Il 13 agosto 2022 è entrato in vigore il “decreto trasparenza” (D.lgs. 104 del 27 giugno 2022) che, insieme alla Circolare INL n. 4/2022 del 10 agosto 2022, introduce nuovi obblighi informativi in capo al datore di lavoro, con implicazioni significative anche in materia di trattamento dei dati personali.
In particolare, sotto il profilo privacy, il decreto trasparenza incide su:
a) informative privacy dei dipendenti ex art. 13 GDPR;
b) analisi dei rischi svolta dal Titolare del trattamento;
c) trattamenti da sottoporre a DPIA (valutazione di impatto privacy);
d) obblighi di comunicazione gravanti sul Titolare del trattamento.
Il decreto trasparenza ha, infatti, introdotto molteplici obblighi di informazione aggiuntivi sul Titolare del trattamento con riferimento ” all’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonchè indicazioni incidenti la sorveglianza, le prestazioni e l’adempimento delle obbligazioni contrattuali”.
Secondo le prime interpretazioni della nuova normativa, i trattamenti che rientrano in tale contesto sono, perlomeno, quelli posti in essere con i seguenti sistemi:
- sistemi di accesso fisico ad aree aziendali (con chiavi elettroniche, sistemi di riconoscimento digitali e/o biometrice, etc.);
- sistemi che utilizzano il GPS;
- sistemi di videosorveglianza in luoghi in cui opera il lavoratore;
- sistemi basati su algoritmi di valutazione ai fini dell’erogazioni di premi;
- sistemi di sicurezza che fanno scattare allarmi in caso il lavoratore sia in pericolo (ad esempio, tramite beacon);
- sistemi di monitoraggio del traffico sul cellulare aziendale (anche per finalità di controllo per motivi di cybersecurity);
- sistemi di accesso fisico per la rilevazione di presenze di persone in aree precluse e soggette a previa autorizzazione;
- sistemi di accesso logico e di rilevazione di log di collaboratori/dipendenti, anche solo per finalità di cybersicurezza;
- software per la gestione della posta elettronica, delle videoconferenze, di assistenza da remoto/ gestione ticket, per il whistleblowing, etc.;
- sistemi per a gestione di applicazioni in ambito Industria 4.0;
- dispositivi indossabili (c.d. wearable), anche solo per fini di sicurezza.
In tutti questi casi ed in quelli consimili, le norme del decreto trasparenza impongono all’imprenditore di informare il lavoratore, durante l’intero rapporto di lavoro (quindi, non solo all’atto dell’assunzione), in merito all’adozione di tali sistemi di monitoraggio.
L’informativa da rendere ai lavoratori non potrà essere generica (limitandosi, per esempio, a dichiarare semplicemente l’utilizzo di sistemi automatizzati da parte dell’impresa), ma dovrà contenere una serie di informazioni molto dettagliate, previste espressamente dalla norma.
Nello specifico, l’imprenditore dovrà indicare nelle informative ai dipendenti le seguenti informazioni:
1. gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi di monitoraggio citati sopra;
2. gli scopi e le finalità di tali sistemi;
3. la logica e il funzionamento di tali sistemi;
4. le categorie di dati e i parametri principali utilizzati per programmare e/o addestrare i sistemi;
5. le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
6. il livello di accuratezza, robustezza, cybersicurezza dei predetti sistemi, nonchè le metriche utilizzate per definire tali parametri, nonchè gli impatti potenzialmente discriminatori delle metriche stesse.
Questa elencazione è sufficiente – credo – per far comprendere a chiunque che le attuali informative ex art. 13 GDPR per i dipendenti non sono più adeguate ai nuovi standard richiesti dal decreto trasparenza.
Se a ciò si aggiunge che la nuova normativa introduce anche l’obbligo di sottoporre a valutazione di impatto (c.d. DPIA) ex art. 35 GDPR i predetti trattamenti, si può affermare – senza temere smentita – che l’epoca delle generiche informative copia/incolla consegnate ai dipendenti è definitivamente tramontata.
Ciò anche in considerazione del fatto che ora, in base al decreto trasparenza, anche le rappresentanze sindacali potranno chiedere ai datori di lavoro copia di tali nuove informative, che dovranno essere messe a loro disposizione entro 30 gg..
Le sanzioni previste in caso di mancato adempimento degli obblighi informativi da parte del datore di lavoro verso i dipendenti è da Euro 400,00 a Euro 1.500,00 se coinvolge più di 5 dipendenti; da Euro 1.500,00 a Euro 5.000,00, per ciascun mese di violazione, se coinvolge più di 10 lavoratori.
Il mio consiglio, quindi, è di rivolgervi quanto prima possibile al vostro consulente privacy per procedere subito all’aggiornamento ed integrazione delle informative privacy da consegnare ai dipendenti.