Decreto trasparenza e gestione privacy

Il decreto trasparenza è il decreto legislativo n. 104 del 27/06/2022, entrato in vigore il 13 agosto 2022. Ha recepito la direttiva UE n. 2019/1152 in materia di condizioni di lavoro trasparenti e prevedibili nell’Unione Europea, il che sembra avere poco a che fare con la gestione della privacy in azienda. Ma un articolo specifico, l’1-bis, richiede attenzione da parte dei titolari del trattamento e dei DPO.

Che cos’è il decreto trasparenza

Il decreto 104/2022:

ha apportato modifiche al decreto legislativo 152/1997 (“Attuazione della direttiva 91/533/CEE concernente l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro”);
ha introdotto obblighi informativi più specifici a carico del datore di lavoro(o del committente) in fase di assunzione e nuove prescrizioni minime a tutela dei lavoratori;
riguarda tutte le tipologie di rapporto di lavoro, sia nel pubblico sia nel settore privato, con poche esclusioni (che qui non ci interessa approfondire);
ha introdotto diverse novità, come la durata del periodo di prova, le condizioni di ammissibilità della clausola di esclusiva e i dettagli informativi da comunicare al lavoratore in fase di assunzione.

Il decreto trasparenza ha introdotto obblighi informativi più specifici a carico del datore di lavoro (o del committente) al momento dell’assunzione.

Gli effetti sulla privacy

Il decreto trasparenza ha aggiunto al decreto legislativo 152/997 l’art. 1-bis: “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”. Ed è proprio questo articolo che chiama in causa la gestione dei dati personali.

L’art.1-bis stabilisce obblighi specifici in caso di utilizzo di “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Gli obblighi sono tre:

informativa al lavoratore con i contenuti previsti dal decreto;
verifica di conformità al GDPR mediante esecuzione di un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti;
consultazione preventiva del Garante per la protezione dei dati personali nel caso in cui il trattamento presenti un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

I trattamenti automatizzati dei dati nella gestione del rapporto di lavoro richiedono l'esecuzione di un’analisi dei rischi e una valutazione d’impatto.

La circolare ministeriale per individuare i sistemi automatizzati

In termini operativi la questione è semplice: se in azienda vengono utilizzati sistemi decisionali o di monitoraggio automatizzati per la definizione e la gestione del rapporto di lavoro, bisogna adempiere ai nuovi obblighi, altrimenti no.

Diverso è invece individuare i sistemi automatizzati il cui utilizzo fa ricadere nell’ambito di applicazione della nuova normativa.

In aiuto ai titolari del trattamento è intervento il Ministero del lavoro e delle politiche sociali con propria Circolare n. 19 del 20 settembre 2022. Il Ministero ha chiarito che i nuovi obblighi normativa si applicano quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, sono interamente rimessi all’attività decisionale di sistemi automatizzati e riporta un elenco di dettaglio (non esaustivo).

Assunzione o conferimento dell’incarico

Utilizzo di chatbots durante il colloquio;
profilazione automatizzata dei candidati;
screening dei curricula;
utilizzo di software per il riconoscimento emotivo;
test psicoattitudinali;
etc.

I chatbot sono sistemi automatizzati che, se usati in fase di assunzione, comportano l'applicazione degli obblighi del decreto trasparenza.

Gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc.

Analisi statistiche;
strumenti di data analytics o machine learning;
rete neurali;
deep-learning;
etc.

Di conseguenza, gli obblighi non si applicano, per esempio, nel caso “di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale”.

Indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori

Tablet;
dispositivi digitali e wearables;
gps e geolocalizzatori;
sistemi per il riconoscimento facciale;
sistemi di rating e ranking;
etc.

La profilazione automatizzata dei candidati fa ricadere nell'applicazione del decreto trasparenza.

Che cosa bisogna fare?

Il titolare del trattamento deve valutare l’applicabilità dei nuovi obblighi al proprio contesto aziendale e mettere in atto le misure necessarie per la loro gestione.

Nei casi in cui è prevista per legge la figura del Data Protection Officer (DPO) oppure nel caso in cui il titolare del trattamento avesse deciso di nominarlo, è il caso che si consulti con lui. Il DPO dovrebbe essersi per altro attivato per valutare l’impatto della nuova normativa, a prescindere dalla richiesta di intervento del titolare.

In alternativa è possibile chiedere supporto a un consulente, per procedere a verificare se i sistemi utilizzati in azienda possano farla ricadere nell’ambito di applicazione dell’art.1-bis del decreto trasparenza.