Con il "decreto trasparenza" (D.Lgs. n. 104 del 27/06/2022) in vigore dal scorso 13 agosto 2022 sono stati introdotti nuovi adempimenti per i titolari del trattamento, specialmente in ambito lavoristico.
La norma si applica a tutti i rapporti di lavoro, sia pubblici che privati, ad eccezione per quelli non a tempo pieno e autonomi.
Obblighi informativi
Per quanto riguarda gli obblighi informativi, la norma introduce l'obbligo per i datori di lavoro di informare i lavoratori dell'utilizzo di sistemi di monitoraggio automatizzati (comma 1).
Il Ministero del lavoro ha emanato una circolare (20 settembre 2022, n. 19) che individua due distinte ipotesi che il decreto ha voluto regolare:
1) sistemi decisionali o di monitoraggio automatizzati finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro;
2) sistemi incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.
In tali casi il datore di lavoro deve fornire le ulteriori informazioni stabilite dal decreto trasparenza (comma 2):
a) gli aspetti del rapporto di lavoro sui quali incide l'utilizzo di tali sistemi;
b) gli scopi e le finalità dei sistemi;
c) la logica ed il funzionamento dei sistemi;
d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i suddetti sistemi;
e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
1) I sistemi finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro sono quei sistemi che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite degli algoritmi (intelligenza artificiale, ecc...), siano in grado di generare decisioni automatizzate. In conclusione il datore di lavoro è soggetto ai nuovi obblighi se la disciplina della vita lavorativa, o di suoi aspetti, del dipendente, sia interamente rimessa ai sistemi decisionali automatizzati. Per chiarire, un sistema di rilevazione delle presenze non è soggetto agli obblighi del decreto trasparenza se la decisione viene comunque presa dal datore di lavoro.
La circolare 19/22 del Ministero del Lavoro elenca nel dettaglio i casi per i quali sussiste l’obbligo di informativa:
- assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati (l'obbligo informativo è già previsto dal GDPR), lo screening dei curricula, l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
- gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc.
2) I sistemi decisionali o di monitoraggio automatizzati che incidono sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori consistono in sistemi che utilizzano dispositivi digitali (tablet, smartphone, gps, dispositivi indossabili...) o sistemi di riconoscimento facciale. Ad esempio i sistemi che tracciano la posizione del lavoratore.
La circolare del Ministero ha il pregio di aver chiarito gli ambiti nei quali scattano gli obblighi informativi, e cioè nel solo caso in cui l'utilizzo del sistema decisionale demanda interamente al sistema la gestione del rapporto di lavoro o di fasi dello stesso.
Come ulteriori obblighi, l'art. 4 prevede che "Il datore di lavoro o il committente sono tenuti a integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio”. In sostanza la norma onera il titolare del trattamento all'inserimento nell'informativa di ulteriori informazioni riguardanti la sicurezza dei dati.
Infine, il comma 5 dell'art. 1-bis obblighi i titolari del trattamento ad informare i lavoratori "almeno 24 ore prima, (…) per iscritto di ogni modifica incidente sulle informazioni fornite ai sensi del comma 2 che comportino variazioni delle condizioni di svolgimento del lavoro”.
A tali obblighi si aggiunge l'ulteriore obbligo di fornire le informative in materia di protezione dei dati personali alle “rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale” (comma 6 art. 1-bis), sempre nel caso in cui il datore di lavoro utilizzi i sistemi automatizzati indicati dalla norma. In questo quadro normativo, poi, si introduce esplicitamente il diritto per il lavoratore di accedere ai dati e di richiedere ulteriori informazioni concernenti gli obblighi di cui al comma 2. Ovviamente il titolare del trattamento è obbligato a rispondere nel termine di 30 giorni.
Gestione rischi
Il nuovo testo del comma 4 dell’art. 1 bis del decreto legislativo 26 maggio 1997, n. 152, come introdotto dal decreto trasparenza, prevede l'obbligo per i datori di lavoro di effettuare l'analisi dei rischi e la valutazione di impatto del trattamento, eventualmente procedendo alla consultazione preventiva del Garante privacy se sussistono i presupposti di cui all'art. 36 del GDPR, cioé "qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio".
Sanzioni
Il mancato rispetto degli oneri informativi comporta per il datore di lavoro una sanzione amministrativa per ciascun mese di riferimento, cioè per tutti i mesi nei quali il lavoratore lavora in violazione dei suddetti obblighi. La sanzione è aumentata se il comportamento illecito si riferisce a più lavoratori, secondo questo schema:
- 1 lavoratore: sanzione da 100 a 750 euro per mese;
- più di 5 lavoratori: sanzione da 400 a 1.500 euro per mese;
- più di 10 lavoratori: sanzione da 1.000 a 5.000 euro.
Non è ammesso il pagamento in misura ridotta.
La mancata comunicazione alla rappresentanze sindacali comporta la sanzione da 400 a 1.500 euro per ciascun mese in cui si verifica l’omissione.
La normativa, però, stabilisce che le sanzioni sono applicate in presenza di comportamenti ritorsivi o che determinano effetti sfavorevoli nei confronti dei lavoratori o dei loro rappresentanti, quindi non dalla semplice violazione della norma.