Il 13 agosto 2022 è entrato in vigore il decreto legislativo n. 104 del 27/06/2022, chiamato anche “decreto trasparenza“. Si tratta del recepimento della direttiva UE n. 2019/1152 in materia di condizioni di lavoro trasparenti e prevedibili nell’Unione Europea. La norma ha però effetti anche sulla gestione della privacy in azienda ed è di questo che mi voglio occupare.
Un’introduzione al decreto trasparenza
Il decreto ha apportato modifiche al testo del D.Lgs. n. 152/1997 (“Attuazione della direttiva 91/533/CEE concernente l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro”) introducendo obblighi informativi più specifici a carico del datore di lavoro (o del committente) al momento dell’assunzione e nuove “prescrizioni minime” a tutela dei lavoratori.
Il decreto in questione riguarda tutte le tipologie di rapporto di lavoro, sia nel settore pubblico che nel settore privato, con poche esclusioni, quali:
- rapporti di lavoro autonomo;
- rapporti di lavoro caratterizzati da un tempo di lavoro predeterminato ed effettivo di durata pari o inferiore a una media di tre ore a settimana in un periodo di riferimento di quattro settimane consecutive;
- i rapporti di agenzia e rappresentanza commerciale;
- i rapporti di collaborazione prestati nell’impresa del datore di lavoro dal coniuge, dai parenti e dagli affini non oltre il terzo grado, che siano con lui conviventi.
Diverse le novità introdotte dal decreto, come la durata del periodo di prova, le condizioni di ammissibilità della clausola di esclusiva e i dettagli informativi da comunicare al lavoratore in fase di assunzione.
Decreto trasparenza e privacy
La norma influisce sugli adempimenti in materia di protezione dei dati personali a seguito dell’aggiunta al decreto legislativo 152/997 dell’art. 1-bis: “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati“.
Più precisamente gli obblighi si applicano in caso di utilizzo di “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori“.
In caso di utilizzo di questi sistemi sono previsti i seguenti obblighi:
- informativa al lavoratore con i contenuti previsti dal decreto;
- verifica di conformità al GDPR mediante esecuzione di un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti;
- consultazione preventiva del Garante per la protezione dei dati personali nel caso in cui il trattamento presenti un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.
I chiarimenti del Ministero del lavoro e delle politiche sociali
La maggiore complessità nell’adempimento riguarda la corretta individuazione dei sistemi automatizzati il cui utilizzo fa ricadere nell’ambito di applicazione della nuova normativa.
Dopo qualche attesa (l’Ispettorato Nazionale del Lavoro li annunciava a pagina 7 della Circolare n. 4/2022), si è pronunciato il Ministero del lavoro e delle politiche sociali con propria Circolare n. 19 del 20 settembre 2022.
Il Ministero ha chiarito che gli obblighi si applicano quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, sono interamente rimessi all’attività decisionale di sistemi automatizzati.
In relazione ai sistemi connessi ai processi di assunzione o conferimento dell’incarico, gestione o cessazione del rapporto di lavoro, assegnazione di compiti o mansioni, il Ministero individua alcuni casi specifici di applicabilità:
- assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
- gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc.
Di conseguenza, gli obblighi non si applicano, per esempio, nel caso “di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale“.
Per quanto riguarda “le indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori“, gli obblighi si applicano per sistemi automatizzati, quali tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc.
Come procedere
Il titolare del trattamento deve affrontare la questione, coinvolgendo il DPO se presente (e il DPO dovrebbe essersi attivato per valutare l’impatto complessivo della normativa), oppure chiedendo un supporto a un consulente, per farsi carico in modo attivo di ogni aspetto che risulti immediatamente individuabile, gestibile e attuabile.