Sistemi decisionali o di monitoraggio automatizzati - nuovi obblighi informativi

Con il cosiddetto “Decreto Trasparenza” sono stati introdotti nuovi obblighi informativi verso i dipendenti come da art.1-bis del D.lgs 152/1997, novellato dal D.Lgs 104/2022.

Da alcuni articoli a commento della norma, si nota stupore e preoccupazione dei giuslavoristi sul tema del trattamento dei dati personali nel contesto di cui tratta la modifica normativa; tuttavia, dal punto di vista privacy, si potrebbe dire “nulla di nuovo sotto il sole”;
Il tema, invece, è quello della regolamentazione di questi strumenti e della condivisione trasparente di queste regole. Si tenga presente che questa norma è stata scritta pensando ai magazzini di Amazon e al controllo dei magazzinieri. Inoltre, in ambito GDPR il termine “automatizzato” ha sostituito quello che nella vecchia norma era “mediante strumenti elettronici“, quindi non si intende solo ciò che sia completamente automatizzato mediante AI, il cui caso è regolamentato nello specifico all’art.22 del GDPR.

Ma andiamo con ordine ed analizziamo in cosa consistono queste modifiche.

Campo di applicazione

L’obbligo riguarda ed è limitato ai sistemi decisionali o di monitoraggio automatizzati relativi ai dati dei lavoratori deputati a fornire:

a) indicazioni rilevanti ai fini di

assunzione o del conferimento dell’incarico,
gestione del rapporto di lavoro
cessazione del rapporto di lavoro, dei lavoratori
assegnazione di compiti o mansioni

b) indicazioni incidenti su

sorveglianza,
valutazione,
prestazioni
adempimento delle obbligazioni contrattuali

Tenuto conto di quanto già previsto per gli impianti audiovisivi e altri strumenti di controllo (ai sensi dell’art.4 L.300/1970), distinguerà ulteriori tre classi di tali sistemi:

I) strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa

II) strumenti di registrazione degli accessi e delle presenze

III) altri strumenti diversi dai precedenti (compresi impianti audiovisivi) da cui derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori

Nel caso di strumenti di classe III, sussisterà pertanto una limitazione per cui

i) le finalità dovranno essere tarate perchè siano impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale

ii) l’installazione avvenga previo accordo collettivo o autorizzazione dell’INL.

Obblighi

Ribaditi in ambito GDPR e nuovi di natura giuslavoristica.

Ove fossero presenti questi sistemi (lett. a, b), la norma indica i seguenti adempimenti, di seguito riordinati rispetto al tenore letterale per una questione di successione logica:

1) effettuazione di un’analisi dei rischi e di una valutazione d’impatto dei trattamenti derivanti dai sistemi decisionali o di monitoraggio automatizzati ed eventuale consultazione preventiva del Garante -già artt.35 e 36 GDPR- con conseguente aggiornamento del registro dei trattamenti -già art.30 GDPR-, incluse le attività di sorveglianza e monitoraggio

1.bis) qualora i sistemi di cui sopra, soprattutto nel caso di strumenti di classe III, siano installati e impiegati sulla base del legittimo interesse (es. per la tutela del patrimonio aziendale) occorre svolgere un Balancing Test (o tenere conto di tale test comparativo nella DPIA) al fine di valutare la legittimità del trattamento.

2) prima dell’utilizzo dei sistemi decisionali o di monitoraggio automatizzati, i lavoratori devono conoscere le seguenti ulteriori informazioni che vanno aggiornate e nuovamente trasmesse 24 ore prima, ogni qual volta la modifica incida con variazioni delle condizioni di svolgimento del lavoro.

Alcune di queste informazioni sono una duplicazione di quanto già previsto dall’informativa privacy – già art.13 GDPR -, altre sono peculiari:

a) gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi

b) gli scopi e le finalità dei sistemi

c) la logica ed il funzionamento dei sistemi

d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni

e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

(fuorché quelle informazioni coperte da segreto industriale o commerciale)

2bis) inoltre i lavoratori devono anche conoscere

g) istruzioni per il lavoratore in merito alla sicurezza dei dati

h) che si è provveduto all’aggiornamento del registro dei trattamenti

3) rispondere entro 30 gg. alle richieste di riproposizione delle informazioni o di accesso ai dati del lavoratore -già art.15 GDPR- o (novità) delle rappresentanze sindacali per suo conto o dell’INL

4) le informazioni (precedenti punti 2 e 3) vanno date ai destinatari in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico.

La Circolare n. 19 del 20 settembre 2022 del Ministero del Lavoro e delle Politiche Sociali ha chiarito quali strumenti rientrano nella definizione di “sistemi decisionali o di monitoraggio automatizzati” citati nella norma

Nella prima fattispecie (lett.a) vi rientrano “quegli strumenti che, attraverso l’attività di raccolta dati ed elaborazione degli stessi effettuata tramite algoritmo, intelligenza artificiale, ecc., siano in grado di generare decisioni automatizzate”. Il datore di lavoro deve procedere ad informare il lavoratore quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, siano interamente rimessi all’attività decisionale di sistemi automatizzati, ovvero, qualora l’intervento umano sia meramente accessorio. La norma, quindi, non si applica solo ai sistemi in cui la decisione è totalmente automatizzata ma anche nei casi in cui sia presente un contributo manuale “meramente accessorio”. A titolo esemplificativo, può trattarsi,

nella fase preliminare all’instaurazione del rapporto lavorativo:
- dell’assunzione o del conferimento dell’incarico professionale tramite l’utilizzo di chatbots durante il colloquio,
- della profilazione automatizzata dei candidati, dello screening dei curricula,
- dell’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
nella fase di gestione o cessazione del rapporto di lavoro, invece, può trattarsi:
- dell’assegnazione o revoca automatizzata di compiti, mansioni o turni,
- della definizione dell’orario di lavoro,
- analisi di produttività,
- determinazione della retribuzione, promozioni, etc.,
- attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc.

All’opposto, nell’esempio che segue, non sarà necessario procedere all’informativa di cui agli obblighi informativi del Decreto trasparenza, ma restano fermi gli obblighi di ex. art. 13-14 del GDPR:

utilizzo di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale.

La seconda fattispecie (lett. b) riguarda “le indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”. Anche in questo caso, il datore di lavoro ha l’obbligo di informare il lavoratore in merito

all’utilizzo di sistemi automatizzati quali, a titolo esemplificativo: tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc.
all’utilizzo di sistemi automatizzati integrati negli strumenti impiegati dal lavoratore per rendere la prestazione lavorativa, se dotati delle caratteristiche di cui sopra.

Pertanto il regolamento informatico diventa obbligatorio e dovrebbe essere rivisto.

Conseguenze sanzionatorie in caso di inosservanza

La circolare INL n. 4 del 10 agosto 2022 indica che la violazione delle disposizioni contenute nell’art. 1-bis è sanzionata dal novellato art. 19, comma 2, del D.Lgs. 276/2003 con una sanzione amministrativa pecuniaria, in base alla fascia di appartenenza, per ciascun mese di riferimento, in cui il lavoratore svolga la propria attività in violazione degli obblighi informativi in esame da parte del datore di lavoro o del committente:

se la violazione si riferisce fino a quattro lavoratori, la sanzione amministrativa è da 100 a 750 euro,
se la violazione si riferisce a più di cinque lavoratori, la sanzione amministrativa è da 400 a 1.500 euro,
se invece la violazione si riferisce a più di dieci lavoratori, la sanzione va da 1.000 a 5.000 euro,
sempre moltiplicata per il numero di mesi di carenza informativa
e non è ammesso il pagamento in misura ridotta

La mancata comunicazione delle informazioni anche alle rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria o, in loro assenza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale, trova applicazione una sanzione amministrativa pecuniaria da 400 a 1.500 euro, per ciascun mese in cui si verifica l’omissione.

Alle conseguenze sanzionatorie derivanti dalla violazione del Decreto Trasparenza, vanno aggiunti e considerati i profili privacy, soggetti alle condizioni generali per infliggere sanzioni amministrative pecuniarie di cui all’art. 83 del GDPR.

Se hai dei dubbi e vuoi approfondire l’argomento in base alle tue esigenze, compila il form di contatto, i nostri professionisti sapranno trovare la soluzione su misura per te.

Cookie	Durata	Descrizione
_GRECAPTCHA	6 months	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_gcl_au	3 months	Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services.
sbjs_current	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_current_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_migrations	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_session	1 hour	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_udata	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.

Cookie	Durata	Descrizione
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.

Blog