Decreto Trasparenza e protezione dei dati personali: maggiori obblighi per il datore di lavoro titolare del trattamento
Come noto, lo scorso 29 luglio è stato pubblicato sulla Gazzetta Ufficiale il D.Lgs. 27 giugno 2022, n. 104 (c.d. “Decreto Trasparenza”), adottato in attuazione della Direttiva UE n. 2019/1152, ha introdotto una serie di nuovi obblighi per il datore di lavoro ed i committenti pubblici e privati in risposta al diritto del lavoratore ad essere informato circa gli elementi essenziali del rapporto di lavoro e le condizioni di lavoro.
Fra questi nuovi obblighi non mancano profili di contatto con gli adempimenti già largamente previsti e disciplinati dalla normativa in materia di protezione dei dati personali, nella misura in cui l’articolo 4 del Decreto in esame introduce un articolo 1-bis al D.Lgs. n. 152 del 1997 in forza del quale “il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”. Siffatto obbligo normativo viene inoltre declinato e dettagliatamente delineato dal successivo comma dell’introdotto articolo 1-bis, in virtù i lavoratori hanno il diritto di ricevere le seguenti informazioni:
a. gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi decisionali o di monitoraggio automatizzati;
b. gli scopi e le finalità dei sistemi decisionali o di monitoraggio automatizzati;
c. la logica ed il funzionamento dei sistemi decisionali o di monitoraggio automatizzati;
d. le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
e. le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
f. il livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali o di monitoraggio automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
È quindi sufficiente una rapida lettura delle informazioni da rendere ai lavoratori per comprendere come tali obblighi coincidano con quanto già richiesto dalla normativa in materia di protezione dei dati personali nella misura in cui gli articoli 13 e 14 del Regolamento UE n. 679/2016 (di seguito, “GDPR”) richiedono che il titolare del trattamento (ossia, nel rapporto di lavoro, il datore di lavoro o committente) fornisca agli interessati (i lavoratori) tanto nell’ambito delle note informativa sul trattamento dei dati personali quanto in appositi regolamenti e policy sull’utilizzo degli strumenti aziendali (richieste dalla nostra Autorità Garante da oltre 10 anni) dettagli, tra l’altro, sui dati personali oggetto di trattamento, sulle finalità del trattamento, nonché sulla “esistenza di un processo decisionale automatizzato […] e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.
Ciò che tuttavia muta in maniera più gravosa per il datore di lavoro o committente sono la modalità e le tempistiche con cui le informazioni devono essere fornite, nonché i destinatari delle stesse. In particolare,
– la normativa in materia di protezione dei dati personali richiedeva che le informazioni (anche riferite alle modifiche nelle attività di trattamento) venissero fornite esclusivamente agli interessati (lavoratori) al momento della raccolta dei dati personali e con le modalità liberamente individuate e ritenute idonee dal datore di lavoro (salva l’opportunità o necessità di raccogliere le opportune evidenze relative all’adempimento dell’obbligo informativo in esame);
– il Decreto Trasparenza richiede che le informazioni sopra indicate vengano fornite “in formato strutturato, di uso comune e leggibile da dispositivo automatico” tanto ai lavoratori quanto alle “rappresentanze sindacali aziendali ovvero alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale” e che ogni modifica venga comunicata con almeno 24 ore di anticipo.
I punti di contatto tra gli adempimenti introdotti dal Decreto Trasparenza e quanto già previsto dalla normativa in materia di protezione dei dati personali non si limitano però agli obblighi informativi ma si estendono anche:
– al diritto del lavoratore di accedere alle informazioni sopra menzionate sancito dal terzo comma del nuovo articolo 1-bis del D.Lgs. n. 152 del 1997 che nel suo contenuto ricalca quanto previsto dall’art. 15 del GDPR formalizzando altresì la facoltà dell’interessato – già prevista dalla normativa in materia di protezione dei dati personali – di incaricare un terzo (nel caso del Decreto Trasparenza in esame, le rappresentanze sindacali aziendali o territoriali) di proporre la richiesta per proprio conto. Ciò che muta è tuttavia il termine per fornire riscontro: se da una parte la normativa in materia di protezione dei dati personali garantisce al titolare del trattamento un mese di tempo, con possibilità di proroga di massimo ulteriori due mesi in casi di particolare complessità, il Decreto Trasparenza richiede che il riscontro sia fornito entra 30 giorni dalla richiesta;
– all’obbligo del datore di lavoro o del committente di fornire istruzioni al proprio personale che tratta dati personali in merito alla sicurezza degli stessi ed all’aggiornamento del registro dei trattamenti tenuto a norma dell’art. 30 del GDPR (anche in questo caso, a fronte di una libertà di forma prevista dalla normativa in materia di protezione dei dati personali, il Decreto in esame richiede che le istruzioni siano rese in forma scritta ed in un formato strutturato, di uso comune e leggibile da dispositivo automatico);
– all’obbligo del datore di lavoro o del committente di svolgere una analisi dei rischi ed una analisi di impatto a norma degli artt. 35 e 36 del GDPR (tale obbligo risulta quindi potenzialmente esteso rispetto a quanto previsto dalla normativa in materia di protezione dei dati personali).
Alla luce di quanto precede, dunque, gli adempimenti introdotti dal Decreto Trasparenza che impattino anche sui temi connessi alla protezione dei dati personali possono considerarsi estremamente ridotti per quei datori di lavoro e committenti virtuosi in materia; al contrario, i nuovi e più dettagliati obblighi informativi che dovranno necessariamente far seguito ad una mappatura ed analisi (anche in termini di misure di sicurezza ed accorgimenti tecnici ed organizzativi da mettere in piedi per mitigare gli impatti per i lavoratori interessati del trattamento) rischiano di esporre il datore di lavoro a rischi sia in materia di protezione dei dati personali che per violazione del testo in esame, con conseguente possibile duplice sanzione per una medesima condotta illecita (ovvero triplice laddove i sistemi e le attività oggetto di analisi rientrino anche nell’ambito di applicazione dell’art. 4 dello Statuto dei Lavoratori e della disciplina sui controlli a distanza, espressamente fatta salva dal nuovo articolo 1-bis del D.Lgs. n. 152 del 1997).