Nell’ipotesi in cui l’organizzazione dovesse andare a implementare – o avesse già in pancia – sistemi decisionali e di monitoraggio automatizzato, dovrà procedere alla comunicazione agli organismi sindacali.

Dovrà quindi comunicare la sua volontà di implementare i sistemi di controllo nei confronti del lavoratore oppure di averli già, ma non rientravano ancora nell’articolo 4 dello Statuto dei lavoratori (è il caso della videosorveglianza, che qualche mal di pancia alle aziende fa ancora venire…).

Significa che:

Se osserviamo la norma, questa divide l’obbligo informativo in due grandi macroaree:

1 – Prima macroarea, che riguarda:

2 – Seconda macroarea, che comprende:

Rispetto a questo c’è stata un po’ di confusione. Tutti hanno incominciato a interrogarsi, chiedendosi, per esempio, come comportarsi con il badge, il tablet e altri strumenti.

Chi già ha trattato il GDPR si renderà conto che la risposta sarà non tanto nell’applicazione pedissequa della norma, ma procedurale. Quindi spesso il sì o il no alla domanda “Come comportarsi con il badge?” deriva dalla logica e dal ragionamento.

Facciamo alcuni esempi.

Molte aziende usano piattaforme per assegnare determinati ruoli e mansioni attraverso un algoritmo. In questi casi i sindacati vanno informati. Vediamo alcuni esempi.

In Emilia-Romagna è stata emessa una sentenza che ha fatto scalpore: riguarda i riders e il metodo di assegnazione della consegna. Un metodo che è stato considerato discriminatorio dal tribunale di Bologna, perché le assegnazioni della consegna della pizza a un lavoratore piuttosto che a un altro, erano legata a una serie di elementi discriminatori, a una sorta di performance, in cui la malattia era considerata un elemento negativo.

Oggi, le aziende che decidono di assegnare alcune mansioni, ruoli o incarichi usando un algoritmo – al di là degli aspetti giuslavoristici – devono necessariamente integrare l’informativa e comunicarlo agli organismi sindacali.

 

Un’altra ipotesi è l’algoritmo usato per fare uno screening sui curriculum vita. Prendiamo Amazon, che riceve ogni giorno milioni di CV. Nell’informativa troveremo che l’azienda usa parole chiave o un software per fare uno screening.

Senza andare a guardare Amazon, pensiamo anche a realtà nazionali che utilizzano software per il riconoscimento emotivo sui test psicoattitudinali.

Anche in questi casi vanno informate le organizzazioni sindacali.

Prendiamo il caso dei flussi, in cui si utilizzano sistemi automatizzati che prendono informazioni interne – quindi l’andamento del punto vendita, quante persone entrano, qual è il tempo di permanenza – o informazioni esterne, quindi, per esempio, ingressi in base alla stagionalità, in base al giorno della settimana, al clima di quella giornata, e su questo si stabiliscono i turni e le promozioni.

Nei centri commerciali e negli enti pubblici capita spesso di trovare delle macchine con tasti verdi, rossi e gialli che ci chiedono come siamo stati serviti e sulla base di questo l’azienda o l’ente decide se dare o non dare promozioni al personale. Qui non si sto misurando tanto la prestazione, quanto la performance del lavoratore.

Il badge fine a sé stesso, invece, se non viene usato dal datore di lavoro per sanzionare e controllare, di fatto, è un sistema automatizzato, ma non ha le finalità per cui nascono gli obblighi informativi. 

Dagli esempi visti sin qui, è chiaro che non è tanto il sistema di per sé – se è automatizzato o meno – ma è la finalità con cui viene utilizzato, che ci dà il discrimine per capire se devo informare o meno il lavoratore e gli organismi sindacali.

Prendiamo l’app, che molte aziende usano per conteggiare il lavoro del personale ai fini della fatturazione. L’azienda non usa l’app per le finalità che rientrano nel decreto trasparenza, ma semplicemente per la fatturazione. In questo caso non c’è obbligo di comunicazione.

Prendiamo ora la l’azienda che per la gestione e la cessazione del rapporto di lavoro, l’assegnazione, la revoca automatizzata di mansioni, la determinazione della retribuzione usa analisi statistiche, strumentalità di analytics e machine learning, un po’ come succedeva con i riders. È chiaro che in questi casi deve sottoporre l’informazione sia al lavoratore che agli organismi sindacali.

Cosa deve fare il consulente GDPR?

Dipende da quanto l’organizzazione e il consulente sono stati compliant fino a questo momento.

Quello che bisogna fare è:

1 – Riprendere il registro dei trattamenti. E quindi verificare, rispetto alla norma, se c’è qualcosa da aggiustare, facendo attenzione al nuovo destinatario, cioè si dovranno considerare gli organismi sindacali – siano essi interni o esterni – come un nuovo attore che si inserisce nell’impianto privacy.

2 – Nell’ipotesi in cui l’azienda rientri in uno dei casi visti in questo articolo, si dovrà normalizzare anche l’aspetto della comunicazione agli organismi sindacali.

 

3 – Ovviamente va fatta l’analisi del rischio. Non dimentichiamo che se pur non sia stato  legiferato il concetto di sistema di monitoraggio automatizzato l’EDPB ha dato delle linee guida importanti per capire e gestire al meglio questi trattamenti nel documento WP251rev.01 (https://ec.europa.eu/newsroom/article29/items/612053)

4 – Una volta fatta l’analisi del rischio, qualora porti a considerare un rischio elevato, si dovrà fare la valutazione d’impatto, che è un po’ la madre dello stesso GDPR.

Quindi, di fatto, ci troviamo di fronte a un atteggiamento procedurale che chi fa privacy quotidianamente – ma anche gli HR che sono stati più o meno virtuosi – conosce già. È una situazione che non è particolarmente diversa da quella che c’era prima del 13 di agosto: è solo questione di implementare.

Poi, l’altro aspetto, su cui a volte si discute anche animatamente fra colleghi privacy, è l’attenzione alla granularità dell’informativa: non dobbiamo spaventarci da questo decreto e quindi affannarci a inserire tutta una serie di informazioni, perché il rischio di produrre un’informativa troppo dettagliata fa sì che il contraltare sia perdersi la normalizzazione di qualche procedimento.

Quindi è importante prestare attenzione all’equilibrio dell’informativa stessa.

Se come consulenti abbiamo lavorato bene e se l’azienda ha lavorato bene, non dovrebbero esserci grossi problemi. Si tratta non tanto di pulizie di primavera, ma di un rispolvero.

Diverso invece è per chi non è compliant neanche lato GDPR…

Qui porto la mia esperienza. Le aziende – comprese alcune strutturate – spesso non hanno neanche il regolamento interno, che va a normalizzare la strumentazione aziendale.

Sembra una banalità, ma se non diciamo al lavoratore come deve utilizzare le mail o come navigare su internet, che la password deve essere cambiata ciclicamente e con quali caratteristiche, è chiaro che nel processo aziendale non abbiamo normalizzato tutto quello che c’è da normalizzare.

Significa che mancano le procedure e che manca l’audit.

Mancando le figure audit, l’azienda non è compliant Quindi, se ho il dubbio che un lavoratore sia infedele – e quindi devo andare a “controllare”, utilizzando la finalità della tutela del patrimonio aziendale, quello che succede – è chiaro che:

1 – le informazioni che raccolgo non posso utilizzarle;

2 – ho un’azienda che non è efficiente.

Anche questa occasione ci serve per capire che va messo a terra quello che dovrebbe accadere ogni giorno in azienda:

1) fare procedure;

2) normalizzare con regolamenti;

3) controllare attraverso audit.

Perché il decreto trasparenza è sulla stessa scia del GDPR: procedure, regolamenti, audit.

Attenzione ai dispositivi digitali

Fonte: PrivacyLab