Obblighi e sanzioni

Decreto Trasparenza: cosa fare e quali sanzioni in caso di violazioni

Il decreto legislativo 104/2022 amplia la portata degli obblighi informativi previsti a carico del datore di lavoro nella gestione dei rapporti con dipendenti e collaboratori. Una road map spiega passo a passo quali sono gli step da seguire per adempiere ai dettami del Decreto

06 Ott 2022

Francesca Lonardo

Partner, P4I - Partners4Innovation

Riccardo Giacobbi

Legal Consultant, P4I - Partners4Innovation

In un precedente articolo abbiamo illustrato la disciplina prevista dal cd. “Decreto Trasparenza” (per brevità, il “Decreto”), ossia il d. lgs. 27 giugno 2022, n. 104, evidenziandone le criticità – principalmente a livello di “raccordo” con la normativa privacy preesistente – e offrendo degli spunti utili a comprendere la portata applicativa degli obblighi previsti.

Ma cosa devono fare le aziende per attuare tali obblighi? Cosa si rischia nel non ottemperarvi?

Cosa occorre fare in concreto in caso di violazioni del Decreto Trasparenza 

Ferme restando le suddette criticità del Decreto e interpretandone gli obblighi alla luce di quelli stabiliti dal GDPR, le aziende potrebbero seguire la “road map” di seguito riportata.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

Innanzitutto, è utile che mappino i sistemi utilizzati che appaiono essere – almeno prima facie – riconducibili a quelli di cui al Decreto, ossia “sistemi decisionali o di monitoraggio automatizzati” disciplinati dall’art. 4 dello stesso[i], che introduce l’art. 1-bis nel d. lgs. 26 maggio 1997, n. 152.

Laddove, esaminando le caratteristiche del trattamento di dati connesso al sistema di volta in volta considerato, rilevino – sulla base della gravità del rischio così come esemplificato nel terzo comma dell’art. 35 del GDPR e nei criteri fissati dalle citate linee guida in materia (WP 248 rev.01) del WP29[ii] – la necessità (od opportunità) di eseguire la DPIA, dovrebbero procedere in tal senso (naturalmente nel caso in cui la stessa non sia stata già effettuata, come richiesto dal GDPR). E ciò anche al fine di recuperare maggiori informazioni sulle logiche del sistema e sulle misure di sicurezza implementate/da implementare a protezione dei dati.

Se dalla mappatura dovesse emergere che sono usati sistemi come quelli disciplinati dal Decreto, le aziende dovrebbero:

  1. Aggiornare l’informativa attualmente resa ai dipendenti/collaboratori e/o ai candidati (o redigere un’informativa ad hoc), fornendo gli elementi richiesti dal Decreto medesimo[iii], fra cui “logica e funzionamento dei sistemi” ed informazioni correlate (rilevabili, appunto, tramite DPIA)[iv]; nel fare ciò, dovrebbero tener conto delle indicazioni del WP29 nelle linee guida sul processo decisionale automatizzato e sulla profilazione ai fini del regolamento 2016/679 del 3 ottobre 2017 (par. E, punto 1) oltre che di quanto evidenziato dal Garante nel provvedimento del 16 settembre 2021 nei confronti dell’Università Bocconi (par 3.3.).
  2. Rendere tali informazioni accessibili dal lavoratore anche in seguito (ad es. tramite intranet aziendale), conservando la prova della consegna per 5 anni a decorrere dalla conclusione del rapporto di lavoro (es. il documento sottoscritto dal lavoratore, lo screenshot della pagina web con adeguati sistemi di datazione, l’e-mail inviata, ecc.).
  3. Organizzare il corretto flusso di comunicazione delle informazioni verso la RSU[v], nonché verificare che la “designazione” dei soggetti coinvolti nel trattamento – ossia, se interni, l’atto di “autorizzazione” ex artt. 29 del GDPR e 2-quaterdecies del Codice Privacy[vi] e, se esterni, il data processing agreement ai sensi dell’art. 28 del GDPR – riporti idonee istruzioni e, se necessario, integrarle anche alla luce di quanto emerso dalla DPIA con riferimento ai profili di security.

Violazioni Decreto Trasparenza, quali sono le sanzioni previste

Le violazioni delle disposizioni di cui al Decreto sono punibili con una sanzione amministrativa pecuniaria che può variare:

  • Da 100 a 750 euro, per ciascun mese di riferimento, qualora la violazione attenga agli obblighi informativi nei confronti dei lavoratori, aumentata in ragione del numero dei lavoratori interessati e fermo restando la configurabilità di ulteriori ed eventuali violazioni in materia di protezione dei dati personali.
  • Da 400 a 1.500 euro, per ciascuno mese in cui si verifica l’omissione, qualora la violazione riguardi la comunicazione alle rappresentanze sindacali.

A tale proposito, non si può non rilevare che la violazione degli obblighi di cui al Decreto, essendo in parte già “coperti” dal GDPR come spiegato sopra, può portare il titolare ad incorrere in sanzioni ben più severe, cioè quelle definite dall’art. 83 del GDPR, irrogabili dal Garante privacy.

Note:
[i] Per spunti interpretativi rispetto alla categoria di “sistemi” individuata dal Decreto, si rimanda a quanto segnalato nel precedente articolo (in particolare, par. 4).
[ii] Nonché nell’allegato 1Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto” del provvedimento n. 467/2018 del Garante.
Come abbiamo visto nell’articolo precedente, nel caso di uso dei sistemi de quibus, appaiono ricorrere i criteri nn. 2 “automated-decision making with legal or similar significant effect”, 7 “data concerning vulnerable data subjects” e 8 “innovative use or applying new technological or organisational solutions” e, a seconda dei casi, pure i nn. 3 “systematic monitoring” e 9 “when the processing in itself “prevents data subjects from exercising a right or using a service or a contract”. Sembra dunque necessario eseguire apposita DPIA, considerato che “In most cases, a data controller can consider that a processing meeting two criteria would require a DPIA to be carried out. In general, the WP29 considers that the more criteria are met by the processing, the more likely it is to present a high risk to the rights and freedoms of data subjects, and therefore to require a DPIA, regardless of the measures which the controller envisages to adopt.” (così il WP29 nelle richiamate linee guida sulla DPIA).
[iii] Come sottolineato nell’articolo precedente, le informazioni da comunicare al lavoratore “in formato cartaceo oppure elettronico” sono le seguenti:
  1. gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;
  2. gli scopi e le finalità dei sistemi;
  3. la logica ed il funzionamento dei sistemi;
  4. le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  5. le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  6. il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
[iv] Aggiornando altresì, se necessario, il registro dei trattamenti ex art. 30 del GDPR (come “ricorda” il Decreto all’art. 4, comma 4).
[v] Le informazioni in questione possono essere anche richieste dal lavoratore (anche tramite le rappresentanze sindacali); in tal caso, il datore di lavoro è tenuto a rispondere per iscritto entro 30 giorni e non potrà licenziare o porre in essere trattamenti pregiudizievoli nei confronti dei lavoratori che esercitino i diritti.
[vi] Questo in quanto è probabile che il legislatore, quando cita l’obbligo di “integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati”, si riferisca in realtà all’atto di autorizzazione, anziché all’informativa privacy.
@RIPRODUZIONE RISERVATA
Francesca Lonardo
Partner, P4I - Partners4Innovation

Avvocato specializzato in diritto delle nuove tecnologie, area nella quale ha maturato un'esperienza ventennale, presta consulenza in ambito Privacy e ICT Law e svolge il ruolo di DPO per diverse aziende. È relatrice in webinar, convegni, master e corsi di formazione, nonché autrice di articoli giuridici nelle materie di competenza

Riccardo Giacobbi
Legal Consultant, P4I - Partners4Innovation

Avvocato, Legal Consultant in P4I, ha sviluppato la propria esperienza specialmente negli ambiti del diritto civile, IT law e compliance, con particolare riguardo alla Data Protection, sia nel privato, presso primari studi legali di Milano, sia nel pubblico, presso la Camera di Commercio di Milano, Monza Brianza e Lodi

Articolo 1 di 4