Il decreto legislativo n. 104/2022 – che ha recepito in Italia la direttiva 2019/1152 in tema di obblighi informativi nei riguardi del lavoratore – ha introdotto una disposizione di nuovo conio (art. 1-bis) non prevista dalla direttiva europea e che obbliga il datore di lavoro italiano a rilasciare al proprio lavoratore tempestive informazioni sui sistemi decisionali e di monitoraggio automatizzati che eventualmente intenda installare.
Questi nuovi obblighi interagiscono in via complementare con talune prescrizioni del GDPR, in particolare con l’art. 22 sui processi decisionali automatizzati, inclusa la profilazione. Vediamone le implicazioni.
La precedente puntata è stata pubblicata con l’Editoriale dell’8/9/2022.
Sintesi
[Clicca sull’infografica per ingrandirla]
Trasparenza
Una volta chiarito l’ambito applicativo del nuovo articolo 1-bis del Dlgs. 152/1997, il principale obbligo cui occorre ottemperare è quello di fornire al lavoratore le informazioni ivi tassativamente elencate, da comunicare «prima dell’inizio dell’attività lavorativa» (art. 1-bis, comma 2).
Il contenuto dell’informazione da fornire è molto ampio e non sempre di facile comprensione. Da un lato, talune informazioni non appaiono presentare particolari difficoltà di rilevazione: quelle relative agli aspetti del rapporto di lavoro sui quali incidono i sistemi, le finalità degli stessi, la logica sottostante, il funzionamento e le categorie di dati coinvolte; esse riprendono, in sostanza, gli obblighi informativi del GDPR per i processi decisionali automatizzati inclusa la profilazione.
Dall’altro lato, ben maggiore è il livello di complessità circa le informazioni da fornire riguardo ai «parametri principali utilizzati per programmare o addestrare i sistemi», che includono «i meccanismi di valutazione delle prestazioni»; «le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione»; «il livello di accuratezza, robustezza e cybersicurezza dei sistemi» e «le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse» (art. 1-bis, comma 2, Dlgs. n. 152/1997).
Integrare l’informativa
Di non agevole interpretazione è anche il primo periodo del comma 4 dell’articolo 1-bis, secondo il quale «[i]l datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio».
Riguardo alla locuzione «integrare l’informativa con le istruzioni al lavoratore in merito alla sicurezza dei dati» è da escludere che essa possa essere letta come integrazione del contenuto dei distinti obblighi del GDPR dell’informativa (artt. 13 e 14) e delle istruzioni agli autorizzati al trattamento (artt. 29 e 32.4 del GDPR). Il GDPR è norma di rango primario rispetto alla legge nazionale la quale, pertanto, non può modificare o integrare il regolamento europeo.
L’informativa introdotta dal decreto trasparenza è obbligo distinto rispetto a quello prescritto dagli articoli 13 e 14 del GDPR: risultano differenti le fonti normative (Dlgs. n. 152/1997 e GDPR), i soggetti obbligati (datore di lavoro e titolare del trattamento), il contenuto da comunicare, le modalità di comunicazione (il GDPR ammette l’informazione orale su richiesta), la tempistica, le ipotesi in deroga, le sanzioni in caso di violazioni. La seconda parte del periodo richiamato, che fa riferimento al registro dei trattamenti, invece, dovrebbe riferirsi a quanto dettato dall’articolo 30 del GDPR e prevede (senza un reale contenuto innovativo) che esso debba censire anche i trattamenti riguardanti le attività su cui insistono i sistemi decisionali e di monitoraggio automatizzati nonché «le attività di sorveglianza e monitoraggio». Difficile comprendere la reale portata di questa disposizione.
Modalità di comunicazione
Le informazioni dovute – sia quelle relative al rapporto di lavoro (art. 1, Dlgs. 152/1997) sia quelle sui sistemi decisionali e di monitoraggio (art. 1-bis) – devono essere comunicate dal datore di lavoro a ciascun lavoratore in modo chiaro e trasparente, in formato cartaceo o elettronico. Pertanto, viene richiesta
-
- un’informativa individuale (escludendosi, ad esempio, informative collettive pubblicate sulla intranet o in bacheca; al riguardo, la circolare INL 4/2022 richiama come esempi ammessi «e-mail personale comunicata dal lavoratore, e-mail aziendale messa a disposizione dal datore di lavoratore, messa a disposizione sulla rete intranet aziendale dei relativi documenti tramite consegna di password personale al lavoratore») e
- per iscritto (non essendo ammissibile la modalità orale), è ammissibile la modalità informatica;
Il datore deve essere in grado di provare la trasmissione o ricezione dell’informativa e conservare tale prova documentale «per la durata di cinque anni dalla conclusione del rapporto di lavoro» (art. 3, Dlgs. 104/2022).
Formato dei dati
Le informazioni da fornire ai lavoratori, riguardanti i sistemi decisionali e di monitoraggio, devono essere comunicati «in formato strutturato, di uso comune e leggibile da dispositivo automatico» sia al lavoratore sia «alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale» (art. 1-bis, comma 6, Dlgs. n. 152/1997).
Continua…