Decreto Trasparenza e GDPR. I nuovi obblighi informativi del datore di lavoro

Il 29 luglio u.s. è stato pubblicato in Gazzetta Ufficiale il d. lgs 27 giugno 2022, n. 104 - attuazione Direttiva (UE) 2019/1152 - meglio conosciuto come Decreto Trasparenza. Le disposizioni del decreto pongono una serie di obblighi informativi a carico del datore di lavoro, che – al momento dell’instaurazione - dovrà comunicare per iscritto al lavoratore gli “elementi essenziali del rapporto di lavoro” incluse le “condizioni di lavoro e la relativa tutela”, informazioni sinora potevano essere fornite al lavoratore tramite un semplice generico richiamo al CCNL applicabile.

I nuovi obblighi entreranno in vigore già dal 13 agosto prossimo e troveranno applicazione in tutti i casi di rapporto di lavoro subordinato, inclusi quelli regolati da tipologie contrattuali non standard (rapporti di collaborazioni continuative organizzate dal committente anche tramite piattaforme, co.co.co., contratto di prestazione occasionale, con esclusione dei rapporti di lavoro autonomo, purché non integranti rapporti di collaborazione coordinata e continuativa.

La portata delle nuove norme non rimane peraltro confinata all’ambito squisitamente giuslavoristico: il nuovo articolo 1-bis del Decreto Legislativo n. 152/1997, obbliga infatti il datore di lavoro ad “informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Si tratta, evidentemente, di un ampliamento rispetto a quanto già previsto dall’art. 22 del GDPR, che si “limitava” a sancire il diritto dell’interessato a non essere sottoposto a decisioni basate unicamente su un trattamento automatizzato, prevedendo delle eccezioni e il diritto dell’individuo di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contrastare la decisione. La nuova norma, infatti, include nel perimetro dei sistemi decisionali e di monitoraggio automatizzati anche quelli che supportano le scelte aziendali, come ad esempio dei software aiutino l’imprenditore a fare scelte attraverso l’utilizzo di metriche e logiche informatiche di valutazione performance.

Non solo: la norma in questione dettaglia anche maggiormente, rispetto al GDPR, gli obblighi informativi in relazione ai sistemi decisionali e di monitoraggio, che hanno ad oggetto:

· gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;

· gli scopi e le finalità dei sistemi;

· la logica ed il funzionamento dei sistemi;

· le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;

· le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; e

· il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Ancora, in termini di accountability del Titolare ai sensi del GDPR, il Decreto Trasparenza espressamente prevede l’obbligo di integrare il registro dei trattamenti previsto dal GDPR e di eseguire una valutazione di impatto (una DPIA) in relazione al trattamento.

In buona sostanza, al fine di dare attuazione alle nuove norme ed evitare le sanzioni previste in caso di inadempimento Occorre redigere o aggiornare:

• Informativa ex art.13 GDPR nei confronti di dipendenti e collaboratori;

• Autorizzazione al trattamento ex art. 29 GDPR;

• Registro di trattamento e analisi del rischio dei trattamenti inseriti a seguito dell’aggiornamento;

• Valutazione d’impatto (DPIA) dei trattamenti su strumenti informatici e sistemi decisionali o di monitoraggio automatizzati.

L'articolo termina comunque precisando che “sono in corso interlocuzioni con gli Enti competenti al fine di determinare con chiarezza il campo di applicazione degli obblighi di cui all'art. 1-bis appena illustrato” per cui è lecito attendersi delle precisazioni da parte dell’INL.