Sistemi di decisione e monitoraggio automatizzato nei rapporti di lavoro
Nuovi adempimenti introdotti dal Decreto Trasparenza che impattano sulla compliance al GDPR
Il 13 agosto scorso è entrato in vigore il Decreto legislativo 27 giugno 2022 n. 104 che recepisce la direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea (per brevità anche Decreto trasparenza). Dopo più di 3 mesi sussistono ancora dubbi interpretativi sull’applicazione delle prescrizioni, nonostante i tentativi di chiarimenti dell’INL (Ispettorato Nazionale del Lavoro) con la circolare 4/2022 del 10/08/2022 e quelli del Ministero del Lavoro e delle Politiche Sociali (per brevità anche Ministero del lavoro), con la circolare n. 19 del 20 settembre 2022.
Visto che le novità introdotte dal Decreto trasparenza concernenti l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro prevedono diversi obblighi informativi, in questo articolo analizziamo le ricadute sulla conformità della Data protection – GDPR e come ottemperare alle nuove prescrizioni.
Cosa sono i sistemi decisionali o di monitoraggio automatizzati?
L’art. 1-bis al D.lgs. 152/1997, inserito dall’art. 4 lett. b) del Decreto trasparenza, prevede ulteriori obblighi informativi, nel caso che il datore di lavoro o committente (di seguito per brevità anche solo datore di lavoro) utilizzi sistemi decisionali o di monitoraggio automatizzati.
In particolare, il comma 1 prevede che:
«Il datore di lavoro o il committente pubblico e privato è tenuto ad informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300».
Il primo quesito da risolvere consiste nel capire quando un trattamento rientri in un processo di monitoraggio automatizzato o in un sistema decisionale.
La Commissione europea – nel pubblicare la proposta di direttiva del Parlamento europeo e del Consiglio relativa al miglioramento delle condizioni dei lavoratori mediante piattaforme digitali – stima in oltre 28 milioni le persone nell’UE che già lavorano attraverso piattaforme di lavoro digitali e nel 2025 il numero dovrebbe raggiungere i 43 milioni.
Risulta evidente che il fenomeno meriti attenzione e secondo stime della Commissione fino a 5,5 milioni di lavoratori potrebbero essere a rischio di errata classificazione occupazionale e di conseguenza scarsamente tutelati. Il Legislatore europeo, per questo motivo, ha ritenuto necessario disciplinare l’utilizzo dei sistemi decisionali o di monitoraggio automatizzato, iniziando a garantire la trasparenza.
Per approfondimenti su esempi di sistemi decisionali o di monitoraggio automatizzati leggi l’articolo di approfondimento nell’area riservata
A quali trattamenti si applica?
Non è ovviamente possibile riportare una lista completa ed esaustiva dei trattamenti che possono essere oggetto delle misure definite; tra questi sono ricompresi i trattamenti che sono posti in essere attraverso sistemi:
- di accessi fisico alle aree aziendali, mediante dispositivi come le chiavi elettroniche;
- di rilevamento presenze in azienda che rendono obsoleta la timbratura;
- di avvio di attività lavorative da remoto o presso una sede diversa da quella aziendale (es. cantiere);
- che utilizzano il GPS (es. in dotazione ad un vigilante per verificare che lo stesso non sia stato aggredito da un malintenzionato);
- di videosorveglianza dei luoghi in cui opera il lavoratore (es. in una centrale di conta denaro);
- premianti basati su algoritmi o “anche” su algoritmi;
- a bordo di dispositivi indossabili – applicazioni di tecnologia wearable – (es. bracciale elettronico, palmare, occhiali) che prevedono la comunicazione da/verso altri sistemi anche attraverso triangolazioni di dati;
- uomo presente/uomo a terra/uomo fermo (che fanno scattare un allarme se lavoratore resta fermo per un determinato tempo);
- di gradimento dei dipendenti da parte degli utenti di un servizio (es. in un centro commerciale, aeroporto, uffici della P.A.);
- di monitoraggio del traffico sul cellulare aziendale (es. per finalità controllo del traffico telefonico allo scopo di valutare situazioni anomale che possono compromettere i sistemi aziendali;
- di accesso fisico per la rilevazione della presenza di collaboratori in aree precluse o che prevedono un’autorizzazione preventiva non richiesta o non fornita;
- di accesso logico e di rilevazione dei log dei collaboratori per segnalare comportamenti anomali (prima in forma anonima e poi – nei casi più impattanti – con riferimenti specifici personale);
- software per la tenuta sotto controllo dei sistemi di gestione (compresi quelli di whistleblowing);
- di gestione della posta elettronica (e-mail);
- di videoconferenza;
- di assistenza da remoto e/o gestione dei ticket;
- con specifiche applicazioni software (es. utilizzati nei centri di contatto);
- di MDM, Mobile device management;
- di MES – Monitoring Execution System (prevalenti applicazioni nell’ambito di industria 4.0).
In molti casi, tali sistemi sono preordinati alla tutela della salute e sicurezza dei lavoratori o alla tutela dei dati sia dei lavoratori che di altri interessati (come, ad esempio, quello per la segnalazione di comportamenti anomali) e non ad effettuare il controllo (peraltro vietato) delle attività del lavoratore. Ciononostante, la norma prevede che siano date informazioni su quei sistemi indipendentemente dalla finalità principale di loro utilizzo.
Cosa può fare SOLUZIONI
Abbiamo premesso che non sono bastate le due circolari dell’INL e del Ministero del lavoro per chiarire in modo soddisfacente le tipologie di sistemi a cui la norma si riferisce, e si auspica che il legislatore possa chiarire quanto prima le diverse incertezze.
Implementare un modello organizzativo “data potection” implica una trasformazione culturale dell’imprenditore, attraverso cui il dato personale deve essere posto al centro dell’attenzione, insieme a tutti quegli aspetti che determinano il successo o, purtroppo causano l’insuccesso dell’impresa. Solo un approccio integrato e multidisciplinare, garantito dai consulenti che costituiscono il team di intervento, permette di raggiungere il rispetto dei principi fondamentali del GDPR e le prescrizioni del decreto trasparenza, così da garantire all’azienda un’implementazione proficua e lecita delle nuove tecnologie.
Nell’area riservata è disponibile un articolo di approfondimento in cui si illustrano gli adempimenti richiesti per i sistemi decisionali o di monitoraggio automatizzati, nonché ulteriori adempimenti specifici del GDPR.