Qualche settimana fa, sicuramente non “in sordina” nonostante il periodo estivo, è entrato in vigore il Decreto Trasparenza (D.Lgs. 104 del 27-06-2022).
Il Decreto prevede in linea generale che il datore di lavoro debba comunicare per iscritto al lavoratore gli “elementi essenziali del rapporto di lavoro” all’instaurazione del rapporto stesso e le “condizioni di lavoro e la relativa tutela”.
Tra gli altri, spiccano gli obblighi in caso di utilizzo di sistemi decisionali automatizzati o di monitoraggio automatizzati. Tema molto delicato e al confine tra gli obblighi privacy e quelli giuslavoristi.
Si tratta di una modifica interessante che introduce obblighi non previsti nella Direttiva 2019/1152 determinando un livello di regolazione ampiamente più gravoso e complesso di quanto richiesto dalla Direttiva europea.
Tali ulteriori obblighi sembrerebbero costituire un’anticipazione della Proposta di Direttiva relativa al miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali (COM/2021/762) attualmente all’esame del Parlamento Europeo.
Ma le aziende devono farci i conti ora, cercando di interpretare il volere del legislatore.
Indice
Cosa prevede la normativa?
L’articolo 1-bis del Decreto Legislativo n. 152/1997, obbliga il datore di lavoro a:
“informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.”
Tali informazioni devono essere rese in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico.
Il decreto fa quindi riferimento a strumenti informatici e sistemi decisionali o di monitoraggio automatizzati utilizzati dal datore di lavoro sia in fase preassuntiva che in fase di svolgimento attività lavorativa con un ampliamento del dettato normativo dell’art. 22 del GDPR (Processo decisionale automatizzato): quindi nel decreto non si parla solo di scelte automatizzate senza l’intervento di un operatore, ma di software che aiutino l’imprenditore a fare scelte attraverso l’utilizzo di metriche e logiche informatiche di valutazione performance.
Resta in ogni caso fermo quanto previsto dall’Art. 4 della L. 300/1970 relativo agli “Impianti audiovisivi e altri strumenti di controllo” dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, che ricordiamo possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo sindacale o autorizzazione dell’Ispettorato del lavoro, salvo che siano strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa o strumenti di registrazione degli accessi e delle presenze. L’Art. 4 prevede inoltre un’adeguata informazione circa le modalità d’uso degli strumenti e di effettuazione dei controlli.
Quali sono i sistemi che rientrano nell’1-bis?
Quali sono i sistemi oggetto dell’obbligo di trasparenza è il punto veramente più delicato.
Se da una parte non ci sono dubbi che l’utilizzo di applicazioni come nei casi dei rider che consegnano cibo per le piattaforme digitali rientrano in questa clausola (Caso Deliveroo), molti altri casi possono considerarsi borderline e dubbi.
L’Ispettorato Nazionale del Lavoro con l’intervento in tema di trasparenza attuato con la Circ. n. 4/2022 rimanda ad un ulteriore provvedimento di prassi che vada meglio a definire questo ambito d’applicazione.
In attesa del provvedimento proviamo a fare qualche ipotesi, senza pretese di completezza.
Potrebbero ricadere nell’applicazione della norma, ad esempio:
– sistemi di rilevamento presenze in azienda diversi dalla mera timbratura;
– sistemi che utilizzano il GPS;
– sistemi premianti sulla base di un algoritmo o assegnazione di mansioni sulla base di algoritmo;
– dispositivi wearable, anche attraverso la condivisione di ulteriori dati;
– dispositivi di monitoraggio del traffico su device aziendali
– sistemi di accesso logico e di rilevazione dei log dei collaboratori per segnalare comportamenti anomali;
– Software di business intelligence che monitorino l’attività dei lavoratori;
– Sistemi per la gestione e il controllo del processo produttivo, ove siano presenti algoritmi di monitoraggio del lavoratore o automatismi decisionali che abbiano un impatto sullo stesso.
In molti casi, tali sistemi sono preordinati alla tutela della salute e sicurezza dei lavoratori o alla tutela dei dati sia dei lavoratori che di altri interessati (come ad esempio quello per la segnalazione di comportamenti anomali), e non ad effettuare il controllo (peraltro vietato) delle attività del lavoratore. Ciononostante la norma prevede che siano date informazioni su quei sistemi indipendentemente dalla finalità principale di loro utilizzo.
Ma sul punto, non resta che attendere il provvedimento dell’INL.
Quali adempimenti sono previsti?
Per prima cosa l’obbligo di informazione.
Gli elementi su cui dare informazione al lavoratore previsti vanno oltre quanto già previsto dal GDPR e riguardano:
- gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;
- gli scopi e le finalità dei sistemi;
- la logica ed il funzionamento dei sistemi;
- le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
- le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; e
- il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
La normativa prevede che le stesse informazioni siano comunicate alle rappresentanze sindacali, il che rappresenta un ulteriore aspetto da presidiare. Da sottolineare, però che il Decreto non richiede una approvazione delle informazioni da parte di tali soggetti, ma unicamente che siano messi al corrente delle informazioni stesse e dei sistemi che trattano i dati.
Oltre all’informativa, un punto alquanto dubbio riguarda la richiesta di “…integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati…”. L’informativa, infatti, non è “propriamente” il documento da integrare con delle “istruzioni”, normalmente inserite nell’atto di designazione all’autorizzato o in Regolamenti sull’uso degli strumenti.
In questi giorni, applicando per la prima volta il decreto, abbiamo scelto di fare un documento unico per il sistema automatizzato da regolamentare da dare al dipendente. Tuttavia, non si ritiene possa essere considerato sbagliato l’aggiornamento della “Lettera di incarico ex art. 29 GDPR” con indicazioni circa la sicurezza del dato.
Infine, il Decreto espressamente prevede l’obbligo di integrare il registro dei trattamenti previsto dal GDPR e di eseguire una valutazione di impatto (una DPIA) in relazione al trattamento.
Quali sanzioni si applicano?
Sono previste sanzioni per ciascun mese di riferimento in cui il lavoratore svolga la propria attività in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente, il cui importo varia a seconda del numero di lavoratori coinvolti:
Tra 1 e 5 dipendenti ⇨ sanzione amministrativa di importo compreso tra € 100,00 ed € 750,00
Tra 5 e 10 dipendenti ⇨ sanzione amministrativa di importo compreso tra € 400,00 ed € 1500,00
Oltre i 10 dipendenti ⇨ sanzione amministrativa di importo compreso tra € 1.000 ed € 5.000,00 (per la quale non è ammesso il pagamento in misura ridotta), cfr. anche la Circolare INL n. 4/2022
Tali sanzioni sono cumulabili con quelle derivanti da eventuali violazioni in materia di protezione dei dati personali ove ne sussistano i presupposti.
Cosa deve fare ora il datore di lavoro?
L’occasione è sicuramente buona per procedere ad una verifica dell’uso di strumenti decisionali automatizzati e sistemi di monitoraggio automatizzato.
Una verifica da farsi coinvolgendo sia le Risorse umane che i Responsabili IT, per verificare eventuali sistemi utilizzati ad altri scopi, ma che possono comunque rientrare in questo decreto.
Sui sistemi che rientrano nella casistica gli adempimenti da realizzare sono già stati descritti:
– Valutazione di Impatto e aggiornamento del Registro dei trattamenti
– Aggiornamento Informative e istruzioni per gli autorizzati.
Si ricorda, infine, di comunicare alle Rappresentanze sindacali le informazioni fornite anche al lavoratore.
Alcuni ultimi consigli.
Si suggerisce di integrare il proprio scadenziario prevedendo di controllare la presenza di eventuali nuovi trattamenti che possono ricadere nella tipologia del decreto. Il DPO, ove presente, dovrà inserire domande specifiche relativa alla verifica della presenza di tali trattamenti negli audit agli uffici HR.
Si tratta di sistemi che possono “sfuggire” anche a dipendenti attenti a questi temi. Si consiglia, quindi di sensibilizzare le funzioni dell’area risorse umane e ICT in merito al tema, per evitare che tutti gli adempimenti siano realizzati PRIMA che il sistema automatizzato entri in funzione.