Nuovi compiti del titolare del trattamento e del DPO alla luce del Decreto Trasparenza

Il 13 agosto è entrato in vigore il D. Lgs. n. 104 del 27 giugno 2022 (qui) “Attuazione della Direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea”. Scopo della Direttiva, e quindi del D. Lgs., è quello di incentivare un’occupazione più trasparente e prevedibile attraverso, ad esempio, norme a tutela delle piattaforme di lavoro digitali.

Compiti del datore di lavoro/titolare del trattamento

Il Decreto legislativo enuncia le principali attività che il datore di lavoro o il committente sono tenuti a realizzare. Innanzitutto, l’art. 4 comma 1 statuisce che sia compito del datore di lavoro pubblico e privato comunicare al lavoratore una serie di informazioni quali:

l’identità delle parti ivi compresa quella dei co-datori;
il luogo di lavoro;
la sede o il domicilio del datore di lavoro;
l’inquadramento, il livello e la qualifica attribuiti al lavoratore;
etc.

Tali informazioni devono essere comunicate al lavoratore mediante la consegna, prima che inizi la prestazione, del contratto di lavoro redatto per iscritto.

Processi automatizzati

Dopo avere elencato le informazioni che devono essere comunicate al lavoratore, l’art. 4 procede con l’indicare le particolari comunicazioni di cui alla lettera s) del menzionato comma 1.

Tale punto prevede la comunicazione al lavoratore degli «elementi previsti dall’articolo 1-bis qualora le modalità di esecuzione della prestazione siano organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati». Secondo l’art. 1-bis, il datore di lavoro o il committente pubblico e privato, devono informare il lavoratore se vengono utilizzati sul luogo di lavoro sistemi decisionali o di monitoraggio automatizzati al fine di conferire «informazioni rilevanti per l’assunzione o il conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori».

Da queste disposizioni emerge, pertanto, la volontà del legislatore di far sì che il lavoratore sia messo al corrente dei trattamenti automatizzati a cui è sottoposto, delle finalità e dei procedimenti attraverso i quali questo avviene.

Alcuni dei trattamenti oggetto dell’art. 1-bis sono posti in essere attraverso sistemi:

di accesso fisico alle aree aziendali, tramite dispositivi come, ad esempio, le chiavi elettroniche;
di rilevamento presenze in azienda che rendono obsoleta la timbratura;
che adoperano il GPS;
di videosorveglianza dei luoghi in cui è presente il lavoratore;
premianti basati su o “anche” su algoritmi;
a bordo di dispositivi indossabili – applicazioni di tecnologia wearable che prevedono la comunicazione da/verso altri sistemi anche attraverso triangolazioni di dati;
di gradimento dei dipendenti da parte degli utenti di un servizio;
di verifica del traffico sul cellulare aziendale;
di avvio di attività lavorative da remoto;
di accesso fisico per la rilevazione della presenza di lavoratori in aree precluse o che prevedono un permesso;
di accesso logico e di rilevazione dei log dei lavoratori per segnalare comportamenti inconsueti;
di gestione della posta elettronica;
etc.

Questo elenco, non esaustivo, non va letto nell’ottica di un controllo dell’attività del lavoratore. Scopo di queste misure è quello di salvaguardare la salute del lavoratore, di garantirne la sicurezza nel luogo di lavoro e la tutela dei suoi dati personali.

Oltre a ciò, i lavoratori dovranno essere informati in merito ai dati e ai principali parametri utilizzati per programmare i sistemi, oltre alle misure di controllo adottate per le decisioni automatizzate e al livello di accuratezza e cybersicurezza di tali sistemi, nonché riguardo gli impatti potenzialmente discriminatori delle metriche stesse. I lavoratori hanno anche il diritto di accedere, direttamente o tramite i sindacati, ai dati utilizzati e di chiedere ulteriori informazioni a tale riguardo.

Tutto ciò, sempre in un’ottica di trasparenza.

Informativa e aggiornamenti

Successivamente l’articolo 4, al comma 4, parla di «integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio».

A tale proposito occorre rilevare che il legislatore fa riferimento all’aggiornamento dell’informativa solamente ove siano stati introdotti nuovi sistemi decisionali o di monitoraggio automatizzati che devono essere comunicati ai dipendenti. Ad esempio, si suggerisce di:

integrare lo scadenziario prevedendo di controllare, ad intervalli, la presenza di eventuali nuovi trattamenti che possono ricadere nella tipologia indicata;
integrare la checklist di audit con almeno una domanda relativa alla verifica della presenza di tali trattamenti della documentazione predisposta, delle comunicazioni effettuate, delle misure piste in atto e della presenza di nuovi trattamenti i di recente introduzione che non siano stati ancora tracciati o documentati;
sensibilizzare le funzioni dell’area risorse umane e ICT in merito al tema.

Spetterà al singolo datore di lavoro decidere la frequenza degli aggiornamenti e il livello di dettaglio di questi, considerando che vi è un rapporto direttamente proporzionale tra i due fattori. Infatti, più è alto il numero dei dettagli presi in considerazione e maggiore sarà il numero degli aggiornamenti necessari.

DPO

Oltre a ciò, il datore di lavoro/titolare del trattamento deve effettuare l’analisi dei rischi e la valutazione d’impattodei trattamenti che vengono realizzati. Secondo l’art. 35 del Regolamento (UE) 2016/679 (il GDPR), la valutazione d’impatto è necessaria quando un trattamento, che prevede l’utilizzo di nuove tecnologie, può presentare rischi elevati per i diritti e le libertà dei soggetti interessati. Di conseguenza, prima di realizzare il trattamento, occorre che il titolare, consultando il DPO e il responsabile, effettui la valutazione d’impatto. Viceversa, il DPO è tenuto a vigilare su quanto viene effettuato dal Titolare in merito all’osservanza del D. Lgs. in modo da garantirne il rispetto. Questa attività ha un’importanza significativa in quanto le sanzioni previste per la mancata o lacunosa comunicazione di quanto detto precedentemente ai dipendenti (e alle rappresentanze sindacali – vedi Circolare n. 4/2022 del 10.08.2022 dell’INL) non sono da sottovalutare.

Infine, l’articolo 4 specifica anche che, qualora sia necessaria, deve essere realizzata una consultazione preventiva del Garante per la protezione dei dati personali (ad esempio, quando dalla valutazione d’impatto emerge che il trattamento dei dati personali può presentare un rischio elevato per i diritti e le libertà dei soggetti in questione).

Conclusioni

Riassumendo, con il D. Lgs. in commento il legislatore ha voluto aumentare il livello di trasparenza nei confronti dei lavoratori in attesa che vengano emanate altre normative più pregnanti e significative in materia di piattaforme di lavoro digitale e di intelligenza artificiale, sottolineando intanto l’importanza di figure come il Titolare del trattamento e il DPO.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_22340695_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Nuovi compiti del titolare del trattamento e del DPO alla luce del Decreto Trasparenza

Condividi questo articolo:

Potrebbero interessarti anche

Condividi questo articolo:

Potrebbero interessarti anche

Accettazione Cookie