Il Decreto Legislativo 27 giugno 2022, n. 104 (c.d. “Decreto Trasparenza”), recante l’attuazione Direttiva (UE) 2019/1152, pubblicato sulla G.U. del 29 luglio 2022 – è entrato in vigore il 13 agosto 2022 e ha previsto ulteriori obblighi di trasparenza in materia di privacy.
In linea generale, l’articolo 1 prevede che il datore di lavoro debba comunicare al lavoratore gli “elementi essenziali del rapporto di lavoro” e le “condizioni di lavoro e la relativa tutela”.
Il decreto si applica a tutto il mondo della subordinazione, alla collaborazione e prevede un’applicazione immediata ai nuovi assunti a far data dal 13 agosto ’22 (art. 16) e per i contratti già in essere vi è l’obbligo del datore di lavoro di fornire informazioni – su richiesta del lavoratore stesso o delle rappresentanze sindacali.
Ai sensi dell’art. 1, co. 2 ” Il presente decreto si applica altresi’ ai rapporti di lavoro dei dipendenti delle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e a quelli degli enti pubblici economici”.
La norma stabilisce altresì, in costanza di rapporto, che se vi fossero aggiornamenti per elementi non noti quali leggi e contratti collettivi (si pensi ad esempio nuovi orari interni o sviluppo di nuovi software di monitoraggio rete) questi andranno comunicati ai lavoratori entro il primo giorno dal loro effetto.
Importante per il mondo della data protection
L’art. 1 del Decreto introduce l’articolo 1-bis al Decreto Legislativo n. 152/1997 (concernente l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro), che obbliga il datore di lavoro a:
“informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Tali informazioni devono essere rese in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico”.
Il decreto fa quindi riferimento a strumenti informatici e sistemi decisionali o di monitoraggio automatizzati utilizzati dal datore di lavoro sia in fase preassuntiva che in fase di svolgimento attività lavorativa con un ampliamento del dettato normativo dell’art. 22 del GDPR (Processo decisionale automatizzato): quindi nel decreto non si parla solo di scelte automatizzate senza l’intervento di un operatore, ma di software che aiutino l’imprenditore a fare scelte attraverso l’utilizzo di metriche e logiche informatiche di valutazione performance.
Utilizzo di sistemi automatizzati
Il comma 4 dell’art. 1-bis in commento stabilisce, poi, che:
“4. Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del Regolamento medesimo”.
Sono quindi previsti nuovi obblighi informativi – da fornire sia ai prestatori che alle RSA (o ai sindacati territoriali) – qualora il datore utilizzi sistemi decisionali o di monitoraggio automatizzati tesi a rilevare dati utili per l’assunzione, la gestione e la cessazione del rapporto nonché relativi alla sorveglianza, alla valutazione e all’adempimento della prestazione. In tali casi – fermo restando il rispetto della disciplina dei controlli a distanza e della privacy – il datore deve, tra l’altro, chiarire gli scopi e le finalità dei sistemi, le loro modalità di funzionamento e il relativo livello di sicurezza.
È previsto, infine, per il lavoratore il diritto di accedere, direttamente o per il tramite dei sindacati, ai dati e di richiedere ulteriori approfondimenti sugli obblighi d’informazione elencati.
La violazione delle citate prescrizioni è punita con la sanzione pecuniaria:
-da 100 a 750 euro, per ciascun mese di riferimento, qualora attenga agli obblighi informativi nei confronti dei lavoratori (aumentata in ragione del numero dei lavoratori interessati),
-da 400 a 1.500 euro qualora riguardi i sindacati.
Quindi, occorre redigere o aggiornare:
1. Informativa ex art.13 GDPR nei confronti di dipendenti e collaboratori;
2. Registro di trattamento e analisi del rischio dei trattamenti inseriti a seguenti della nuova analisi;
3. DPIA dei trattamenti su strumenti informatici e sistemi decisionali o di monitoraggio automatizzati
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.