‘Decreto Trasparenza’: impatti sulla privacy dei lavoratori e ricadute operative per imprese e DPO
Il 13 agosto 2022 è entrato in vigore il D.Lgs. 104 del 27-06-2022
Il 13 agosto 2022 è entrato in vigore il D.Lgs. 104 del 27-06-2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea”. In questo articolo, per quanto si tratti di una prima analisi, si forniscono alcuni esempi, indicazioni operative e considerazioni specifiche, in merito agli aspetti trattati nel suddetto decreto in relazione alla protezione dei dati personali dei lavoratori.
Quali impatti sulla protezione dei dati personali
Il comma 4 dell’art. 4 “Modifiche al decreto legislativo 26 maggio 1997, n. 152” del D.Lgs 104/2022 recita quanto segue:
“4. Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo.”
Ciò comporta che, per i trattamenti indicati, deve essere aggiornata l’informativa e parallelamente il registro dei trattamenti, va effettuata la valutazione dei rischi e la valutazione d’impatto (il che sembra valere ad individuare una nuova casistica tipizzata di effettuazione della stessa). Quando necessario è da effettuare una consultazione preventiva.
Un dubbio legittimo sorge nel punto in cui il decreto specifica di “…integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati…”. L’informativa non è “propriamente” il documento da integrare con delle “istruzioni”, mentre lo sarebbe l’atto di designazione all’autorizzato che tratta i dati dei lavoratori in relazioni ai quali sono effettuate i trattamenti oggetto del decreto.
L’informativa egli altri documenti citati nel comma devono essere forniti al lavoratore (compresi quelli interinali – con l’esclusione di quelle attività che hanno una durata di meno di ore media alla settimana per non più di 4 settimane) nei tempi definiti dal Decreto. La consegna di tali documenti ai lavoratori deve essere rintracciabile – per quanto il decreto non ponga vincoli nelle modalità -; sono previste sanzioni nel caso in cui di ciò non fosse possibile fornire evidenze.
Ulteriori indicazioni sono contenute nella Circolare n 4/2022 del 10.08.2022 dell’INL avente ad oggetto “D.Lgs. n. 104/2022 recante – “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea” – prime indicazioni”. Nella medesima Circolare è specificato che saranno fornite specifiche ulteriori disposizioni sulle tematiche di diritto sostanziale in particolare sul Capo III “Prescrizioni minime relative alle condizioni di lavoro”.
Infine da segnalare che, oltre a quanto riportato nel Decreto, devono essere previste anche azioni mirate nei confronti degli autorizzati chiamati a trattare i dati dei lavoratori; tali azioni prevedono l’integrazione delle loro istruzioni/nomina di autorizzato e la formazione mirata sulle misure specifiche da porre in atto come potrebbe emergere dall’analisi dei rischi.
Una lettura da dipanare
Sempre in relazione agli impatti sulla protezione dei dati personali, il comma 4, non certo agevolando la lettura del documento, richiama il comma 1 del medesimo articolo che a sua volta recita:
“…1. Il datore di lavoro pubblico e privato è tenuto a comunicare al lavoratore, secondo le modalità di cui al comma 2, le seguenti informazioni: …
s) gli elementi previsti dall’articolo 1-bis qualora le modalità di esecuzione della prestazione siano organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati. ..”
L’art. 1-bis a sua volta recita:
“Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonchè indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori….”.
È interessante evidenziare che l’articolo considera i trattamenti che fanno uso di sistemi decisionali o di monitoraggio automatizzati relativi all’intero “ciclo di vita” del lavoratore all’interno dell’azienda e riguardanti ogni attività svolta da e/o nei confronti di quest’ultimo.
Infine, vi è un elemento completamente nuovo come indica la Circolare INL:
“…Da ultimo, se la comunicazione delle medesime informazioni e dati non viene effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, trova applicazione una sanzione amministrativa pecuniaria …”.
Questo comporta la necessità di effettuare una comunicazione alle rappresentanze sindacali, il che rappresenta un ulteriore aspetto da presidiare. Peraltro è pur vero che il Decreto non richiede una approvazione delle informazioni da parte di tali soggetti, ma unicamente che siano messi al corrente delle informazioni stesse e dei sistemi che trattano i dati.
A quali trattamenti si applica
Non è ovviamente possibile riportare una lista completa ed esaustiva dei trattamenti che possono essere oggetto delle misure definite, da valutare caso per caso; tra questi sono ricompresi i trattamenti che sono posti in essere attraverso sistemi:
- di accessi fisico alle aree aziendali, mediante dispositivi come le chiavi elettroniche;
- di rilevamento presenze in azienda che rendono obsoleta la timbratura;
- di avvio di attività lavorative da remoto o presso una sede diversa da quella aziendale (es. cantiere);
- che utilizzano il GPS (es. in dotazione ad un vigilante per verificare che lo stesso non sia stato aggredito da un malintenzionato);
- di videosorveglianza dei luoghi in cui opera il lavoratore (es. in una centrale di conta denaro);
- premianti basati su algoritmi o “anche” su algoritmi;
- a bordo di dispositivi indossabili – applicazioni di tecnologia wearable – (es. bracciale elettronico, palmare, occhiali) che prevedono la comunicazione da/verso altri sistemi anche attraverso triangolazioni di dati;
- uomo presente/uomo a terra/uomo fermo (che fanno scattare un allarme se lavoratore resta fermo per un tempo superiore a X);
- di gradimento dei dipendenti da parte degli utenti di un servizio (es. in un centro commerciale, aeroporto, uffici della P.A.);
- di monitoraggio del traffico sul cellulare aziendale (es. per finalità controllo del traffico telefonico allo scopo di valutare situazioni anomale che possono compromettere i sistemi aziendali
- di accesso fisico per la rilevazione della presenza di collaboratori in aree precluse o che prevedono una autorizzazione preventiva non richiesta o non fornita;
- di accesso logico e di rilevazione dei log dei collaboratori per segnalare comportamenti anomali (prima in forma anonima e poi – nei casi più impattanti – con riferimenti specifici personale);
- software per la tenuta sotto controllo dei sistemi di gestione (compresi quelli di whistleblowing);
- di gestione della posta elettronica (e-mail);
- di videoconferenza;
- di assistenza da remoto e/o gestione dei ticket;
- con specifiche applicazioni software (es. utilizzati nei centri di contatto);
- di MDM – Mobile device management -;
- di MES – Monitoring Execution System (prevalenti applicazioni nell’ambito di industria 4.0).
In molti casi, tali sistemi sono preordinati alla tutela della salute e sicurezza dei lavoratori o alla tutela dei dati sia dei lavoratori che di altri interessati (come ad esempio quello per la segnalazione di comportamenti anomali), e non ad effettuare il controllo (peraltro vietato) delle attività del lavoratore. Ciononostante la norma prevede che siano date informazioni su quei sistemi indipendentemente dalla finalità principale di loro utilizzo.
Il tema dell’aggiornamento
Ovviamente l’informativa e quant’altro previsto, come ad esempio “le istruzioni per il lavoratore in merito alla sicurezza dei dati”, devono essere aggiornati nel caso dell’introduzione di nuovi sistemi decisionali o di monitoraggio automatizzati. Questo potrebbe essere un aspetto non facile da tenere sotto controllo, considerando anche la costante innovazione tecnologica che rede disponibili sempre più sistemi di monitoraggio. Si suggerisce a tal proposito di:
- integrare lo scadenziario prevedendo di controllare, ad intervalli, la presenza di eventuali nuovi trattamenti che possono ricadere nella tipologia indicata;
- integrare la checklist di audit con almeno una domanda relativa alla verifica della presenza di tali trattamenti, della documentazione predisposta, delle comunicazioni effettuate (lavoratori e rappresentanze sindacali), delle misure poste in atto e della presenza di nuovi trattamenti di recente introduzione che non siano stati ancora tracciati o documentati;
- sensibilizzare le funzioni dell’area risorse umane e ICT in merito al tema.
La tematica della frequenza dell’aggiornamento dei documenti è strettamente connessa al livello di granularità con cui le informazioni sono fornite al lavoratore. L’organizzazione che dettaglia molto tali informazioni (alta granularità dell’informativa e del registro) non corre il rischio di vedersi sanzionata per indicazioni lacunose o superficiali; d’altra parte si trova costretta a continuare a modificare l’informativa resa nel caso di introduzione di nuovi o variazioni di trattamenti. Deve quindi, anche in questo caso, essere effettuato un giusto bilanciamento tra esigenze contrapposte, individuando le modalità corrette per fornire informazioni esaustive ed aggiornate senza dover procedere ad affinamenti e/o correzioni continue.
Il ruolo del DPO
Ovviamente il Titolare del trattamento (indicato nel Decreto come datore di lavoro) deve coinvolgere il DPO nel caso di un nuovo trattamento che comporta una valutazione d’impatto come previsto dall’art. 35 del GDPR. Questo comporta l’aggiornamento dei flussi verso il DPO. Lo stesso DPO dovrebbe, alla prima occasione, richiamare l’attenzione del Titolare in merito al Decreto, non solo per quanto riguarda quanto esplicitato nell’art. 4 comma 4 ma, più in generale, per valutare l’impatto complessivo della normativa.
Il tema è rilevante, in quanto le sanzioni previste per la mancata comunicazione ai lavoratori ed alle rappresentanze sindacali (come previsto anche dalla Circolare dell’INL) sono significative. Ciò implica che informazioni lacunose o errate o formulate con un linguaggio che non favorisca una corretta e completa comprensione da parte del lavoratore, possono essere oggetto di sanzione.
Nella Circolare è poi specificato che “…il presupposto per l’applicazione della sanzione non è costituito dalla semplice violazione degli obblighi di cui al D.Lgs. n. 104/2022 e al D.Lgs. n. 152/1997 ma dalla presenza di comportamenti ritorsivi o che -determinano effetti sfavorevoli nei confronti dei lavoratori o dei loro rappresentanti-, circostanza che il personale ispettivo sarà pertanto chiamato ad accertare e supportare con adeguati elementi probatori”.
Conclusioni
In sintesi, un’organizzazione che ha ben lavorato dovrebbe aver già adempiuto a quanto richiesto dal D.lgs 104/2022 per la parte oggetto del presente articolo. Fa chiaramente eccezione la comunicazione alle rappresentanze sindacali delle informazioni, suggerita (con un livello di cogenza da stabilire dal punto di vista giuridico) dalla Circolare INL. In questo caso si tratta di cogliere l’occasione per rivedere e se del caso aggiornare dei documenti. Negli altri casi i Titolari sono venute meno:
- all’applicazione di misure di accountability ovvero “l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento” e quindi di “decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali” – nel rispetto delle disposizioni normative, ora integrate dal D.lsg 104/2022, ed “alla luce di alcuni criteri specifici indicati nel regolamento”;
- all’applicazione del principio di privacy by design non avendo effettuato, prima dell’introduzione di alcuni specifici trattamenti, una valutazione d’impatto e le altre azioni che ne discendono.