Sistemi di decisione e monitoraggio automatizzato nei rapporti di lavoro

Nuovi adempimenti introdotti dal Decreto Trasparenza che impattano sulla compliance al GDPR

Il 13 agosto scorso è entrato in vigore il Decreto legislativo 27 giugno 2022 n. 104 che recepisce la direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea (per brevità anche Decreto trasparenza). Dopo più di 3 mesi sussistono ancora dubbi interpretativi sull’applicazione delle prescrizioni, nonostante i tentativi di chiarimenti dell’INL (Ispettorato Nazionale del Lavoro) con la circolare 4/2022 del 10/08/2022 e quelli del Ministero del Lavoro e delle Politiche Sociali (per brevità anche Ministero del lavoro), con la circolare n. 19 del 20 settembre 2022.

La ratio della riforma, come riportato nella circolare del Ministero del lavoro, consiste nell’ampliare e rafforzare gli obblighi informativi, attraverso una comunicazione chiara e trasparente delle condizioni applicabili al contratto e delle informazioni sul rapporto di lavoro, in modo tale che il lavoratore, sulla base delle nuove informazioni acquisite, possa esercitare con più efficacia i propri diritti.

Visto che le novità introdotte dal Decreto trasparenza concernenti l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro prevedono diversi obblighi informativi, in questo articolo analizziamo le ricadute sulla conformità della Data protection – GDPR e come ottemperare alle nuove prescrizioni.

Cosa sono i sistemi decisionali o di monitoraggio automatizzati?

L’art. 1-bis al D.lgs. 152/1997, inserito dall’art. 4 lett. b) del Decreto trasparenza, prevede ulteriori obblighi informativi, nel caso che il datore di lavoro o committente (di seguito per brevità anche solo datore di lavoro) utilizzi sistemi decisionali o di monitoraggio automatizzati.

In particolare, il comma 1 prevede che:
«Il datore di lavoro o il committente pubblico e privato è tenuto ad informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300».

Il primo quesito da risolvere consiste nel capire quando un trattamento rientri in un processo di monitoraggio automatizzato o in un sistema decisionale.

Secondo la circolare del Ministero del Lavoro, il monitoraggio automatizzato è composto da un insieme di strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi – effettuata tramite algoritmo, intelligenza artificiale e quant’altro – sono in grado di generare decisioni automatizzate.

La Commissione europea – nel pubblicare la proposta di direttiva del Parlamento europeo e del Consiglio relativa al miglioramento delle condizioni dei lavoratori mediante piattaforme digitali – stima in oltre 28 milioni le persone nell’UE che già lavorano attraverso piattaforme di lavoro digitali e nel 2025 il numero dovrebbe raggiungere i 43 milioni.

Risulta evidente che il fenomeno meriti attenzione e secondo stime della Commissione fino a 5,5 milioni di lavoratori potrebbero essere a rischio di errata classificazione occupazionale e di conseguenza scarsamente tutelati. Il Legislatore europeo, per questo motivo, ha ritenuto necessario disciplinare l’utilizzo dei sistemi decisionali o di monitoraggio automatizzato, iniziando a garantire la trasparenza.

Per approfondimenti su esempi di sistemi decisionali o di monitoraggio automatizzati leggi l’articolo di approfondimento nell’area riservata

Registrati ora!
REGISTRAZIONE

Vuoi saperne di più?

Sono disponibili dei contenuti aggiuntivi nella nostra area riservata

A quali trattamenti si applica?

Non è ovviamente possibile riportare una lista completa ed esaustiva dei trattamenti che possono essere oggetto delle misure definite; tra questi sono ricompresi i trattamenti che sono posti in essere attraverso sistemi:

  • di accessi fisico alle aree aziendali, mediante dispositivi come le chiavi elettroniche;
  • di rilevamento presenze in azienda che rendono obsoleta la timbratura;
  • di avvio di attività lavorative da remoto o presso una sede diversa da quella aziendale (es. cantiere);
  • che utilizzano il GPS (es. in dotazione ad un vigilante per verificare che lo stesso non sia stato aggredito da un malintenzionato);
  • di videosorveglianza dei luoghi in cui opera il lavoratore (es. in una centrale di conta denaro);
  • premianti basati su algoritmi o “anche” su algoritmi;
  • a bordo di dispositivi indossabili – applicazioni di tecnologia wearable – (es. bracciale elettronico, palmare, occhiali) che prevedono la comunicazione da/verso altri sistemi anche attraverso triangolazioni di dati;
  • uomo presente/uomo a terra/uomo fermo (che fanno scattare un allarme se lavoratore resta fermo per un determinato tempo);
  • di gradimento dei dipendenti da parte degli utenti di un servizio (es. in un centro commerciale, aeroporto, uffici della P.A.);
  • di monitoraggio del traffico sul cellulare aziendale (es. per finalità controllo del traffico telefonico allo scopo di valutare situazioni anomale che possono compromettere i sistemi aziendali;
  • di accesso fisico per la rilevazione della presenza di collaboratori in aree precluse o che prevedono un’autorizzazione preventiva non richiesta o non fornita;
  • di accesso logico e di rilevazione dei log dei collaboratori per segnalare comportamenti anomali (prima in forma anonima e poi – nei casi più impattanti – con riferimenti specifici personale);
  • software per la tenuta sotto controllo dei sistemi di gestione (compresi quelli di whistleblowing);
  • di gestione della posta elettronica (e-mail);
  • di videoconferenza;
  • di assistenza da remoto e/o gestione dei ticket;
  • con specifiche applicazioni software (es. utilizzati nei centri di contatto);
  • di MDM, Mobile device management;
  • di MES – Monitoring Execution System (prevalenti applicazioni nell’ambito di industria 4.0).

In molti casi, tali sistemi sono preordinati alla tutela della salute e sicurezza dei lavoratori o alla tutela dei dati sia dei lavoratori che di altri interessati (come, ad esempio, quello per la segnalazione di comportamenti anomali) e non ad effettuare il controllo (peraltro vietato) delle attività del lavoratore. Ciononostante, la norma prevede che siano date informazioni su quei sistemi indipendentemente dalla finalità principale di loro utilizzo.

Estratto dell’articolo pubblicato su Federprivacy “Decreto Trasparenza: impatti sulla privacy dei lavoratori e ricadute operative per imprese e DPO – autori Monica Perego, con la collaborazione di Pietro Calorio, Biagio Lammoglia, Ferruccio Militello, e Paolo Solarino

Cosa può fare SOLUZIONI

Abbiamo premesso che non sono bastate le due circolari dell’INL e del Ministero del lavoro per chiarire in modo soddisfacente le tipologie di sistemi a cui la norma si riferisce, e si auspica che il legislatore possa chiarire quanto prima le diverse incertezze.

SOLUZIONI offre il proprio supporto, grazie all’esperienza maturata nella valutazione dei rischi, nello specifico alla conformità al GDPR e in merito ai diritti e libertà dei soggetti interessati, al fine di determinare se una particolare tecnologia introdotta debba richiedere ulteriori adempimenti rientranti nel Decreto trasparenza.

Implementare un modello organizzativo “data potection” implica una trasformazione culturale dell’imprenditore, attraverso cui il dato personale deve essere posto al centro dell’attenzione, insieme a tutti quegli aspetti che determinano il successo o, purtroppo causano l’insuccesso dell’impresa. Solo un approccio integrato e multidisciplinare, garantito dai consulenti che costituiscono il team di intervento, permette di raggiungere il rispetto dei principi fondamentali del GDPR e le prescrizioni del decreto trasparenza, così da garantire all’azienda un’implementazione proficua e lecita delle nuove tecnologie.

Nell’area riservata è disponibile un articolo di approfondimento in cui si illustrano gli adempimenti richiesti per i sistemi decisionali o di monitoraggio automatizzati, nonché ulteriori adempimenti specifici del GDPR.

Vuoi saperne di più?

Sono disponibili dei contenuti aggiuntivi nella nostra area riservata
Registrati ora!
REGISTRAZIONE

Contatta un consulente

Avere cura delle esigenze del cliente è alla base dei nostri servizi di consulenza e della nostra formazione. Favoriamo la costruzione di relazioni di partnership con i clienti per gestire insieme la crescita della loro impresa.


    (*) per i campi contrassegnati da * la compilazione è obbligatoria.

    Ho letto l’Informativa sulla Privacy e la Privacy Policy e autorizzo il trattamento dei miei dati personali per le finalità descritte al paragrafo “Esecuzione di attività richieste dall’interessato” dell’Informativa
    [la mancata autorizzazione al trattamento comporta l’impossibilità di svolgere le attività richieste]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione di documentazione tecnico-informativa” dell’Informativa
    [il mancato consenso impedisce l’invio di documentazione tecnica e di contenuti di aggiornamento tecnico]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione iniziative di informazione tecnica, pubblicitaria e promozionale” dell’Informativa
    [il mancato consenso impedisce l’aggiornamento in merito ai nostri servizi, l’invito a nostri eventi gratuiti e la partecipazione a nostre iniziative a condizioni riservate]