E tu, sei trasparente? Il Decreto Trasparenza
Le novità del decreto trasparenza
Il d.lgs n. 104 del 27/06/2022 (cd. decreto trasparenza) in vigore dallo scorso 13 agosto, è intervenuto a disciplinare il diritto all’informazione sugli elementi essenziali del rapporto di lavoro, sulle condizioni di lavoro e la relativa tutela, inserendosi al contempo tra le norme disciplinanti la materia del trattamento dei dati personali.
Ecco le novità del decreto trasparenza
La prima novità introdotta dalla norma è relativa agli obblighi di informazione in capo al Titolare in relazione all’“utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori” (art. 1 bis del Decreto legislativo del 26/05/1997 – N. 152, introdotto dall’art. 4 del decreto trasparenza).
A ben vedere, tale adempimento era in effetti già richiesto dall’art. 13 del GDPR, che obbliga il titolare a fornire all’interessato informazioni circa l’esistenza di un processo automatizzato e, in alcuni casi, indicazioni sulla logica utilizzata insieme al grado di importanza e alle conseguenze previste per l’interessato.
La novità, invece, riguarda l’obbligo per il datore di lavoro di informare il lavoratore durante tutto il rapporto sull’adozione di sistemi decisionali o di monitoraggio automatizzati, sugli aspetti del lavoro su cui incide l’utilizzo di tali sistemi e ancora su scopi e finalità, logica di funzionamento, categorie di dati e parametri utilizzati, misure di controllo, livelli di accuratezza e cybersicurezza.
Facciamo alcuni esempi
Si pensi all’adozione di sistemi al fine di agevolare processi produttivi, tutelare la salute dei lavoratori, consentire lo svolgimento di attività da remoto.
Fra le casistiche più ricorrenti, ad esempio, un sistema di videosorveglianza dei luoghi in cui opera il lavoratore; di rilevamento della posizione del lavoratore attraverso il compimento di una determinata azione attraverso un palmare, bracciale elettronico o altro dispositivo indossabile; di monitoraggio dell’attività lavorativa in smartworking; o ancora la verifica e l’eventuale blocco alla navigazione effettuata dai moderni firewall e sistemi di sicurezza con notifiche agli amministratori di sistema.
Quando fornire l’informativa al lavoratore: tempi e modalità
L’informativa in esame, insieme agli altri documenti inerenti il rapporto di lavoro, deve essere fornita al lavoratore nei tempi definiti dal decreto trasparenza in armonia con le disposizioni del GDPR.
La consegna deve essere provata e anche se il legislatore non pone vincoli sulle modalità, sono previste sanzioni nel caso in cui di ciò non fosse possibile fornire evidenze, anche eventualmente digitali.
È altresì normata la conservazione delle informazioni – compresa l’evidenza della loro trasmissione e ricezione – per cinque anni dopo la conclusione del rapporto di lavoro, unitamente ad un modello organizzativo che garantisca tale modalità e permetta ai lavoratori l’accesso a tali informazioni, così come, qualora richiesto, al Ministero del Lavoro e delle politiche sociali e all’Ispettorato del Lavoro.
A completamento di un quadro di informazioni estremamente puntuale, da non dimenticare la necessità, stabilita al comma 5 dell’art. 1 bis introdotto dall’art. 4 del decreto trasparenza, di dare notizia per iscritto ai lavoratori, almeno 24 ore prima, di ogni modifica incidente sulle informazioni fornite ai sensi del comma 2 del medesimo articolo 1 bis che comportino variazioni delle condizioni di svolgimento del lavoro, e ciò in piena applicazione del principio di privacy by design.
Rappresentanze sindacali aziendali o territoriali
Ulteriore aspetto da considerare resta la necessità di effettuare la comunicazione delle informazioni e dei dati relativi all’utilizzo di sistemi decisionali e di monitoraggio alle rappresentanze sindacali aziendali o territoriali, alle quali, tuttavia, non è riconosciuto alcun potere decisionale nel merito, prevedendo unicamente il decreto la necessità che vengano messe al corrente del loro impiego.
Aggiornamento del Registro dei trattamenti
Il Decreto ribadisce poi, come logica conseguenza delle prescrizioni informative, la necessità dell’aggiornamento del registro delle attività di trattamento (GDPR, art. 30), che dovranno includere anche le attività di sorveglianza e monitoraggio, la richiesta di compiere le opportune analisi dei rischi (GDPR, considerando 49, 83 e art. 32) e le valutazioni di impatto sulla protezione dei dati trattati (GDPR, art. 35).
Nomina degli incaricati e formazione
Anche se non espressamente previsto dal decreto, infine, dovranno essere apportate le necessarie integrazioni delle nomine come incaricato e delle istruzioni degli autorizzati ai trattamenti dei dati, nonché curata la loro formazione anche in conseguenza di quanto dovesse emergere dall’analisi dei rischi.
Per chi è già conforme al Regolamento europeo e ha PRIVACYLAB GDPR, lo sforzo sarà minimo
In conclusione, alla luce di quanto sopra osservato, pare evidente come le realtà più virtuose e attente sotto il profilo della compliance GDPR si troveranno a compiere uno sforzo minimo o addirittura nullo per conformarsi con l’aggiornamento documentale richiesto dal nuovo art. 1 bis D. Lgs. 152/1997.
Dovrà semplicemente essere verificato che, nel caso in cui fossero presenti sistemi decisionali automatizzati, siano stati considerati nell’informativa, nel registro dei trattamenti e sia stata eseguita l’analisi dei rischi, sia stata predisposta una valutazione di impatto con esito favorevole e ne sia stata data notizia alle rappresentanze sindacali.
Esistono sistemi – come il tool di PrivacyLab, ormai in via di definizione – pensati principalmente a sostegno degli HR ma anche per chiunque desideri conformarsi in modo semplice e sicuro ai novellati obblighi informativi al personale subordinato e parasubordinato, pubblico e privato.
Anche attraverso percorsi guidati volti alla gestione di flussi mirati, efficaci ed efficienti di informazioni e dati, compresa un’attenta analisi dei rischi e la conseguente valutazione di impatto, completata dalla generazione di informative, comunicazioni, nomine ed evidenze a riprova della vostra accountability, con il tool di PrivacyLab la compliance non sarà più un problema.