Decreto trasparenza, sistemi decisionali e di monitoraggio automatizzato: quando vale l’obbligo di comunicazione ai sindacati

Quali sono i nuovi obblighi informativi previsti dal decreto trasparenza nell’ipotesi in cui l’azienda, che sia datrice o committente, decida di inserire dei sistemi decisionali e di monitoraggio automatizzato?

Obbligo di comunicazione ai sindacati e agli organismi territoriali

Nell’ipotesi in cui l’organizzazione dovesse andare a implementare – o avesse già in pancia – sistemi decisionali e di monitoraggio automatizzato, dovrà procedere alla comunicazione agli organismi sindacali.

 

Dovrà quindi comunicare la sua volontà di implementare i sistemi di controllo nei confronti del lavoratore oppure di averli già, ma non rientravano ancora nell’articolo 4 dello Statuto dei lavoratori (è il caso della videosorveglianza, che qualche mal di pancia alle aziende fa ancora venire…).

Significa che:
  • le aziende che hanno gli RSU/RSA interni, dovranno fare le comunicazioni internamente;
  • le aziende che non hanno i sindacati interni dovranno fare le comunicazioni agli organismi territoriali principali, quindi, in base alla provincia in cui si trova l’azienda, la comunicazione dovrà essere fatta a CGL, CISL e UIL.

Per quali attività è previsto l’obbligo informativo?

Se osserviamo la norma, questa divide l’obbligo informativo in due grandi macroaree:
1 – Prima macroarea, che riguarda:
  • il controllo nell’ipotesi di assunzione e conferimenti di incarico ai lavoratori o agli appaltatori;
  • la gestione e la cessazione del rapporto di lavoro;
  • l’assegnazione di compiti e mansioni.
2 – Seconda macroarea, che comprende:
  • le indicazioni che possono incidere sulla sorveglianza;
  • la valutazione delle prestazioni;
  • gli adempimenti delle obbligazioni contrattuali.

Rispetto a questo c’è stata un po’ di confusione. Tutti hanno incominciato a interrogarsi, chiedendosi, per esempio, come comportarsi con il badge, il tablet e altri strumenti.

Chi già ha trattato il GDPR si renderà conto che la risposta sarà non tanto nell’applicazione pedissequa della norma, ma procedurale. Quindi spesso il sì o il no alla domanda “Come comportarsi con il badge?” deriva dalla logica e dal ragionamento.

Facciamo alcuni esempi.

Quando vale l’obbligo di informare le organizzazioni sindacali? Alcuni esempi

Molte aziende usano piattaforme per assegnare determinati ruoli e mansioni attraverso un algoritmo. In questi casi i sindacati vanno informati. Vediamo alcuni esempi.

Metodi discriminatori di assegnazione delle consegne

In Emilia-Romagna è stata emessa una sentenza che ha fatto scalpore: riguarda i riders e il metodo di assegnazione della consegna. Un metodo che è stato considerato discriminatorio dal tribunale di Bologna, perché le assegnazioni della consegna della pizza a un lavoratore piuttosto che a un altro, erano legata a una serie di elementi discriminatori, a una sorta di performance, in cui la malattia era considerata un elemento negativo.

Oggi, le aziende che decidono di assegnare alcune mansioni, ruoli o incarichi usando un algoritmo – al di là degli aspetti giuslavoristici – devono necessariamente integrare l’informativa e comunicarlo agli organismi sindacali.

 

Sistemi automatizzati nella selezione del personale

Un’altra ipotesi è l’algoritmo usato per fare uno screening sui curriculum vita. Prendiamo Amazon, che riceve ogni giorno milioni di CV. Nell’informativa

troveremo che l’azienda usa parole chiave o un software per fare uno screening.

Senza andare a guardare Amazon, pensiamo anche a realtà nazionali che utilizzano software per il riconoscimento emotivo sui test psicoattitudinali.

Anche in questi casi vanno informate le organizzazioni sindacali.

Sistemi automatizzati in punto vendita

Prendiamo il caso dei flussi, in cui si utilizzano sistemi automatizzati che prendono informazioni interne – quindi l’andamento del punto vendita, quante persone entrano, qual è il tempo di permanenza – o informazioni esterne, quindi, per esempio, ingressi in base alla stagionalità, in base al giorno della settimana, al clima di quella giornata, e su questo si stabiliscono i turni e le promozioni.

Promozioni al personale

Nei centri commerciali e negli enti pubblici capita spesso di trovare delle macchine con tasti verdi, rossi e gialli che ci chiedono come siamo stati serviti e sulla base di questo l’azienda o l’ente decide se dare o non dare promozioni al personale. Qui non si sto misurando tanto la prestazione, quanto la performance del lavoratore.

Il badge?

Il badge fine a sé stesso, invece, se non viene usato dal datore di lavoro per sanzionare e controllare, di fatto, è un sistema automatizzato, ma non ha le finalità per cui nascono gli obblighi informativi. 

Non è tanto il sistema, ma la finalità per cui lo usi a determinare l‘obbligo di comunicazione ai sindacati e ai lavoratori

Dagli esempi visti sin qui, è chiaro che non è tanto il sistema di per sé – se è automatizzato o meno – ma è la finalità con cui viene utilizzato, che ci dà il discrimine per capire se devo informare o meno il lavoratore e gli organismi sindacali.

Prendiamo l’app, che molte aziende usano per conteggiare il lavoro del personale ai fini della fatturazione. L’azienda non usa l’app per le finalità che rientrano nel decreto trasparenza, ma semplicemente per la fatturazione. In questo caso non c’è obbligo di comunicazione.

Prendiamo ora la l’azienda che per la gestione e la cessazione del rapporto di lavoro, l’assegnazione, la revoca automatizzata di mansioni, la determinazione della retribuzione usa analisi statistiche, strumentalità di analytics e machine learning, un po’ come succedeva con i riders. È chiaro che in questi casi deve sottoporre l’informazione sia al lavoratore che agli organismi sindacali.

Cosa deve fare il consulente GDPR?

Dipende da quanto l’organizzazione e il consulente sono stati compliant fino a questo momento.

Chi ha lavorato in modo conforme deve solo fare “un rispolvero”

Quello che bisogna fare è:

1 – Riprendere il registro dei trattamenti. E quindi verificare, rispetto alla norma, se c’è qualcosa da aggiustare, facendo attenzione al nuovo destinatario, cioè si dovranno considerare gli organismi sindacali – siano essi interni o esterni – come un nuovo attore che si inserisce nell’impianto privacy.

2 – Nell’ipotesi in cui l’azienda rientri in uno dei casi visti in questo articolo, si dovrà normalizzare anche l’aspetto della comunicazione agli organismi sindacali.

 

3 – Ovviamente va fatta l’analisi del rischio. Non dimentichiamo che se pur non sia stato  legiferato il concetto di sistema di monitoraggio automatizzato l’EDPB ha dato delle linee guida importanti per capire e gestire al meglio questi trattamenti nel documento WP251rev.01 (https://ec.europa.eu/newsroom/article29/items/612053)
4 – Una volta fatta l’analisi del rischio, qualora porti a considerare un rischio elevato, si dovrà fare la valutazione d’impatto, che è un po’ la madre dello stesso GDPR.

Quindi, di fatto, ci troviamo di fronte a un atteggiamento procedurale che chi fa privacy quotidianamente – ma anche gli HR che sono stati più o meno virtuosi – conosce già. È una situazione che non è particolarmente diversa da quella che c’era prima del 13 di agosto: è solo questione di implementare.

Poi, l’altro aspetto, su cui a volte si discute anche animatamente fra colleghi privacy, è l’attenzione alla granularità dell’informativa: non dobbiamo spaventarci da questo decreto e quindi affannarci a inserire tutta una serie di informazioni, perché il rischio di produrre un’informativa troppo dettagliata fa sì che il contraltare sia perdersi la normalizzazione di qualche procedimento.

Quindi è importante prestare attenzione all’equilibrio dell’informativa stessa.

Se come consulenti abbiamo lavorato bene e se l’azienda ha lavorato bene, non dovrebbero esserci grossi problemi. Si tratta non tanto di pulizie di primavera, ma di un rispolvero.

Diverso invece è per chi non è compliant neanche lato GDPR…

Chi non è stato compliant ha molto lavoro da fare

Qui porto la mia esperienza. Le aziende – comprese alcune strutturate – spesso non hanno neanche il regolamento interno, che va a normalizzare la strumentazione aziendale.

Sembra una banalità, ma se non diciamo al lavoratore come deve utilizzare le mail o come navigare su internet, che la password deve essere cambiata ciclicamente e con quali caratteristiche, è chiaro che nel processo aziendale non abbiamo normalizzato tutto quello che c’è da normalizzare.

Significa che mancano le procedure e che manca l’audit.

 

Mancando le figure audit, l’azienda non è compliant Quindi, se ho il dubbio che un lavoratore sia infedele – e quindi devo andare a “controllare”, utilizzando la finalità della tutela del patrimonio aziendale, quello che succede – è chiaro che:
1 – le informazioni che raccolgo non posso utilizzarle;

2 – ho un’azienda che non è efficiente.

Anche questa occasione ci serve per capire che va messo a terra quello che dovrebbe accadere ogni giorno in azienda:
1) fare procedure;
2) normalizzare con regolamenti;
3) controllare attraverso audit.

Perché il decreto trasparenza è sulla stessa scia del GDPR: procedure, regolamenti, audit.

Un’altra norma entrata in vigore di recente, che consulenti e organizzazioni dovrebbero conoscere

Aggiungo una piccola parentesi: il 13 di settembre 2022 è uscita un’ulteriore norma. Prevede che, in caso di incidente informatico, si debba comunicare a un organismo nazionale – chiamato CSIRT (Computer Security Incident Response Team) – l’incidente stesso, in determinate caratteristiche.

Quindi segue la normativa in materia di data breach nelle aziende.

Dovremo aspettare le determinazioni tecniche del Direttore Generale del CSIRT per capire quali comunicazioni vanno fatte e quali no.

Però, anche questa parte delle attività – sistemi di monitoraggio, trattamenti automatizzati – vanno sempre di più verso un mondo digitale e devono essere attenzionate anche per questa ragione.

Se io consulente ho seguito il mio iter – procedura, regolamento e audit – sono in grado di alzare la manina con l’azienda, quando ha intenzione di applicare uno di questi sistemi, di sapere quello che deve fare, normalizzare, avere la situazione sotto controllo e soprattutto essere compliant, produttiva ed evitare le sanzioni.

Attenzione ai dispositivi digitali

Infine, attenzione a tablet, dispositivi digitali e werables, GPS, sistemi di riconoscimento facciale e sistemi di ranking, per capire se questi incidono sulla sorveglianza e quindi sull’obbligo di informazione.

Facciamo un esempio per comprendere meglio.

Prendiamo le agenzie di sorveglianza che di notte mandano il loro personale a controllare le aziende. Usano sistemi che monitorano il lavoratore a distanza, per sapere se è tutto sotto controllo oppure no.

Se il lavoratore a un certo punto non si muove più, l’azienda deve essere in grado di intervenire, perché potrebbe essersi addormentato oppure potrebbe essere successo qualcosa di più grave.

Al di là dell’articolo 4 dello Statuto dei lavoratori, questo è un caso che deve essere assolutamente attenzionato, per informare sia i lavoratori che gli organismi sindacali.
Fonte: PrivacyLab
gdpr internet privacy privacy gdpr softwarehouse tecnologia