Le aziende che decidono di adottare strumenti digitali per prendere decisioni o per effettuare monitoraggi in ambito lavorativo devono porre particolare attenzione ai nuovi obblighi informativi.
In particolare, il d.lgs. n. 104/2022 (c.d. “Decreto Trasparenza”) stabilisce che il datore di lavoro deve informare il lavoratore in merito all’utilizzo di sistemi decisionali o di monitoraggio automatizzati quando tali sistemi: (a) sono finalizzati a realizzare un procedimento decisionale in grado di incidere sul rapporto di lavoro oppure (b) incidono sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori[1].
Al riguardo, il Decreto Trasparenza impone al datore di lavoro di fornire al lavoratore le seguenti informazioni:
- gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;
- gli scopi e le finalità dei sistemi;
- la loro logica e il loro funzionamento;
- le categorie di dati e i parametri principali utilizzati per programmarli o addestrarli, specificando i meccanismi di valutazione delle prestazioni dei lavoratori;
- le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e l’indicazione del responsabile del sistema di gestione della qualità;
- il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.
Per l’uso di detti sistemi, il datore di lavoro deve inoltre:
- integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati;
- aggiornare il registro delle attività di trattamento, inserendo le attività relative ai sistemi decisionali o di monitoraggio automatizzati;
- effettuare una valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA) pergestire i rischi connessi ai suddetti trattamenti, mediante l’analisi del trattamento e la valutazione dei principi di proporzionalità e necessità a esso correlati, identificando i rischi connessi e contribuendo a individuare le misure e gli accorgimenti necessari per mitigare tali rischi[2];
- effettuare la consultazione del Garante Privacy per ottenere un parere e l’eventuale raccomandazione di misure per mitigare l’impatto, qualora, a seguito della DPIA, i rischi non risultino sufficientemente attenuati e residui un rischio elevato inaccettabile [3];
- informare il lavoratore delle eventuali modifiche relative alle suddette informazioni, qualora comportino variazioni delle condizioni di svolgimento del lavoro;
- fornire tali informazioni anche alle rappresentanze sindacali.
Si riportano di seguito alcuni casi esemplificativi, per i quali sussistono gli obblighi descritti[4]:
- assunzione o conferimento dell’incarico tramite utilizzo di chatbots durante il colloquio, profilazione automatizzata dei candidati, screening dei curricula, utilizzo di software per il riconoscimento emotivo e test psicoattitudinali;
- gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, tramite analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning;
- utilizzo di tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, tramite cui è possibile sorvegliare o valutare i lavoratori;
La violazione degli obblighi informativi è punita con una sanzione amministrativa pecuniaria da 100 a 750 euro “per ciascun mese di riferimento”[5]. La sanzione è quindi applicata per ciascun mese in cui il lavoratore svolge la propria attività in violazione degli obblighi informativi da parte del datore di lavoro. La sanzione è soggetta ad incrementi: ferma restando la sua applicazione per ciascun mese di riferimento, se la violazione si riferisce a più di cinque lavoratori la sanzione amministrativa è da 400 a 1.500 euro, se si riferisce a più di dieci lavoratori è da 1.000 a 5.000 euro. Inoltre, se la comunicazione delle medesime informazioni non viene effettuata anche alle rappresentanze sindacali è prevista la sanzione amministrativa da 400 a 1.500 euro per ciascun mese in cui si verifica l’omissione.
Per agevolare l’assolvimento dei nuovi adempimenti informativi, il decreto consente di avvalersi di una comunicazione in formato “elettronico”, per cui le informazioni possono essere fornite ai lavoratori, ad esempio, tramite e-mail oppure mettendo a disposizione sulla rete intranet aziendale i relativi documenti a cui il lavoratore potrà accedere tramite password personale[6].
Avvocato Giovanni Ciano – Responsabile Compliance @Safechange
[1] Art. 1-bis d.lgs. 26 maggio 1997 n. 152, introdotto dall’art. 4 d.lgs. 27 giugno 2022 n. 104.
[2] Art. 35 Regolamento (UE) 2016/679.
[3] Art. 36 Regolamento (UE) 2016/679.
[4] Circolare n. 19 del 20 settembre 2022 del Ministero del Lavoro e delle Politiche Sociali.
[5] Art. 19 d.lgs. 10 settembre 2003 n. 276.
[6] Circolare n. 4/2022 dell’Ispettorato Nazionale del Lavoro.