Il Decreto Legislativo 27 giugno 2022, n. 104, Decreto Trasparenza, in attuazione della Direttiva (UE) 2019/1152 ha aggiornato il quadro normativo già previsto dal d. lgs. 26 maggio 1997, n. 152 “concernente l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro” con ulteriori obblighi informativi a carico del datore di lavoro.
In linea generale, il datore di lavoro deve comunicare per iscritto al lavoratore gli “elementi essenziali del rapporto di lavoro” all’instaurazione del rapporto stesso e le “condizioni di lavoro e la relativa tutela”.
A chi applicano le disposizioni del Decreto Trasparenza?
Le tipologie i contratto sono le seguenti:
- di lavoro subordinato, lavoro somministrato, intermittente
- rapporti di collaborazione coordinata e continuativa e quelli che si concretano in prestazioni di lavoro esclusivamente personali, continuative e organizzate dal committente
- prestazioni occasionali
- lavoro dei dipendenti delle pubbliche amministrazioni.
Decreto trasparenza e GDPR
L’articolo 1-bis del Decreto Legislativo n. 152/1997, prevede che il datore di lavoro a:
“informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati”
Questo significa che Il datore di lavoro deve informare il lavoratore su:
- gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi (es. bonus o promozione);
- gli scopi e le finalità dei sistemi (es. organizzativi);
- la logica ed il funzionamento dei sistemi;
- le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
- le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
- il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
È bene ricordare che tali obblighi di informazione sono già previsti dal GDPR.
Infatti, gli artt. 13 e 14 del Regolamento prescrivono che il Titolare del trattamento debba informare gli interessati, fra l’altro, oltre che sulla finalità del trattamento, anche circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.
Oltre a sancire gli obblighi informativi che abbiamo visto sopra, il decreto prescrive anche l’effettuazione della Valutazione d’impatto (DPIA), secondo l’art. 35 del GDPR.
Chiarimenti del Ministero del Lavoro
Il Ministero del Lavoro e delle Politiche Sociali, con la Circolare n. 19/2022 del 20 settembre 2022, ha fornito delle “prime indicazioni interpretative” ed esempi pratici.
In breve, la circolare il Ministero precisa che “per sistemi decisionali o di monitoraggio automatizzati si intendono quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate”, compresi quelli che prevedono un intervento umano “meramente accessorio”.
In sintesi, il datore di lavoro deve fornire le informazioni richieste “quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati”.
Ad esempio, l’obbligo dell’informativa sussiste nelle seguenti ipotesi:
- assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
- gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc.
Diversamente, non sarà necessario procedere all’informativa nel caso, ad esempio, di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale.
Discorso a parte merita, invece, la previsione sub b), riguardante «le indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori».
Pertanto, il datore di lavoro dovrà informare il lavoratore dell’utilizzo di tali sistemi automatizzati, quali a puro titolo di esempio:
- tablet
- dispositivi digitali e wearables
- gps e geolocalizzatori
- sistemi per il riconoscimento facciale
- sistemi di rating e ranking
Cosa si rischia nel non ottemperarvi?
Le violazioni delle disposizioni di cui al Decreto prevedono una sanzione amministrativa pecuniaria che può variare da 250 a 1.500 euro per ogni lavoratore interessato. Si ricorda che la sanzione può essere erogata dall’Ispettorato territoriale del lavoro.
A ciò si aggiunge, che il titolare può incorrere in sanzioni ben più severe, cioè quelle definite dall’art. 83 del GDPR, da parte del Garante Privacy.
Ma cosa devono fare le aziende per attuare tali obblighi?
Consigliamo di rivedere la modulistica privacy contattando il nostro ufficio ed approfondire l’argomento