Il Decreto Trasparenza, in vigore da Agosto 2022, introduce obblighi informativi (già previsti nel GDPR) verso i lavoratori in merito ai sistemi automatizzati.

Il Decreto Trasparenza: info in breve

Decreto trasparenza è il "nome giornalistico" del Decreto legislativo 104/2022. Pubblicato il 29 Luglio nella Gazzetta Ufficiale, è in vigore dallo scorso 13 Agosto. Tra le varie previsioni, introduce una serie di nuovi adempimenti che gravano sulla responsabilità dei titolari del trattamento, soprattutto in ambito lavorativo. Questa norma si applica a tutti i rapporti di lavoro, sia nel pubblico che nel privato, con poche eccezioni.

Per definire e dettagliare le nuove previsioni, il Ministero e l'Ispettorato del lavoro hanno pubblicato apposite circolari che forniscono esplicite indicazioni per i datori di lavoro su come fornire correttamente le informative ai lavoratori.

Gli Obblighi informativi per i lavoratori sono già previsti dal GDPR

Il quadro normativo precedente prevedeva già una lunga serie di adempimenti informativi verso il lavoratore. Ad esempio, il datore di lavoro deve fornire già all'inizio del rapporto di lavoro una serie di informazioni. Dal 1997 la legge prevede l'obbligo di informazione entro 30 giorni dall'assunzione. Nel 2008 all'obbligo informativo è stato aggiunto l'obbligo formativo: il dipendente deve ricevere adeguata informazione e formazione sulla sicurezza sul lavoro. Il GDPR ha solo ribadito questi obblighi e li ha ampliati.

Il ricorso massivo allo smart working ha comportato ancora più importanza all'obbligo del datore di lavoro di fornire una informativa scritta al lavoratore.

La modifica dell'articolo 1 del Dlsg 152/1997

Il decreto legislativo in questione:

• sostituisce l'art.1
• introduce l'art. 1bis

al Dlsg 152/1997.

Queste modifiche introducono una serie di obblighi per quei datori di lavoro che utilizzano strumenti automatizzati per gestire i lavoratori. Per sistemi automatizzati si intendono sia quelli decisionali che di monitoraggio. Gli obblighi introdotti sono comunque solo informativi e riguardano gli adempimenti che il GDPR ha già imposto a tutela della privacy e dei diritti del lavoratore. Quindi sottolineiamo un punto importante: le aziende che già hanno effettuato la messa in conformità al GDPR non vedono imporsi alcun nuovo obbligo. Infatti già per le previsioni del GDPR il datore di lavoro deve comunicare in maniera trasparente a tutti i dipendenti le procedure automatizzate che vengono effettuate per raccogliere e trattare i loro dati personali (come ad esempio: il rilevatore delle presenze, la videosorveglianza, il monitoraggio automatizzato delle attività dei dipendenti sui pc, ecc…).

Decreto Trasparenza e GDPR: cosa deve fare il datore di lavoro?

Anche se questi obblighi erano già derivanti dal GDPR, ne diamo un breve elenco. In particolare il datore di lavoro, per fornire le informazioni richieste, dovrà precedentemente procedere all'analisi di tutti i sistemi automatizzati in uso nell'azienda. Dovrà quindi descriverne logica, funzionamento, parametri di programmazione, eventuali rischi e eventuale impatto sui diritti dei lavoratori (potenziale discriminazione ecc…).

Una volta individuate queste informazioni vanno strutturate e rese disponibili, anche tramite il supporto di dispositivi automatici. Qui c'è un dettaglio importante: l'obbligo informativo si estende anche ai soggetti terzi. Concretamente quindi queste informazioni devono andare anche alle rappresentanze sindacali e, nel caso di esplicita richiesta, al Ministero del Lavoro all'Ispettorato del lavoro. Il riscontro alle richieste dei lavoratori deve essere scritto ed avvenire entro 30 giorni dal ricevimento. Eventuali modifiche rilevanti devono essere trasmesse ai lavoratori per iscritto almeno 24h prima.

Va tenuto presente che il decreto non si limita a richiedere che le nuove informazioni divenute obbligatorie siano inserite nei nuovi contratti: queste info devono essere integrate anche in tutti i contratti già in essere, anche se stipulato prima dell'entrata in vigore di questa legge. Non a caso, è già in vigore il regime sanzionatorio per quelle aziende che non si adeguano.

Obbligo informativo: verso quale tipologia di lavoratori è vincolante?

L'ambito di applicazione di questo strumento normativo è molto ampio. L'obbligo informativo sussiste non solo verso i lavoratori assunti, ma anche per chi fornisce prestazioni occasionali. In sunto queste regole si applicano:

• al rapporto di lavoro dipendente / subordinato in tutte le forme, inclusi part-time e contratto a termine;
• lavoro intermittente;
• somministrazione;
• collaborazioni, anche se da queste sono escluse alcune forme come i contratti di agenzia e il lavoro domestico.

Cosa fare per prepararsi

Sottolineando di nuovo che quelle aziende che già hanno provveduto a mettersi in conformità con il GDPR dovrebbero aver già adempiuto a tali obblighi, ecco i passaggi utili a quelle aziende che invece devono ancora prepararsi alla conformità al Decreto Trasparenza e al GDPR.

• Censire e verificare tutti gli strumenti automatizzati, sia decisionali che di monitoraggio, in uso nell'azienda.
  Per ognuno di questi vanno definiti:
  • finalità d'uso;
  • quali dati personali sono trattati;
  • quali profili del rapporto di lavoro sono impattati dal trattamento;
  • affidabilità dei sistemi;
  • misure previste per garantire la sicurezza.

• integrare la documentazione privacy già esistente
  Il documento privacy già esistente deve essere integrato con la documentazione aggiuntiva. Predisporre policy ad hoc che consentano di aggiornare facilmente e agevolemente le informative. Definire anche le modalità con le quali queste informazioni devono essere fornite ai lavoratori.
• predisporre le procedure per rispondere entro i termini alle richieste di accesso ai dati;
• verificare non solo la presenza del registro dei trattamenti, ma occorre anche prepararsi a mantenerlo regolarmente aggiornato;
• implementare o verificare la procedura per eseguire una valutazione di impatto privacy (DPIA).