Il Decreto Legislativo n.104 del 27 giugno 2022, detto anche “Decreto trasparenza”, pubblicato in Gazzetta Ufficiale il 29 Luglio 2022 ed entrato in vigore il 13 agosto scorso, ha come obiettivo quello di garantire la conoscenza delle condizioni di lavoro a tutti i lavoratori. L’intervento normativo è la conseguenza del recepimento della Direttiva (UE) 2019/1152 relativa alle condizioni di lavoro trasparenti e prevedibili nell’Unione europea.
Questo intervento ha avuto, e avrà per il prossimo futuro, importanti risvolti nell’ambito della gestione del rapporto di lavoro, posto che il Decreto modifica il precedente Decreto Legislativo n. 152 del 26 maggio 1997 concernente l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro.
L’impatto del decreto sulle aziende
Ci si deve quindi chiedere: siamo davanti ad un intervento concreto volto a riconoscere il diritto alla trasparenza o le aziende subiranno un incremento di adempimenti burocratici, non da ultimo nell’ambito della protezione del dato?
Tralasciando gli aspetti legati alle questioni giuslavoristiche e prendendo in esame le questioni riferite o riferibili al mondo “privacy”, analizziamo il contesto normativo per cercare di capire se le nuove norme sono una sovrapposizione di ciò che già c’è o se, effettivamente, introducono un quid nuovo.
La prima innovazione introdotta dalla norma è quella relativa agli obblighi di informazione gravanti sul Titolare in relazione all’ “utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori” (art. 1 bis del Decreto legislativo del 26/05/1997 – N. 152, introdotto dall’art. 4 del decreto trasparenza).
Le informazioni che devono essere rese dai sistemi di monitoraggio
Si evidenzia che tale adempimento era già presente e richiesto dall’articolo 13 del Reg. Ue 2016/679. Si veda nel dettaglio quanto previsto al comma 2, lettera f) ove il Titolare del trattamento viene obbligato a: “esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.
Nella sostanza nulla di nuovo. Ciò che cambia sono le informazioni che devono essere rese.
Infatti, la nuova disciplina impone ai datori di lavoro di essere maggiormente precisi e puntuali sulle informazioni da rendere nel caso di utilizzo (o di nuova installazione) di sistemi decisionali o di monitoraggio.
Un esempio pratico
Prendiamo, ad esempio, un’azienda che abbia installato un sistema di videosorveglianza ove opera il lavoratore.
In questo contesto, ferma l’applicazione delle disposizioni precedenti, l’azienda dovrà integrare l’informativa rendendo disponibile al lavoratore le seguenti informazioni:
a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di tali sistemi;
b) gli scopi e le finalità dei sistemi;
c) la logica ed il funzionamento dei sistemi;
d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i suddetti sistemi;
e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
Non vi è dubbio che in questo contesto sia necessario intervenire prontamente sulla revisione della compliance aziendale adottata e precisamente:
– l’informativa ex art. 13 riferita a quei trattamenti specifici (nel nostro caso la videosorveglianza) dovrà essere necessariamente integrata con tutti gli aspetti citati;
– il registro dei trattamenti dovrà essere necessariamente integrato posto l’articolo 30 del Reg. UE 2016/679 non richiede espressamente tali obblighi di rendicontazione;
– l’integrazione delle nomine dei soggetti autorizzati al trattamento;
Ulteriori analisi richieste
Oltre a tali aspetti, la nuova disciplina impone al Titolare del trattamento di svolgere un’accurata analisi dei rischi e valutazione d’impatto.
Ciò discende da quanto previsto dal comma 4 dell’art. 1 bis del decreto legislativo 26 maggio 1997, n. 152, il quale stabilisce che “Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo”.
Ovviamente in questo contesto dovranno essere rispettati i dettami previsti nell’art. 35 del Reg. Ue 2016/679.
L’importanza di un pronto intervento da parte delle aziende
Da queste brevi premesse, emerge chiaramente come la nuova disciplina si inserisca e (in parte) integri la regolamentazione già presente nel Reg. Ue 2016/679 con la conseguenza che le aziende saranno chiamate ad intervenire prontamente se non voglio correre il rischio di sanzioni amministrative legate al ritardo nell’adempimento e al numero di dipendenti non correttamente informati.
Vuoi saperne di più sulla gestione dei dati dei lavoratori?
