GDPR Specialist
CONSULENZA PRIVACY (GDPR)
     SERVIZIO DPO e PRIVACY OFFICER
         FORMAZIONE PRIVACY (GDPR)
SERVIZIO RSPP e ASPP
CONSULENZA SICUREZZA SUL LAVORO
FORMAZIONE SICUREZZA SUL LAVORO
CONSULENZA HACCP

DECRETO TRASPARENZA E PRIVACY

Roberta Monari • 26 gennaio 2023

DECRETO TRASPARENZA E PRIVACY

PANORAMICA DEI DOVERI INFORMATIVI DEL TITOLARE DEL TRATTAMENTO

Con il Decreto 104/2022, noto come “Decreto Trasparenza” (in attuazione della Direttiva UE 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione Europea), viene imposto l’obbligo per i datori di lavoro di fornire informazioni esaustive ai lavoratori in merito ai sistemi gestionali o di monitoraggio automatizzati utilizzati per l’attività lavorativa e per la gestione dei rapporti di lavoro, già in fase pre-assuntiva.


I nuovi obblighi informativi sono introdotti dall’art. 4 del Decreto Trasparenza, che inserisce, dopo l’art. 1 del d. lgs. 152 del 1997, il nuovo art. 1-bis, la cui rubrica è “ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”.

Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Prima di analizzare alcuni casi che abbracciano uno spettro ampio della casistica, giova ricordare il significato del termine “automaticamente”, così come definito dal Dizionario Treccani: “per mezzo di un congegno automatico o in modo automatico, senza intervento diretto della volontà o di un’azione esterna”; lo stesso dizionario definisce “decisionale” come “Relativo al decidere, alla decisione: potere, facoltà d.; che ha potere di prendere decisioni: organo, centro decisionale”.

Il concetto generale è espresso nel seguente passaggio del Dlgs n. 104/2022, con l’introduzione dell’art. 1-bis al D.lgs. n. 152/1997: “il datore di lavoro/committente renda una serie di informative sull’utilizzo di tali sistemi, volte a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori”.

 

Tipici esempi di sistemi decisionali o di monitoraggio automatizzati sono:

-       sistemi utilizzati in fase di recruiting per selezionare e decidere se assumere un candidato;

-       sistemi di videosorveglianza volti a monitorare aree aziendali;

-       sistemi di geolocalizzazione installati sui veicoli assegnati ai lavoratori;

-       software per la tenuta sotto controllo dei sistemi di gestione (compresi quelli di whistleblowing);

-       piattaforme di formazione e-learning completamente automatizzate (presenza, risultati, ripetizione di lezioni/test, tempo di permanenza, comprese le risposte formulate in test a sorpresa per verificare la presenza effettiva), con rilevazione automatica dei tempi di collegamento; esse sono gestite totalmente da società terze, parzialmente da società terze o dal Datore di lavoro;

-       assistenza da remoto e/o gestione dei ticket; esempio: portale che effettua trattamenti automatizzati e/o decisionali tramite la funzione dispatching, che, in base a più tabelle (servizi erogati al cliente, skill del personale tecnico dedicato all’assistenza personale contattabile in turno) analizza la richiesta, la categorizza e assegna in automatico la richiesta all’operatore libero, sulla base delle informazioni disponibili (da valutare anche implicazioni come ADS); 

-       consolle per operare sulle soluzioni software, per impostare, ad esempio, privilegi e diritti per gli utenti con attivazione della profilazione dei servizi relativi agli accessi ai dati, come nel caso di Microsoft Office 365 Admin Center. Attraverso tali sistemi un utente, con ruoli privilegiati come l’amministratore di sistema, può accedere a dati di collaboratori che utilizzano i sistemi e “volendo” raccogliere informazioni quali il tempo trascorso in chiamate/riunioni, i dispositivi utilizzati, il numero di messaggi scambiati, ecc., nonché accedere a documenti, e-mail e messaggi scambiati, ad esempio tramite Teams.



Oltre ad applicazioni generali sono interessanti da esplorare anche alcune di carattere settoriale, giusto per fare alcuni esempi:

Scuola – applicazione (anche integrata nel registro elettronico) che tiene sotto controllo quali circolari sono state «scaricate» o «non scaricate» dal singolo docente (con valenza di onere probatorio)
Sanità – sistema gestione delle cartelle elettroniche che tramite sistemi di risk management permette di rilevare in automatico la presenza di errori di compilazione od omissione di dati
Sanità - richiesta cartelle cliniche: il sistema, in modo automatico, gestisce la richiesta ed invia una segnalazione al singolo reparto per richiedere l’aggiornamento della cartella e, periodicamente, in caso di richiesta inevasa, ricorda alla funzione designata del reparto di provvedere all’aggiornamento
Trasporto pubblico - autisti di mezzi pubblici dotati di telecamere che si attivano automaticamente, a cui accede il personale della sala di controllo, solo a seguito di brusca frenata, urto o altro evento “riconosciuto come anomalo”. Le immagini sono immediatamente registrate ed il sistema fornisce anche informazioni sull’autista.


Considerando la tipologia di sistemi a cui si fa riferimento, dal cui impiego potrebbe derivare anche la possibilità di controllo a distanza dell’attività dei lavoratori, il legislatore stabilisce che “resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300”, disposizione che – come noto – limita la possibilità di impiegare strumenti di controllo alle sole esigenze organizzative e produttive, alla tutela del patrimonio e alla sicurezza del lavoro, previo accordo sindacale o, in mancanza, autorizzazione dell’ispettorato del lavoro.

Queste informazioni riguardano in particolare i parametri di valutazione delle prestazioni e la cybersicurezza dei sistemi. Questa informativa non sostituisce i restanti obblighi informativi pre esistenti, ma può essere fornita congiuntamente alle altre, quindi attraverso un unico documento, dando evidenza formale, ad esempio attraverso un titolo specifico od un paragrafo a sé stante.


Per adempiere agli obblighi informativi relativi all’utilizzo di sistemi decisionali o di monitoraggio automatizzati previsti dal decreto trasparenza, il comma 2 del nuovo art. 1 bis stabilisce che il datore di lavoro o il committente, unitamente alle ulteriori informazioni sul rapporto di lavoro (per cui si rinvia alla lettura del nuovo art. 1 del d. lgs. 152 del 1997), è tenuto a fornire al lavoratore, prima dell’inizio dell’attività lavorativa, le seguenti informazioni:

a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;

b) gli scopi e le finalità dei sistemi;

c) la logica ed il funzionamento dei sistemi;

d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;

e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Si tratta di informazioni dettagliate da integrare a quelle che occorre fornire ai lavoratori sulla base dell’art. 13 del Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679) e, nel caso di sistemi di controllo a distanza, dell’art. 4, comma 3, dello Statuto dei lavoratori (legge 300/1970).


Autore: Roberta Monari 11 novembre 2024
LA NUOVA DIRETTIVA NIS 2 | D.LGS. 138/2024
Autore: Roberta Monari 12 febbraio 2024
MISURE DI SICUREZZA DA APPLICARE QUANDO SI UTILIZZANO PROGRAMMI E SERVIZI INFORMATICI PER LA GESTIONE DI POSTA ELETTRONICA ANCHE IN CLOUD.
Autore: Roberta Monari 14 luglio 2023
LA DECISIONE DI ADEGUATEZZA CHE AUTORIZZA IL TRASFERIMENTO DEI DATI DA EUROPA A STATI UNITI.
Share by: