Il ”nuovo” obbligo di informativa e l’art. 13 GDPR. Analisi rischi, Dpia, formazione agli incaricati al trattamento

Il Decreto Trasparenza in vigore dallo scorso 13 agosto, è intervenuto a disciplinare il diritto all’informazione sugli elementi essenziali del rapporto di lavoro, sulle condizioni di lavoro e la relativa tutela, ricavandosi a pieno titolo il suo spazio tra le norme disciplinanti la materia del trattamento dei dati personali.

La norma in commento, da un lato, introduce nuovi, inediti obblighi per i datori di lavoro (nella loro qualità di Titolari del trattamento) nei confronti dei loro dipendenti o assimilati e dall’altro alza notevolmente il livello di dettaglio delle informazioni sul trattamento dei dati che questi ultimi devono ricevere all’atto di instaurazione del rapporto di lavoro e per tutta la sua durata.

Il decreto trasparenza si applica al lavoro pubblico e privato, unica eccezione per i rapporti di lavoro non a tempo pieno e per quelli autonomi (inclusi i rapporti di agenzia e rappresentanza) (cfr. art. 1 Decreto legislativo del 27/06/2022 – N. 104).

Il “nuovo” obbligo di informativa e l’art. 13 GDPR

La prima innovazione introdotta dalla norma è relativa agli obblighi di informazione gravanti sul Titolare in relazione all’ “utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori” .

/L’art. 13 del REG. EU 679/2016 in realtà al comma 2 lett. f) obbliga già  il Titolare a fornire all’interessato informazioni circa “l’esistenza di un processo decisionale automatizzato, compresa la profilazione “ per cui questa informazione dovrebbe già essere presente in tutte le informative sul trattamento dei dati predisposte ai sensi dell’art. 13 gdpr, anche in quelle destinate ai dipendenti.

La novità, invece, riguarda l’obbligo per il datore di lavoro di informare il lavoratore durante tutto il rapporto sull’adozione di sistemi di monitoraggio automatizzati.

Si pensi all’adozione di un sistema elettronico di rilevamento presenze (che eventualmente si interfacci con un gestionale a cui possa accedere anche l’ufficio risorse umane) anche qualora preveda l’avvio di attività lavorative da remoto o presso una sede diversa da quella aziendale; di videosorveglianza dei luoghi in cui opera il lavoratore; di rilevamento della posizione del lavoratore attraverso il compimento di una determinata azione (carico o scarico pacchi; ritiro raccolta differenziata) attraverso un palmare, bracciale elettronico o altro dispositivo indossabile; di monitoraggio dell’attività lavorativa in smartworking; di gestione della posta elettronica o delle videoconferenze (qualora si utilizzino sistemi aziendali).

Questi sono solo alcuni tra i casi più frequenti di utilizzo di sistemi decisionali o di monitoraggio automatizzati, la cui finalità quella di agevolare i processi produttivi, tutelare la salute dei lavoratori, consentire lo svolgimento di attività da remoto.

Il datore di lavoro dell’azienda in cui si utilizzano tali sistemi è tenuto quindi ha dare ai propri dipendenti le seguenti informazioni:

a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi di cui al comma 1. (ad es. l’utilizzo di un sistema informatizzato di rilevazione presenze andrà ad incidere sulla durata del rapporto di lavoro);

b) gli scopi e le finalità dei sistemi : andrà indicato il motivo della scelta del sistema di monitoraggio automatizzati in uso;

c) la logica ed il funzionamento dei sistemi : Occorrerà dettagliare quindi come questi sistemi agiscono e qual è il criterio scelto per il loro funzionamento;

d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni: (ad es. nel caso di un sistema decisionale che assegni dei premi sulla base del gradimento dei dipendenti da parte degli utenti di un servizio);

e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità: informazioni sui meccanismi correttivi adottati a cominciare dall’indicazione del responsabile del sistema di gestione;

f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi

È evidente che la norma in commento costringerà ad una sinergia ancora più stretta tra i Referenti privacy dell’Ufficio HR, l’Amministratore di sistema, le ditte fornitrici dei gestionali o degli apparecchi wearable (da nominare Responsabili del trattamento ai sensi dell’art. del GDPR) oltre che del DPO se nominato e delle diverse figure privacy coinvolte per ottenere una informativa sul trattamento dei dati per i dipendenti che contenga tutte le informazioni elencate sopra.

L’art 4 c. 2 lett. b) n. 4 stabilisce, poi che “Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio”.

Completano un quadro di informazioni estremamente puntuale la necessità, stabilita al comma 5 dell’art. 1 bis di informare “I lavoratori, almeno 24 ore prima, (…) per iscritto di ogni modifica incidente sulle informazioni fornite ai sensi del comma 2 che comportino variazioni delle condizioni di svolgimento del lavoro”, in piena applicazione del principio di privacy by design.

È evidente che un tale livello di specificità verosimilmente indurrà i Dpo a farsi parte diligente nel porre in essere ogni più opportuna azione per informare e/o sollecitare il Titolare non tanto ad aggiornare il registro delle attività di trattamento che già dovrebbe contenere tutti i trattamenti effettuati mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati, quanto a completare l’informativa con le informazioni mancanti, bilanciando con l’esigenza ancor più pressante di non rendere pubbliche informazioni che possano mettere in pericolo la sicurezza dei sistemi. Il tutto rispettando la tempistica indicata dalla norma, specialmente in caso di modifiche che comportino variazioni delle condizioni di svolgimento del lavoro.

Analisi rischi, Dpia, formazione agli incaricati al trattamento

Il comma 4 dell’art. 1 ,stabilisce che “Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo”.

Il compito di procedere all’analisi dei rischi risulterà agevolato, se l’attenzione di tutte le figure aziendali che a vario titolo si occupano di privacy si è già rivolta alle informazioni da fornire al lavoratore, inducendo costoro ad una attenta riflessione sui rischi ai quali sono, per loro natura, esposte.

Per quanto concerne la valutazione di impatto, disciplinata dall’art. 35, l’inclusione di tali nuove tipizzazioni, di fatto amplia il novero di quelle indicate nel provvedimento del Garante prevedendo nuove casistiche rinvenibili genericamente, nel ricorso a sistemi di sistemi decisionali o di monitoraggio a partire dall’atto di instaurazione del rapporto di lavoro e per tutta la sua durata

Da ultimo, sarebbe auspicabile che il Titolare del trattamento, di concerto con il Dpo, curi l’aggiornamento delle istruzioni sul trattamento degli autorizzati e la formazione mirata sulle misure specifiche da porre in atto come emerso degli esiti dell’analisi dei rischi effettuata.

Sanzioni

Il nuovo decreto stabilisce una sanzione amministrativa pecuniaria da 100 a/ 750 euro “per ciascun mese di riferimento”, soggetta a diffida ex art. 13 D.Lgs. n. 124/2004. La sanzione va quindi applicata per ciascun mese in cui il lavoratore svolga la propria attività in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente. Trattasi poi di una sanzione “per fasce” cosicché, ferma restando la sua applicazione per ciascun mese di riferimento, se la violazione si riferisce a più di cinque lavoratori la sanzione amministrativa è da 400 a 1.500 euro. Se invece la violazione si riferisce a più di dieci lavoratori, la sanzione va da 1.000 a 5.000 euro e non è ammesso il pagamento in misura ridotta e pertanto neanche la procedura di diffida ex art. 13 del D.Lgs. n. 124/2004.

Da ultimo, se la comunicazione delle medesime informazioni e dati non viene effettuata anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, trova applicazione una sanzione amministrativa pecuniaria, anch’essa diffidabile, da 400 a 1.500 euro per ciascun mese in cui si verifica l’omissione.

Concludendo quindi la norma in commento introduce nuovi stringenti obblighi per i datori nella loro qualità di Titolari del trattamento a tutto beneficio della trasparenza del rapporto di lavoro. I dipendenti saranno così portati a conoscenza dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati ai quali sono sottoposti e il Titolare avrà ottenuto una migliore consapevolezza dei rischi relativi ai trattamenti esaminati.