Sistemi decisionali o di monitoraggio automatizzati – nuovi obblighi informativi

Con il cosiddetto “Decreto Trasparenza” sono stati introdotti nuovi obblighi informativi verso i dipendenti come da art.1-bis del D.lgs 152/1997, novellato dal D.Lgs 104/2022.

Da alcuni articoli a commento della norma, si nota stupore e preoccupazione dei giuslavoristi sul tema del trattamento dei dati personali nel contesto di cui tratta la modifica normativa; tuttavia, dal punto di vista privacy, si potrebbe dire “nulla di nuovo sotto il sole”;
Il  tema, invece, è quello della regolamentazione di questi strumenti e della condivisione trasparente di queste regole. Si tenga presente che questa norma è stata scritta pensando ai magazzini di Amazon e al controllo dei magazzinieri. Inoltre, in ambito GDPR il termine “automatizzato” ha sostituito quello che nella vecchia norma era “mediante strumenti elettronici“, quindi non si intende solo ciò che sia completamente automatizzato mediante AI, il cui caso è regolamentato nello specifico all’art.22 del GDPR.

Ma andiamo con ordine ed analizziamo in cosa consistono queste modifiche.

Campo di applicazione

L’obbligo riguarda ed è limitato ai sistemi decisionali o di monitoraggio automatizzati relativi ai dati dei lavoratori deputati a fornire:

a) indicazioni rilevanti ai fini di

  • assunzione o del conferimento dell’incarico,
  • gestione del rapporto di lavoro
  • cessazione del rapporto di lavoro, dei lavoratori
  • assegnazione di compiti o mansioni

b) indicazioni incidenti su

  • sorveglianza,
  • valutazione,
  • prestazioni 
  • adempimento delle obbligazioni contrattuali

Tenuto conto di quanto già previsto per gli impianti audiovisivi e altri strumenti di controllo (ai sensi dell’art.4 L.300/1970), distinguerà ulteriori tre classi di tali sistemi:

I) strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa

II) strumenti di registrazione degli accessi e delle presenze

III) altri strumenti diversi dai precedenti (compresi impianti audiovisivi) da cui derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori

Nel caso di strumenti di classe III, sussisterà pertanto una limitazione per cui

i) le finalità dovranno essere tarate perchè siano impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale

ii) l’installazione avvenga previo accordo collettivo o autorizzazione dell’INL.

Obblighi

Ribaditi in ambito GDPR e nuovi di natura giuslavoristica.

Ove fossero presenti questi sistemi (lett. a, b), la norma indica i seguenti adempimenti, di seguito riordinati rispetto al tenore letterale per una questione di successione logica:

1) effettuazione di un’analisi dei rischi e di una valutazione d’impatto dei trattamenti derivanti dai sistemi decisionali o di monitoraggio automatizzati ed eventuale consultazione preventiva del Garante  -già artt.35 e 36 GDPR- con conseguente aggiornamento del registro dei trattamenti -già art.30 GDPR-, incluse le attività di sorveglianza e monitoraggio

1.bis) qualora i sistemi di cui sopra, soprattutto nel caso di strumenti di classe III,  siano installati e impiegati sulla base del legittimo interesse (es. per la tutela del patrimonio aziendale) occorre svolgere un Balancing Test (o tenere conto di tale test comparativo nella DPIA) al fine di valutare la legittimità del trattamento.

2) prima dell’utilizzo dei sistemi decisionali o di monitoraggio automatizzati, i lavoratori devono conoscere le seguenti ulteriori informazioni che vanno aggiornate e nuovamente trasmesse 24 ore prima, ogni qual volta la modifica incida con variazioni delle condizioni di svolgimento del lavoro.

Alcune di queste informazioni sono una duplicazione di quanto già previsto dall’informativa privacy – già art.13 GDPR -, altre sono peculiari

a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi

b) gli scopi e le finalità dei sistemi

c) la logica ed il funzionamento dei sistemi

d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni

e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

(fuorché quelle informazioni coperte da segreto industriale o commerciale)

2bis) inoltre i lavoratori devono anche conoscere

g) istruzioni per il lavoratore in merito alla sicurezza dei dati

h) che si è provveduto all’aggiornamento del registro dei trattamenti 

3) rispondere entro 30 gg. alle richieste di riproposizione delle informazioni o di accesso ai dati del lavoratore -già art.15 GDPR- o (novità) delle rappresentanze sindacali per suo conto o dell’INL

4) le informazioni (precedenti punti 2 e 3) vanno date ai destinatari in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico.

La Circolare n. 19 del 20 settembre 2022 del Ministero del Lavoro e delle Politiche Sociali ha chiarito quali strumenti rientrano nella definizione di “sistemi decisionali o di monitoraggio automatizzati” citati nella norma

Nella prima fattispecie (lett.a) vi rientrano “quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate”. Il datore di lavoro deve procedere ad informare il lavoratore quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati, ovvero, qualora l’intervento umano sia meramente accessorio. La norma, quindi, non si applica solo ai sistemi in cui la decisione è totalmente automatizzata ma anche nei casi in cui sia presente un contributo manuale “meramente accessorio”. A titolo esemplificativo, può trattarsi,

  • nella fase preliminare all’instaurazione del rapporto lavorativo:
    • dell’assunzione o del conferimento dell’incarico professionale tramite l’utilizzo di chatbots durante il colloquio,
    • della profilazione automatizzata dei candidati, dello screening dei curricula,
    • dell’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
  • nella fase di gestione o cessazione del rapporto di lavoro, invece, può trattarsi:
    • dell’assegnazione o revoca automatizzata di compiti, mansioni o turni,
    • della definizione dell’orario di lavoro,
    • analisi di produttività,
    • determinazione della retribuzione, promozioni, etc.,
    • attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc.

All’opposto, nell’esempio che segue, non sarà necessario procedere all’informativa di cui agli obblighi informativi del Decreto trasparenza, ma restano fermi gli obblighi di ex. art. 13-14 del GDPR:

  • utilizzo di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale.

La seconda fattispecie (lett. b) riguarda “le indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”. Anche in questo caso, il datore di lavoro ha l’obbligo di informare il lavoratore in merito

  • all’utilizzo di sistemi automatizzati quali, a titolo esemplificativo: tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc.
  • all’utilizzo di sistemi automatizzati integrati negli strumenti impiegati dal lavoratore per rendere la prestazione lavorativa, se dotati delle caratteristiche di cui sopra.

Pertanto il regolamento informatico diventa obbligatorio e dovrebbe essere rivisto.

Conseguenze sanzionatorie in caso di inosservanza

La circolare INL n. 4 del 10 agosto 2022 indica che la violazione delle disposizioni contenute nell’art. 1-bis è sanzionata dal novellato art. 19, comma 2, del D.Lgs. 276/2003 con una sanzione amministrativa pecuniaria, in base alla fascia di appartenenza, per ciascun mese di riferimento, in cui il lavoratore svolga la propria attività in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente:

  • se la violazione si riferisce fino a quattro lavoratori, la sanzione amministrativa è da 100 a 750 euro,
  • se la violazione si riferisce a più di cinque lavoratori, la sanzione amministrativa è da 400 a 1.500 euro,
  • se invece la violazione si riferisce a più di dieci lavoratori, la sanzione va da 1.000 a 5.000 euro,
  • sempre moltiplicata per il numero di mesi di carenza informativa
  • e non è ammesso il pagamento in misura ridotta

La mancata comunicazione delle informazioni anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, trova applicazione una sanzione amministrativa pecuniaria da 400 a 1.500 euro, per ciascun mese in cui si verifica l’omissione.

Alle conseguenze sanzionatorie derivanti dalla violazione del Decreto Trasparenza, vanno aggiunti e considerati i profili privacy, soggetti alle condizioni generali per infliggere sanzioni amministrative pecuniarie di cui all’art. 83 del GDPR.

Se hai dei dubbi e vuoi approfondire l’argomento in base alle tue esigenze, compila il form di contatto, i nostri professionisti sapranno trovare la soluzione su misura per te.

    Contattaci utilizzando il form sottostante:
    * = campi richiesti

    Nome*

    Email*

    Oggetto*

    Testo del Messaggio*