I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Trasparenza dati dei lavoratori – 2

Il decreto legislativo n. 104/2022 – che ha recepito in Italia la direttiva 2019/1152 in tema di obblighi informativi nei riguardi del lavoratore – ha introdotto una disposizione di nuovo conio (art. 1-bis) non prevista dalla direttiva europea e che obbliga il datore di lavoro italiano a rilasciare al proprio lavoratore tempestive informazioni sui sistemi decisionali e di monitoraggio automatizzati che eventualmente intenda installare. 

Questi nuovi obblighi interagiscono in via complementare con talune prescrizioni del GDPR, in particolare con l’art. 22 sui processi decisionali automatizzati, inclusa la profilazione. Vediamone le implicazioni. 

La precedente puntata è stata pubblicata con l’Editoriale dell’8/9/2022.

Sintesi

Decreto_trasparenza_novità
Flusso di sintesi degli obblighi informativi dettati dal Decreto Trasparenza.

[Clicca sull’infografica per ingrandirla]

Trasparenza

Una volta chiarito l’ambito applicativo del nuovo articolo 1-bis del Dlgs. 152/1997, il principale obbligo cui occorre ottemperare è quello di fornire al lavoratore le informazioni ivi tassativamente elencate, da comunicare «prima dell’inizio dell’attività lavorativa» (art. 1-bis, comma 2). 

Il contenuto dell’informazione da fornire è molto ampio e non sempre di facile comprensione. Da un lato, talune informazioni non appaiono presentare particolari difficoltà di rilevazione: quelle relative agli aspetti del rapporto di lavoro sui quali incidono i sistemi, le finalità degli stessi, la logica sottostante, il funzionamento e le categorie di dati coinvolte; esse riprendono, in sostanza, gli obblighi informativi del GDPR per i processi decisionali automatizzati inclusa la profilazione.  

Dall’altro lato, ben maggiore è il livello di complessità circa le informazioni da fornire riguardo ai «parametri principali utilizzati per programmare o addestrare i sistemi», che includono «i meccanismi di valutazione delle prestazioni»; «le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione»; «il livello di accuratezza, robustezza e cybersicurezza dei sistemi» e «le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse» (art. 1-bis, comma 2, Dlgs. n. 152/1997).

 

Integrare l’informativa

Di non agevole interpretazione è anche il primo periodo del comma 4 dell’articolo 1-bis, secondo il quale «[i]l datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio».  

Riguardo alla locuzione «integrare l’informativa con le istruzioni al lavoratore in merito alla sicurezza dei dati» è da escludere che essa possa essere letta come integrazione del contenuto dei distinti obblighi del GDPR dell’informativa (artt. 13 e 14) e delle istruzioni agli autorizzati al trattamento (artt. 29 e 32.4 del GDPR). Il GDPR è norma di rango primario rispetto alla legge nazionale la quale, pertanto, non può modificare o integrare il regolamento europeo. 

L’informativa introdotta dal decreto trasparenza è obbligo distinto rispetto a quello prescritto dagli articoli 13 e 14 del GDPR: risultano differenti le fonti normative (Dlgs. n. 152/1997 e GDPR), i soggetti obbligati (datore di lavoro e titolare del trattamento), il contenuto da comunicare, le modalità di comunicazione (il GDPR ammette l’informazione orale su richiesta), la tempistica, le ipotesi in deroga, le sanzioni in caso di violazioni. La seconda parte del periodo richiamato, che fa riferimento al registro dei trattamenti, invece, dovrebbe riferirsi a quanto dettato dall’articolo 30 del GDPR e prevede (senza un reale contenuto innovativo) che esso debba censire anche i trattamenti riguardanti le attività su cui insistono i sistemi decisionali e di monitoraggio automatizzati nonché «le attività di sorveglianza e monitoraggio». Difficile comprendere la reale portata di questa disposizione.

 

Modalità di comunicazione

Le informazioni dovute – sia quelle relative al rapporto di lavoro (art. 1, Dlgs. 152/1997) sia quelle sui sistemi decisionali e di monitoraggio (art. 1-bis) – devono essere comunicate dal datore di lavoro a ciascun lavoratore in modo chiaro e trasparente, in formato cartaceo o elettronico. Pertanto, viene richiesta  

    • un’informativa individuale (escludendosi, ad esempio, informative collettive pubblicate sulla intranet o in bacheca; al riguardo, la circolare INL 4/2022 richiama come esempi ammessi «e-mail personale comunicata dal lavoratore, e-mail aziendale messa a disposizione dal datore di lavoratore, messa a disposizione sulla rete intranet aziendale dei relativi documenti tramite consegna di password personale al lavoratore») e  
    • per iscritto (non essendo ammissibile la modalità orale), è ammissibile la modalità informatica;

Il datore deve essere in grado di provare la trasmissione o ricezione dell’informativa e conservare tale prova documentale «per la durata di cinque anni dalla conclusione del rapporto di lavoro» (art. 3, Dlgs. 104/2022).

Formato dei dati

Le informazioni da fornire ai lavoratori, riguardanti i sistemi decisionali e di monitoraggio, devono essere comunicati «in formato strutturato, di uso comune e leggibile da dispositivo automatico» sia al lavoratore sia «alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale» (art. 1-bis, comma 6, Dlgs. n. 152/1997).

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form