondere per iscritto entro 30 giorni e non potrà licenziare o porre in essere trattamenti pregiudizievoli nei confronti dei lavoratori che esercitino i diritti.
  3. Così si legge nelle linee guida sul processo decisionale automatizzato e sulla profilazione ai fini del regolamento 2016/679 del 3 ottobre 2017 del WP29.Anche il Garante privacy, nel provvedimento del 16 settembre 2021 nei confronti dell’Università Bocconi, che aveva utilizzato un software di intelligenza artificiale per il controllo video degli studenti durante gli esami, ha segnalato l’importanza di assicurare la correttezza e la trasparenza del trattamento.
  4. Art. 1-bis, comma 4 del d. lgs. 152 del 1997, così come modificato dal Decreto.
  5. Appaiono ricorrere, difatti, i criteri nn. 2 “automated-decision making with legal or similar significant effect”, 7 “data concerning vulnerable data subjects” e 8 “innovative use or applying new technological or organisational solutions” e, a seconda dei casi, pure i nn. 3 “systematic monitoring” e 9 “when the processing in itself “prevents data subjects from exercising a right or using a service or a contract”.
  6. L’obbligo di effettuare la DPIA è prescritto dal GDPR non per verificare la conformità allo stesso per i soli “strumenti utilizzati per lo svolgimento della prestazione lavorativa” ma, più in generale, nel caso in cui il trattamento dei dati personali comporti un rischio elevato per gli interessati.
  7. Così testualmente: “Dalla lettura della disposizione possono individuarsi due distinte ipotesi che il decreto ha voluto regolare per gli aspetti informativi, qualora il datore di lavoro utilizzi sistemi decisionali o di monitoraggio automatizzati che siano: a) finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro; b) incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.
  8. Così la menzionata Circolare del Ministero.
  9. Tanto che il nuovo art. 1-bis del d. lgs. 152/1997 sugli obblighi informati “rinforzati” di cui si discute, introdotto dall’art. 4 del Decreto, precisa che “Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300”.
  10. Che fra l’altro si riferisce in maniera analoga agli strumenti “utilizzati per rendere la prestazione lavorativa”, dispensati dalla procedura concertativa o autorizzatoria stabilita dal primo comma dello stesso art. 4, ancorché suscettibili di comportare il controllo a distanza dei lavoratori, nella misura in cui non siano oggetto di “modifiche” funzionali a detto controllo (si vedano Nota del 18 giugno 2015 – Ispettorato Nazionale Lavoro e provvedimento n. 303 del 13 luglio 2016 del Garante Privacy).
  11. Secondo il WP29 “employees must be informed of the existence of any monitoring, the purposes for which personal data are to be processed and any other information necessary to guarantee fair processing. With new technologies, the need for transparency becomes more evident since they enable the collection and further processing of possibly huge amounts of personal data in a covert way”.
WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA
Francesca Lonardo
Partner, P4I - Partners4Innovation

Avvocato specializzato in diritto delle nuove tecnologie, area nella quale ha maturato un'esperienza ventennale, presta consulenza in ambito Privacy e ICT Law e svolge il ruolo di DPO per diverse aziende. È relatrice in webinar, convegni, master e corsi di formazione, nonché autrice di articoli giuridici nelle materie di competenza

Riccardo Giacobbi
Legal Consultant, P4I - Partners4Innovation

Avvocato, Legal Consultant in P4I, ha sviluppato la propria esperienza specialmente negli ambiti del diritto civile, IT law e compliance, con particolare riguardo alla Data Protection, sia nel privato, presso primari studi legali di Milano, sia nel pubblico, presso la Camera di Commercio di Milano, Monza Brianza e Lodi

Articolo 1 di 4