Decreto Trasparenza: Nuovi obblighi anche privacy di informazione su utilizzo di sistemi decisionali automatizzati

E’ stato pubblicato il c.d. Decreto Trasparenza che, tra gli altri, introduce nuovi obblighi informativi, anche privacy, del datore di lavoro nei confronti dei dipendenti sull’utilizzo di sistemi decisionali e di monitoraggio automatizzati.

Il Decreto Legislativo 27 giugno 2022, n. 104 è l’attuazione Direttiva (UE) 2019/1152, ma è meglio conosciuto come il Decreto Trasparenza.

Il Decreto Trasparenza introduce una serie di onerosi obblighi informativi di cui si deve far carico il datore di lavoro con riferimento alle diverse tipologie di contratto di lavoro, obbligando le imprese a riscrivere i propri contratti di lavoro, introducendo una serie di informazioni che finora erano gestite tramite un semplice richiamo al CCNL. Potete rivivere l’evento tenuto dai colleghi del dipartimento di diritto del lavoro di DLA Piper sul Decreto Trasparenza al link disponibile QUI.

Ma le disposizioni del Decreto Trasparenza hanno anche implicazioni rilevanti in materia di  privacy perché introduce il nuovo articolo 1-bis del Decreto Legislativo n. 152/1997, obbligando il datore di lavoro a

informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonche’ indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori“.

Si fa quindi riferimento all’utilizzo di questi strumenti dalla fase di recruiting, fino alla gestione del rapporto di lavoro e alla sua cessazione.

Lo scopo di tale previsione sembrerebbe, dunque, quello di evitare “asimmetrie informative”, laddove committenti o datori di lavoro trattino i dati personali dei dipendenti mediante processi automatizzati al fine di esercitare attività di coordinamento e gestione del rapporto di lavoro. Ciò, va oltre quanto già previsto dall’art. 22 del GDPR rispetto al diritto di non essere sottoposto a decisioni basate unicamente su un trattamento automatizzato, prevedendo delle eccezioni e il diritto dell’individuo di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contrastare la decisione.

Quindi il Decreto Trasparenza fa rientrare nel perimetro dei sistemi decisionali e di monitoraggio automatizzati anche quelli che supportano le scelte aziendali, il che apre la porta ad una quantità enorme di strumenti perchè quasi ogni azienda ad esempio ha un sistema di valutazione dei propri dipendenti sulla base di alcuni parametri.

Gli obblighi informativi di cui al Decreto Trasparenza riproducono, addirittura forse con un maggiore dettagli, gli obblighi in materia di privacy in relazione ai sistemi decisionali e di monitoraggio automatizzati perché riguardano:

  1. gli aspetti  del  rapporto  di  lavoro  sui  quali  incide l’utilizzo dei sistemi;
  2. gli scopi e le finalità dei sistemi;
  3. la logica ed il funzionamento dei sistemi;
  4. le categorie di dati e i parametri  principali  utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  5. le  misure  di  controllo  adottate  per   le   decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; e
  6. il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti  potenzialmente  discriminatori delle metriche stesse. 

A ciò si aggiunga che il Decreto Trasparenza espressamente prevede che espressamente l’obbligo di integrare il registro dei trattamenti previsto dal GDPR e di eseguire una valutazione di impatto (una DPIA) in relazione al trattamento.

Inoltre, nel caso in cui venissero apportate delle modifiche o integrazioni ai sistemi automatizzati oggetto di informativa nell’ambito del rapporto di lavoro, sarà anche necessario informare le rappresentanze sindacali ovvero la rappresentanza sindacale unitaria o, in assenza di rappresentanze aziendali, le sedi territoriali delle associazioni sindacali di categoria comparativamente più rappresentative sul piano nazionale.

Si viene evidentemente a creare una sovrapposizione tra gli obblighi informativi e gli adempimenti dovuti ai sensi della normativa privacy con quelli ora previsti dal Decreto Trasparenza. La conseguenza di ciò potrebbe essere che il livello di dettaglio delle informative privacy per i candidati e dipendenti dovrà essere notevolmente aumentato per evitare una contestazione sia ai sensi del GDPR che ai sensi del Decreto Trasparenza con il rischio di una duplice sanzione in caso di inadempimento.

Il Decreto Trasparenza è stato pubblicato sulla Gazzetta Ufficiale il 29 luglio 2022 ed entrerà in vigore il 13 agosto 2022, senza alcun periodo di tolleranza e transizione, il che vuol dire che le aziende dovrà essere già conformi ai suoi dettami. Infatti, con effetto da questa data, tutti i nuovi contratti di lavoro dovranno essere conformi ai requisiti del Decreto Trasparenza e, in relazione ai contratti esistenti, i dipendenti possono chiedere che il loro contratto sia aggiornato.

Su un simile argomento può essere interessante l’articolo “Il consenso privacy non è valido se non è possibile comprendere le modalità di trattamento dei dati tramite un algoritmo“.