Decreto trasparenza e privacy: chiarito cosa si intende per strumenti decisionali automatizzati

In agosto è entrato in vigore il Decreto Legislativo 27 giugno 2022, n. 104 (attuazione della Direttiva europea 2019/1152), meglio conosciuto come “Decreto Trasparenza”.

Il Decreto prevede che il datore di lavoro fornisca ai lavoratori nuove e più ricche informazioni riguardo le caratteristiche e lo svolgimento dei rapporti di lavoro, obbligando di fatto i datori di lavoro a riscrivere o integrare i contratti oggi in essere.

La maggior parte degli adempimenti riguardano il tema giuslavoristico, ma ci sono alcune novità privacy che meritano un approfondimento.

Cosa c’è di nuovo?

Il nuovo art. 1 bis del Decreto Legislativo n. 152/1997 prevede che il datore di lavoro debba informare i lavoratori qualora vengano utilizzati sistemi decisionali o di monitoraggio automatizzati finalizzati a:

  • fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni;
  • fornire indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

In concreto, di che sistemi si tratta?

Dopo una prima fase di incertezza sul campo di applicazione del nuovo art. 1 bis, con la Circolare del 20.09.2022 il Ministero del lavoro è intervenuto per fornire alcune preziose delucidazioni.

Per fugare ogni dubbio, il Ministero ha specificato anzitutto che per sistemi decisionali o di monitoraggio automatizzati si intendono in primo luogo quegli strumenti che, attraverso l’attività di raccolta ed elaborazione dei dati, ricorrono ad algoritmi, sistemi di intelligenza artificiale etc., al fine di generare decisioni datoriali automatizzate. Si tratta, ad esempio, delle ipotesi di assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, profilazione automatizzata dei candidati, screening dei curricula, utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc. oppure attività di analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning per la gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni.

In secondo luogo, il Ministero specifica poi che per sistemi che forniscono informazioni “incidenti sulla sorveglianza, la valutazione ecc. dei lavoratori”, si intendono ad esempio i “tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc.”, anche qualora siano integrati negli strumenti serventi all’attività lavorativa.

Sono esclusi quindi dall’ambito di applicazione della norma, ad esempio, i sistemi di rilevazione delle presenze.

Quindi, cosa fare?

Anzitutto, verificare se tali sistemi (o sistemi simili) siano utilizzati in azienda. Per fare questo controllo può essere opportuno coinvolgere anche il dipartimento IT e il giuslavorista/consulente del lavoro.

Nei casi in cui vengano utilizzati i sistemi descritti sopra, il datore di lavoro è anzitutto tenuto ad effettuare un’analisi dei rischi e una valutazione di impatto (DPIA) riguardante il trattamento dei dati personali effettuato tramite tali sistemi. Inoltre, se necessario, dovrà aggiornare il registro dei trattamenti.

È necessario aggiornare anche l’informativa privacy per i dipendenti?

Il datore di lavoro è tenuto ad informare i lavoratori di una serie di elementi. In particolare, la norma prevede di fornire dettagli riguardo:

  1. gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;
  2. gli scopi e le finalità dei sistemi;
  3. la logica ed il funzionamento dei sistemi;
  4. le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  5. le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  6. il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Tutte queste informazioni posso essere comunicate integrando l’informativa privacy già fornita ai dipendenti oppure fornendo un nuovo documento, in formato elettronico o cartaceo.

Occorre tener traccia di tutte queste attività?

Sì. Per rispettare il principio di accountability e secondo l’obbligo introdotto dal Decreto, il datore di lavoro deve conservare la prova della trasmissione o della ricezione delle informazioni. Tale prova deve essere conservata per tutta la durata del rapporto di lavoro e per ulteriori cinque anni dalla sua conclusione. Si segnala che sono previste sanzioni nel caso in cui non sia tracciata la trasmissione/ricezione dei documenti.

In futuro il lavoratore può chiedere nuovamente queste informazioni?

Certamente sì. Il lavoratore, direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali, ha diritto di accedere ai dati e di richiedere ulteriori informazioni. Il datore di lavoro o il committente sono tenuti a trasmettere i dati richiesti e a rispondere per iscritto entro 30 giorni, come previsto dal GDPR per ogni richiesta da parte di un interessato.

Queste informazioni devono essere comunicate anche ad altri soggetti?

Sì. La comunicazione delle medesime informazioni e dati deve essere effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale. Il Ministero del lavoro e delle politiche sociali e l’Ispettorato nazionale del lavoro possono richiedere la comunicazione delle medesime informazioni e dati e l’accesso agli stessi.

Cosa fare se non sono utilizzati i sistemi di cui parla la norma?

In ogni caso, deve essere fatta una valutazione periodica riguardo l’utilizzo dei sistemi automatizzati. Di tale valutazione deve essere tenuta traccia ai fini del principio di accountability.

Cosa fare se in futuro verranno introdotti nuovi sistemi e strumenti?

Secondo il principio di privacy by design e by default e secondo il principio di accountability, si dovrà valutare la compliance di sistemi e strumenti individuati, effettuare l’analisi dei rischi e DPIA al fine di verificare la loro compliance e, questa analisi avrà esito positivo, adottare i sistemi aggiornando contestualmente il registro dei trattamenti e fornendo le necessarie informazioni a lavoratori e organizzazioni sindacali.

Facebook
Twitter
LinkedIn
WhatsApp
Dopo aver conseguito il diploma di laurea presso l’Università degli Studi di Trento, l’avvocato Maddalena Collini si è occupata di diritto fallimentare, specializzandosi poi

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?